Чтобы преуспеть в современном бизнесе, предприятие должно гарантировать своим клиентам и партнерам сохранность собственной и чужой конфиденциальной информации. Подтвержденное соответствие СУИБ требованиям ISO 27001 может считаться такой гарантией, но только при условии, что в область сертификации включены средства защиты действительно важных процессов, и средства эти постоянно функционируют. Естественно, это особенно важно для ИБ-компаний, которые по самому характеру своей деятельности получают доступ к такой информации о своих клиентах, как способы хранения и обработки данных различной степени конфиденциальности, реальный уровень её защищенности, применяемые технические средства и организация служб ИБ, модели угроз, уязвимости, процедуры реагирования на инциденты ИБ и др. В связи с этим подчеркнем несколько важнейших особенностей сертификации СУИБ компании LETA.
Первая особенность связана с тем, что компания подтвердила защищенность ключевого участка своей основной деятельности. Заявленная зона сертификации охватывает всю работу с информацией, полученной от клиентов и созданной специалистами LETA в рамках проектов и при оказании типизированных услуг. Иными словами, сертификат удостоверяет сохранение коммерческой тайны клиентов и самой компании LETA, а также персональных данных сотрудников и партнеров в рамках основного производственного процесса «Оказание консалтинговых услуг по построению систем информационной безопасности, включая внедрение технических решений» (Providing of professional IS consulting and compliance management services including integrated solutions implementation). При этом были выделены ключевые под процессы: управление проектами, консалтинг информационной безопасности, внедрение технических средств информационной безопасности. Подчеркнем, что охват всех ключевых процессов при проведении сертификации СУИБ кардинально отличает подход компании LETA от типичной для российского рынка практики, когда сертификационный аудит проходит защищенность второстепенных процессов, например, технической поддержки клиентов или работы отдела кадров. Другая особенность связана с тем, что всю подготовку к сертификации LETA провела без привлечения сторонних специалистов. Это обусловлено с тем, что компания еще в 2007 году начала серьезно заниматься всем комплексом вопросов по построению СУИБ и внедрению стандарта ISO 27001, и в настоящее время располагает в этой сфере штатом высококвалифицированных специалистов, а также рядом оригинальных методических и технологических разработок. Особо отметим, что с учетом требований именно этого стандарта LETA проектировала и внедряла свои бизнес-процессы – задолго до запуска весной 2010 года проекта по подготовке к сертификации СУИБ. Проект занял чуть более года – в полном соответствии с рекомендациями ведущих аудиторов разнести внедрение и сертификацию СУИБ, чтобы она прошла проверку практикой и достигла зрелости. Первые пять месяцев ушли на проверку и приведение процессов в точное соответствие требованиям стандарта, остальное время было отведено на опытную эксплуатацию, выявление и устранение недочетов, а также оптимизацию. В итоге, сертификат был получен без единого замечания.
Третья особенность проекта состоит в том, что аудиторы особо отметили разработанные компанией LETA процессы в рамках управления рисками, обозначив их как хорошие практики. Получение этого статуса означает не только качество проработки и реализации соответствующего процесса, но и является рекомендацией для его применения на других предприятиях. Хорошей практикой было признано создание методологии оценки рисков, которая максимально учитывает требования стандарта ISO 27005 (управление рисками ИБ), а также обеспечивает разумный компромисс между степенью детализации идентифицированных рисков и дифференцированным подходом к нарушению свойств конфиденциальности, целостности и доступности по отношению к информационным активам предприятия. Хорошей практикой было признано также применение средств автоматизации процесса оценки рисков, что позволяет учесть большое число взаимосвязанных риск-факторов в отношении значимых информационных активов – и при этом значительно снизить трудоемкость операций.
Фактически, LETA стала первой специализированной ИБ-компанией в России, которая сертифицировала основную область деятельности на соответствие стандарту ISO 27001. Это повышает доверие клиентов и является важным конкурентным преимуществом на современном российском и международном рынке ИБ. Вместе с тем, LETA считает приоритетной задачей приведение всей системы менеджмента в соответствие с основополагающими международными и российскими стандартами в сфере ИБ и менеджмента качества. Так, в планах компании – сертификация технологии ведения проектов, базирующейся на методологии PMI PMBOK (Project Management Body Of Knowledge), а также сертификация по стандарту BS 25999 (построение систем обеспечения непрерывности бизнеса-процессов).
«Когда компания предоставляет услуги в сфере информационной безопасности, а сама относится к защите конфиденциальных сведений непонятно как, она напоминает хорошо известный образ „сапожника без сапог“. Но если от отсутствия обуви страдает только сам сапожник, то в случае ИБ риски фактически ложатся на клиента. На мой взгляд, ИБ-интегратор должен демонстрировать серьезное отношение к защите информации своим примером. Это не просто положительно влияет на его имидж, а является признаком зрелости и ответственности, – говорит Андрей Конусов, генеральный директор компании LETA. – Сертификация по ISO 27001 комплексной СУИБ, охватывающей основной производственный блок, – это, пожалуй, высшая ступень сложности в сфере внедрения международных стандартов ИБ. Поэтому для меня особенно важно, что LETA подготовилась к сертификации своими силами, и прошла ее без замечаний. Это подтверждает квалификацию компании в управленческом консалтинге и внедрении международных стандартов информационной безопасности. И показывает, что LETA может и дальше двигаться по пути внедрения инновационных управленческих идей, развития системы менеджмента, адаптации, а теперь и создания наилучших практик».