Компания ТТК (ЗАО «Компания ТрансТелеКом») входит в число ведущих телекоммуникационных операторов России. Созданные в крупнейших городах России 17 региональных предприятий предоставляют услуги ТТК на всей территории страны. В 2007 г. ТТК одним из первых российских операторов прошел сертификацию на соответствие стандарту ISO 27001:2005. О полученных преимуществах мы беседовали со Станиславом Косогоровым, руководителем группы департамента информационной безопасности ТТК.
Intelligent Enterprise: Как ваша компания пришла к пониманию того, что ей необходима сертификация на соответствие стандарту ISO 27001:2005?
Станислав Косогоров: Компания ТТК традиционно уделяла значительное внимание вопросам обеспечения информационной безопасности, особенно на сетях связи. При строительстве магистральной IP‑сети компании вопросы обеспечения информационной безопасности начали решаться на этапе проектирования. Это позволило нам развернуть систему обеспечения информационной безопасности (СОИБ) и сертифицировать в 2003 г. магистральную IP‑сеть по требованиям ФСТЭК. (сертификат соответствия № 1166/1 по классу защищенности 1Г). Успешная эксплуатация СОИБ в течение нескольких лет, накопленный опыт по обеспечению информационной безопасности компании поставили перед нами задачу — трансформировать нашу компетенцию во что‑то более новое и эффективное. Как и сейчас, тогда не было альтернатив построению системы менеджмента информационной безопасности (СМИБ), в основе которой лежит процессный подход,. Мы приняли решение о внедрении СМИБ. Для нас это было осмысленное решение, позволившее перейти к новому этапу развития информационной безопасности компании. Решение принималось не сиюминутно, мы изучали отношение операторов связи к стандарту ISO 27001:2005 (оказалось, многие международные операторы связи внедрили и успешно эксплуатируют СМИБ), проводили консультации с интеграторами, изучали требования стандарта, в 2006 г. провели работы по аудиту готовности компании к внедрению. Результаты этого аудита были обнадеживающими, компания оказалась готова к внедрению стандарта.
На первом этапе труднее всего было определить область внедрения СМИБ, такую, чтобы мы могли ее охватить, — учитывая, что мы не имеем опыта ее реализации. Она должна иметь возможности расширения и, кроме того, много значить в жизнедеятельности компании. Этим критериям отвечала система управления магистральной IP‑сети компании. В 2007г. мы приступили к работам и уже в конце 2007г. внедрили СМИБ и сертифицировали ее.
Как шли работы по этому проекту? Они проводились своими силами, или пришлось обращаться к помощи подрядчиков?
С учетом новизны проекта и специфики проводимых работ было принято решение обратиться к услугам подрядчика. После анализа компаний, предлагающих услуги по внедрению СМИБ на основе ISO 27001:2005, выбрали компанию «Открытые технологии-98», а в качестве внешнего аудитора для проведения как сертификационного, так и надзорного аудита — международную компанию SGS, имеющую свое представительство в Москве ЗАО «СЖС Восток Лимитед».
Для изучения структуры и методологии стандарта, порядка его внедрения и сопровождения, ведения нормативно-распорядительной документации на базе Московского технического университета связи и информатики было проведено обучение сотрудников всех подразделений компании, участвующих в проекте. Для остальных сотрудников, вошедших в область внедрения СМИБ, мы подготовили учебные материалы и провели вводные тренинги.
После окончания работ по внедрению СМИБ был проведен предсертификационный аудит. Его цель — знакомство аудитора с компанией, оценка того, что уже сделано, и выдача основных рекомендаций по доработке системы менеджмента и подготовке ее к сертификационному аудиту. Этот этап крайне важен, так как позволяет понять сильные и слабые стороны СМИБ, оценить степень ее готовности к сертификации.
В результате предсертификационного аудита аудитор нашел несколько несоответствий, связанных с организационной структурой СМИБ, учета активов и области ее распространения, порядком оформления документации.
После устранения всех замечаний в декабре 2007г. был проведен сертификационный аудит. СМИБ компании получила положительную оценку со стороны аудиторской компании и в феврале 2008г. ТТК выдан сертификат на соответствие системы менеджмента системы управления магистральной IP‑сети требованиям стандарта ISO 27001:2005. Срок его действия — три года. При этом каждый год необходимо проходить надзорный аудит.
