В России совсем не много компаний, которые успешно провели сертификацию своих систем управления информационной безопасностью (СУИБ), — официально всего шесть. Причем четыре из них — это фирмы, основной сферой деятельности которых являются непосредственно информационные технологии. Во-первых, таким компаниям благодаря своей специализации легче провести сам аудит, а во-вторых, для них очевиднее конкурентные преимущества, получаемые при подобной сертификации. Что касается оставшихся двух «непрофильных» предприятий, потративших время и силы на проверку СУИБ по стандарту ISO/ IEC 27001:2005, то ими стали оператор междугородной и международной телефонной связи «Межрегиональный Транзит Телеком» (МТТ) и страховое общество «Росно».

Согласно международному реестру, опубликованному на www.iso27001certificates.com, на территории России проверку по международному стандарту прошли четыре ИТ-компании, одна телекоммуникационная и одна страховая. Но ведь очевидно, что задуматься о подтверждении надежности собственных СУИБ имеет смысл кредитным и банковским организациям. Нам не известны российские банки, прошедшие аудит именно по международному стандарту, но в декабре прошлого года сертификат ISO/IEC 27001:2005 впервые на пространстве СНГ был получен киргизским АзияУниверсалБанком. Наша оговорка «именно по международному стандарту» в контексте банковской деятельности не случайна. Дело в том, что кроме выросшего из британского BS 7799 2:2002 международного ISO/IEC 27001:2005 существует «Стандарт Банка России СТО БР ИББС-1.0. Внедрение и эксплуатация системы управления информационной безопасностью организаций банковской системы Российской Федерации», который на данный момент носит рекомендательный характер. Его новая редакция появилась не так давно и получила название СТО БР ИББС-1.0-2006. О сертификации по ISO/IEC 27001:2005 мы расспросили Дмитрия Кострова из МТТ и Кубанычбека Закенаева из АзияУниверсалБанка (оба — начальники отделов информационной безопасности в своих компаниях), а об отечественном стандарте ИББС-1.0-2006 нам рассказали начальник управления технологической безопасности службы экономической безопасности Альфа-Банка Андрей Зубков и директор департамента автоматизации банковских процессов и технологий самарского Газбанка Дмитрий Рыбин.

По гамбургскому счету…

Компании МТТ сертификация по ISO/IEC 27001:2005 потребовалась в связи с тем, что ей была выдана лицензия на международную и междугородную связь, позволяющая работать с зарубежными операторами и предоставлять услуги зарубежным клиентам. В связи с этим правление приняло целый ряд решений, одним из которых стала сертификация СУИБ. То есть поводом для начала аудита, категоризации информации и составления плана непрерывности бизнеса стал выход компании на внешний рынок.

«Раньше МТТ работала только на межоператорском рынке, а сейчас мы начинаем оказывать услуги и частным абонентам, — говорит Дмитрий Костров. — Это значит, что нам необходимо не только приобретать сертифицированные расчетные системы, ориентированные на обслуживание конечных пользователей, но и перестраивать бизнес-процессы. Нельзя допускать, чтобы клиентам выставлялись неправильные счета из-за ошибок в учете времени соединения или стоимости сетевого трафика. А это напрямую связано с обеспечением информационной безопасности».

Если акционеры предприятия принимают решение внедрять у себя соответствующий стандарт качества, то для выбора остаются британский BS 7799 2:2002 и международный ISO/IEC 27001:2005. Выбор МТТ был сделан в пользу последнего. Чтобы получить сертификат о соответствии СУИБ требованиям стандарта, компания проводила внешний аудит, который был выполнен сертифицирующим органом. Подобная проверка позволяет оценить, насколько эффективно и правильно работает система управления информационной безопасностью, соответствует ли она внутренним требованиям оператора и требованиям стандарта. Аудит систем МТТ провела компания BSI Management Systems CIS, которая и разработала этот стандарт, а в качестве дополнительного консультанта была привлечена фирма «Инфосистемы Jet», попытавшаяся найти уязвимости в рабочих станциях локальной сети и устранить их.

Первым и пока единственным банком на пространстве бывшего СССР, подтвердившим, что состояние его системы управления информационной безопасностью соответствует международному стандарту ISO/IEC 27001:2005, в декабре 2007 года стал киргизский АзияУниверсалБанк, начавший свою работу на территории Киргизии более десяти лет назад и сейчас являющийся одним из крупнейших в стране. В рамках построения СУИБ были улучшены или внедрены такие бизнес-процессы, как управление рисками и непрерывностью бизнеса, анализ и пересмотр политики информационной безопасности, анализ со стороны руководства, управление изменениями, непрерывное совершенствование компетенции специалистов и их обучение, управление записями, документами, физической защищенностью информационных ресурсов, а также кадровая политика банка. Таким образом, в банке сертифицированы все бизнес-процессы, входящие в область интернет-банкинга. Если в МТТ поводом к прохождению сертификации стало расширение географии работы компании и работа в новом сегменте рынка, то в АзияУниверсалБанке по словам Кубанычбека Закенаева внедрить ISO/IEC 27001:2005 было решено потому, что для любого финансово-кредитного учреждения защита информации является критическим фактором. В банковской сфере, где существуют большие риски по информационной безопасности, такой аудит становится необходимостью. А кроме того, как считает начальник отдела информационной безопасности банка, на тот момент ISO/IEC 27001:2005 был единственным стандартом международного уровня, по которому компании могли сертифицировать свои СУИБ.

