Welcome  to Wizard-Management and Consulting

 
Новости
Аналитика
Статьи по консалтингу


Подпишитесь на нашу рассылку
Менеджмент XXI века






Букмарк

Стандарты безопасности

Крупная торговая компания использует изощренные методы и средства защиты информации. Документы и сообщения кодируются, применяется сложная многоуровневая система доступа к информации. Однако некоторые сотрудники никак не могут запомнить свои пароли, поэтому на их столах можно увидеть бумажки с написанными на них кодами. Таким образом, огромные средства, затраченные на защиту информации внутри компании, идут псу по хвост.

        Общее управление безопасностью.

        "Проблема управления безопасностью, думаю, прежде всего в том, что службы, занимающиеся электронной безопасностью и безопасностью физической, между собой никак не связаны. В западных компаниях обычно и тот и другой вид безопасности относится к одному подразделению", - говорит директор департамента автоматизации инвестиционной компании "АТОН" Григорий Васильев.

        Именно поэтому, считает Васильев, бывает так, что служба безопасности компании не позволяет вынести из офиса даже одну дискету, а электронную почту вообще никто не контролирует.

        Несогласованность работы подразделений в области обеспечения информационной безопасности компании - проблема не только российская. Несколько лет назад Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. , занялся разработкой стандарта информационной безопасности. И в 1998 г. был принят национальный стандарт BS 7799 управления всей информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, IT-отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 : 2000.

        Что должно быть в системе управления.

        "В результате внедрения стандарта создается система менеджмента, цель которой - сокращение материальных потерь, связанных с нарушением информационной безопасности, - объясняет Евгений Чернов, консультант Det Norske Veritas, международной сертификационной компании, которая была одним из участников разработки стандарта BS 7799. Стандарт не предписывает использование каких-то определенных алгоритмов шифрования, есть лишь указание о том, что особо важная информация должна быть зашифрована. Что считать важной информацией и как производить шифрование, организация решает самостоятельно, основываясь на общих принципах применения стандарта. Например, у компании должна быть выработана политика по информационной безопасности, должно быть распределение ответственности за информационную безопасность. "Во многих компаниях, организациях политика информационной безопасности не выполняется, потому что меры безопасности тормозят бизнес", - говорит Васильев "АТОНа". Стандарт управления безопасностью учитывает и эту проблему - информация должна быть не только защищена, но и легко доступна для работы. В компании должно уделяться внимание образованию и тренингам по информационной безопасности. По всем инцидентам, связанным с безопасностью, ведется отчетность. Соответствующими службами должен быть подготовлен план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации и т. п. В стандарте содержится около сотни пунктов.

        Цена безопасности.

        После того как система управления безопасностью установлена (обычно это делается с помощью внешних консультантов) , компания может призвать независимого аудитора из сертификационных компаний, который оценит систему по стандарту BS 7799 или ISO 17799.

        "Владельцем британской сертификационной схемы является BSI (от имени департамента по торговле и промышленности Соединенного Королевства) , - рассказывает Евгений Чернов. - В тех странах, где приняты аналоги BS 7799 или ISO/IEC 17799, существуют свои схемы сертификации, в рамках которых и работают местные аудиторы. В тех странах, где аналоги этих стандартов отсутствуют (например, в России) , возможно использование любой внешней схемы". Аккредитованную сертификацию могут предоставить лишь те сертификационные общества (такие, например, как Det Norske Veritas QA, BSI Assessment Services Ltd, LloydХs Register QA Ltd. ) , которые прошли аккредитацию BSI или ISO. Стоимость сертификации составляет несколько тысяч долларов, в зависимости от размера компании.

        Но постановка самой системы управления информационной безопасностью гораздо дороже. Одна лишь разработка и внедрение единой политики безопасности, по оценке руководителя практики информационной безопасности департамента системных решений компании IBS Павла Вороненко, стоит не менее $10 000, внедрение системы управления безопасностью в компании среднего размера может стоить десятки тысяч долларов, а в крупной компании - не менее $100 000. К сожалению, ни одной российской организации, имеющей стандартную систему управления безопасностью, "Ведомостям" обнаружить не удалось.

        "Некоторые звонят, интересуются. Но реального спроса нет. Видимо, компании еще не созрели", - говорит начальник отдела сертификации санкт-петербургского отделения одной из международных компаний-сертификаторов "Бюро Веритас Русь" Александр Никитин.

        По мнению Павла Вороненко из IBS, в России подтолкнуть к принятию такого стандарта могло бы государство. Адаптация у нас стандарта ISO 9000 заметно повысила его популярность среди российских предприятий. Так же может случиться и со стандартом управления безопасностью.

Федор Сваровский
Ведомости

List Banner Exchange

Hosted by uCoz