Представители компаний, которые внедрили у себя стандарт ISO 27001:2005, часто говорят, что он позволяет создавать саморазвивающуюся систему. Так ли это? И если так, то каким образом этого удается достичь?
Вы совершенно правы! Главное достоинство, которое привносит СМИБ в обеспечение информационной безопасности организации, — это процессный подход, подразумевающий именно эволюционное развитие системы менеджмента. Сотрудник SGS, который проводил наше обучение, говорил нам, что главное в СМИБ — не «идеально» подготовленная документация, которая пылится на полках, а именно работающие процессы, которые, проходя очередной цикл Деминга, становятся совершеннее.
Очевидно, что меры, предпринимаемые в рамках этой системы, вырабатываются на основе анализа рисков и проходят регулярный мониторинг и проверку. Выстроенная система должна непрерывно улучшаться и совершенствоваться. Эффект от таких изменений следует измерять с помощью объективных показателей, которые оцениваются руководством компании.
Очень сложно выделить какой‑то ключевой процесс, который наиболее сильно влияет на совершенствование, но мы считаем, что процесс проведения аудитов лежит в основе нашего успеха в этой области. Аудиты должны осуществляться постоянно. Это как внутренние аудиты, которые проводят свои сотрудники, так и внешние аудиты, которые, на наш взгляд, имеют максимальную ценность.
По результатам аудитов принимаются необходимые меры. Все несоответствия и рекомендации по их устранению фиксируются и после определенной обработки и утверждения у руководства трансформируются в корректирующие действия.
В качестве основного коллегиального органа в рамках управления СМИБ в ТТК создана и функционирует постоянно действующая комиссия по информационной безопасности (ПДК). Основные задачи, решаемые ПДК:
- подготовка предложений по решению проблемных вопросов, связанных с обеспечением функционирования СМИБ и ее непрерывным совершенствованием;
- рассмотрение и согласование стратегических решений и документов, касающихся обеспечения информационной безопасности (ИБ), и представление их на утверждение руководству компании.
В состав ПДК входят представители от подразделений компании, участвующих в управлении, организации и обеспечении функционирования магистральной IP‑сети.
Собрав представителей различных подразделений в одном «органе», мы получили возможность оперативного решения возникающих задач, получения мнения с разных сторон. Зачастую многие вопросы, выносящиеся на совещания ПДК, вызывают оживленные обсуждения, и благодаря этому ПДК играет значительную роль в совершенствовании СМИБ.
Использование процессной модели позволяет нам контролировать ход обеспечения информационной безопасности на каждом этапе, определять узкие места, причины проблемы и своевременно устранять их, анализировать эффективность системы и оптимизировать ее, перестраивая отдельные процессы и взаимосвязи между ними, планировать и осуществлять деятельность по улучшению организации и обеспечению информационной безопасности.
Таким образом, развитие идет, можно сказать, по спирали. При этом на каждом новом витке приобретается новое качество. Действие СМИБ начинает распространяться на другие сети, трансформируется в новые нормативно-методические документы, и вследствие этого вся система информационной безопасности становится более структурированной, управляемой. Это в конечном счете положительно сказывается на функционировании всех бизнес-процессов компании.
Часто приходится слышать, что в рамках работ по внедрению стандарта ISO 27001:2005 пишется огромное количество документации. Можно ли как‑то упростить эту задачу? И если да, то в каком случае?
Объем документации, разрабатываемой в рамках проекта внедрения СМИБ, находится в прямой зависимости от зрелости бизнес-процессов организации и их документального оформления. Объем может быть как относительно небольшим, так и огромным. Надо отметить, что требования по разработке документации в соответствии со стандартом ISO 27001:2005 во многом согласуются со стандартом ISO 9001, регламентирующим менеджмент качества. Например, описание основных бизнес-процессов, управления документацией практически идентичны. Так что международные аудиторы очень часто рекомендуют создавать единую базу документации по разным системам менеджмента. Учитывая, что данные стандарты внедрены во многих компаниях, это может заметно облегчить задачу внедрения СМИБ. Так, если какой‑то процесс уже описан, то можно использовать ссылку на него во вновь создаваемых документах.
Требования к оформлению документации весьма лояльны. Стандарт устанавливает, что документы и учетные записи могут существовать в любой форме и на носителях любого типа. Обязательно должна быть разработана политика. Разрабатывая документацию СМИБ, мы пошли по пути создания иерархии документов, нам показалось это очень удобным. Далее я вкратце опишу систему нашей документации.