АзияУниверсалБанк прошел сертификацию по классической для СУИБ схеме — с привлечением внешних консультантов из компании BCI (Business Continuity Improvement), официального партнера Британского института стандартов. «Следует подчеркнуть, что такая схема позволяет быстрее решать многие задачи, — комментирует Кубанычбек Закенаев. — Например, внешнему консультанту проще донести необходимость каких-то изменений до руководства, он может оценить ситуацию объективно и непредвзято. Подготовка к сертификационному аудиту была не разовым мероприятием, а длительным и непрерывным процессом, который шел в АзияУниверсалБанке на протяжении нескольких лет и требовал постоянного совершенствования банковской работы. Большой сложностью в прохождении сертификации для нас стало отсутствие психологической готовности и неумение сотрудников показать аудитору все процессы».

.. или у наших банков свой путь?

Если у телекоммуникационной либо, к примеру, металлургической компании выбора, по какому стандарту сертифицировать свою СУИБ, нет, поскольку не существует российского аналога ISO/IEC 27001:2005, то у банков есть вариант проверки на соответствие отечественному стандарту Банка России ИББС-1.0-2006. Раньше всех своих коллег такой сертификат соответствия получил московский Метробанк, причем еще по старой редакции стандарта от 2004 года. В разговоре со специалистами Метробанка всплыла интересная деталь: оказывается, для проведения итоговой оценки должна быть привлечена одна из консалтинговых компаний, входящих в ABISS — сообщество пользователей стандартов Центрального банка РФ по обеспечению информационной безопасности организаций. Причем в соответствии с регламентом взаимодействия ЦБ и ABISS только результаты оценки, проведенной компанией — членом этого сообщества, могут быть переданы в Центральный банк для их рассмотрения на предмет публикации в официальных источниках.

Кроме того, мы можем говорить еще о трех банках, не имеющих сейчас сертификата соответствия, но проводивших самостоятельную оценку, — это РосЕвроБанк, Альфа-Банк и самарский Газбанк. «Почему наш банк провёл самооценку по стандарту ИББС-1.0-2006? Причина в первую очередь в том, что Альфа-Банк активно участвует в работах подкомитета № 3 “Защита информации в кредитно-финансовой сфере” технического комитета № 362 “Защита информации” Федерального агентства по техническому регулированию и метрологии, где и был разработан данный стандарт, — рассказывает Андрей Зубков из Альфа-Банка. — Оценив расходы на это мероприятие, мы поняли, что, во-первых, особых затрат не потребуется, а во-вторых, квалификация наших сотрудников позволит нам провести самооценку, не привлекая внешних экспертов. Кроме того, на сайте Банка России представлена вся необходимая нормативная документация. Для проведения самооценки нами была собрана рабочая группа, определен ее руководитель, распределены все роли и обязанности, сформирован план. Особенностью проведения нашей самооценки стало то, что служба информационной безопасности банка хотя и участвовала в проекте, но не возглавила его. Мы договорились с сотрудниками службы внутреннего аудита, что во главе работ встанут они. Оценивали мы себя весьма жестко, и в результате получилось, что система информационной безопасности банка не в полной мере соответствует стандарту, и объяснялось это как недочётами в нашей работе, так и недостатками, которые на наш взгляд есть в самом стандарте.

Проанализировав эти результаты, мы обратили внимание, что в банке слабо проработаны вопросы анализа и оценки рисков информационной безопасности, так что мероприятия, направленные на их снижение, в основном осуществлялись после выявления проблемы. Отсутствовали утвержденные руководством планы обработки ситуаций, не проводилась регулярная классификация ИТ-активов и т. д. Руководство банка восприняло результаты самооценки, и было принято решение усилить службу информационной безопасности и создать подразделение, отвечающее за устранение всех вышеуказаных проблем. Что же касается недостатков самого стандарта, то основным на мой взгляд являются слишком жесткие требования, для выполнения которых необходимы значительные финансовые и временные ресурсы».

Однако в банках нет единого мнения о том, станут ли впоследствии ИББС-1.0-2006 или какие-то его новые версии обязательными. В Газбанке считают, что стандарт не может быть обязательным для частного предприятия, но банки с его помощью могут провести самооценку, чтобы получить какие-то преимущества на рынке. Дмитрий Рыбин из Газбанка видит в стандарте ЦБ России серьезный и грамотно составленный документ, содержащий полезные для текущей работы процедуры. Причем он считает, что в этом смысле стандарт применим не только к банкам, но и к любым крупным предприятиям, пользующимся серьезными информационными системами. И применим не только с точки зрения обеспечения безопасности, но и для оценки, самоконтроля, выстраивания регламентов и процедур.

***

Обратите внимание: начальник управления технологической безопасности Альфа-Банка говорит об излишней жест­кости требований ИББС-1.0-2006. «На сегодняшний день, к сожалению, большинство компаний на территории СНГ еще не готовы к сертификации, — резюмирует Кубанычбек Закенаев из АзияУниверсалБанка. — Далеко не у всех система менеджмента доведена до такого уровня, который соответствовал бы ISO 27001. Хотя мотивация безусловно присутствует: для выхода на международный рынок надо отвечать требованиям таких стандартов. К примеру, в Европе многие компании считают наличие сертификата ISO 27001 обязательным условием для своих партнеров. Он важен для тех сфер деятельности, где защита информации является одной из приоритетных задач, то есть для банковского сектора, телекоммуникаций и даже многих госструктур, которые ведут работу с персональными данными. Поскольку у международного стандарта ISO 27001 гибкие возможности и его можно имплементировать в любой сфере деятельности, прохождение сертификации СУИБ, в свою очередь, может стать хорошим подспорьем для дальнейшего соответствия стандарту Банка России СТО БР ИББС-1.0».