У нас есть политика в области обеспечения информационной безопасности, которая регламентирует вопросы информационной безопасности нашей компании, ее дочерних структур и филиалов. Она определяет основные требования по поддержанию информационной безопасности и играет роль документа верхнего уровня.
Уровнем ниже находится политика, разработанная согласно требованиям стандарта ISO 27001:2005. Этот документ определяет общие подходы к решению основных задач ИБ, изложенных в политике информационной безопасности, применительно к заданной области распространения СМИБ. Политика СМИБ определяет ее цели и задачи, принципы построения, требования к ней и основные направления обеспечения ИБ.
Далее идут процедуры верхнего уровня: «Менеджмент ИБ» (процессы управления информационной безопасностью, реализуемые в рамках функционирования системы), «Управление документацией СМИБ и Управление записями СМИБ» (перечень мер, позволяющих документировать результаты работы тех или иных процессов в ходе аудита), «Внутренний аудит СМИБ» (регламентирует порядок проведения внутреннего аудита). Следующий уровень занимают регламенты, описывающие требования к реализации применимых мер. Они соответствуют требованиям А6‑А15 Приложения стандарта ISO 27001:2005.
Описание порядка реализации требований, изложенных в регламентах, находится уровнем ниже в процедурах с одноименными регламентам названиями.
На самом нижнем уровне размещаются положения, инструкции, меморандумы, которые раньше существовали в компании или создаются по мере необходимости. Актуальная документация размещена на внутреннем корпоративном портале, куда имеют постоянный доступ сотрудники компании.
Были ли сложности при переходе к ролевой модели? Приходится слышать много жалоб, что в кризис этот процесс заметно осложняется. Так ли это?
Система управления в СМИБ нашей компании реализована на основе ролевой модели. На штатные должности сотрудников компании назначены роли в соответствии с ролевой моделью. Всего таких ролей около 40, каждая из них закреплена за одной или несколькими штатными единицами. Это сделано для того, чтобы не зависеть от конкретных сотрудников, которые могут заболеть, уйти в отпуск или вовсе покинуть компанию. Все это описано в соответствующих документах.
Во главе этой ролевой модели находится президент компании. Он управляет процессами через ответственного руководителя ИБ. Данная роль возложена на руководителя департамента информационной безопасности. Координацией вопросов обеспечения информационной безопасности в рамках действующей СМИБ занимается постоянно действующая комиссия по ИБ, о которой я уже говорил. Весь процесс идет согласно модели PDCA, о которой тоже было сказано выше.
Вместе с тем именно внедрение ролевой модели — не такой простой вопрос. Это та лакмусовая бумажка, которая позволяет определить зрелость всей системы. Не все сотрудники сначала восприняли с пониманием наложение дополнительных обязанностей, притом что 90% из данных задач входило в служебные обязанности, возложенные на соответствующие подразделения. Но по мере совершенствования системы эта проблема была разрешена.
При реализации любых проектов в области ИБ подсчитать экономический эффект бывает сложно. Тем не менее какие выгоды дает сертификация?
Действительно, не существует методик, позволяющих оценить экономический эффект от внедрения СМИБ. Если же говорить о выгодах сертификации, которые мы приобрели, то они заключаются в совершенствовании системы обеспечения информационной безопасности компании. Полученный опыт мы распространили на корпоративную сеть всей группы компаний. Нами был разработан Стандарт информационной безопасности корпоративной сети и комплекса информационных систем группы компаний ТТК, который в настоящее время находится в процессе внедрения. Реализовав СМИБ, мы вовлекли в «осмысленный» процесс обеспечения информационной безопасности многие подразделения компании. Мы начали принимать решение о реализации тех или иных мер на основе анализа рисков. Реализация процесса внутренних аудитов позволила нам иметь объективную и актуальную информацию о состоянии информационной безопасности, Наконец, реализуя меры по обеспечению защиты персональных данных, мы во многом опираемся на действующую СМИБ.
Кроме этого, Стандарт ISO 27001:2005 имеет очень высокую репутацию на международном телекоммуникационном рынке. В результате наличие сертификата является серьезным преимуществом при участии в международных тендерах, взаимодействии с иностранными участниками рынка услуг связи.