`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Перспективное дело

Статья опубликована в №23 (734) от 29 июня

0 
 

Успешное введение нового регламента, кодекса и вообще любого другого официального свода правил, обязательного к исполнению, зависит от нескольких ключевых факторов. Среди них логичность и своевременность принятия и понимание необходимости этого хотя бы большинством организаций, к которым они применяются; неотвратимость санкций за их игнорирование и, соответственно, наличие квалифицированных ресурсов у тех, кто собирается осуществлять контроль.

С этих позиций мы и рассмотрим перспективы успешного ввода в эксплуатацию международных стандартов информационной безопасности ISO/IEC 27001:2005 и ISO/IEC 27002:2005 в банках Украины. Проект соответствующего постановления с некоторыми изменениями, переведенный на украинский язык, был опубликован на сайте НБУ в феврале 2010 г. для обсуждения.

Итак, для начала поговорим о том, что из себя представляют стандарты ISO/IEC 27001:2005 и ISO/IEC 27002:2005. Первый предназначен для обеспечения выбора адекватных средств контроля в области информационной безопасности (ИБ), которые защищают данные и обеспечивают доверие заинтересованных сторон. Он применим ко всем типам организаций, включая банки и другие финансовые институты. Стандарт ISO/IEC 27001:2005 определяет требования к системе управления ИБ в контексте общих бизнес-рисков организации, а также к внедрению соответствующих средств контроля, модифицированных для нужд конкретного учреждения или его подразделений.

Второй стандарт, по сути, является сводом правил по управлению ИБ. Задачи и контроль ISO/IEC 27002:2005 вводятся компаниями с целью соответствия требованиям, определенным при оценке рисков в процессе подготовки к сертификации ISO/IEC 27001:2005.

Ее может осуществить одна из компаний, аккредитованных национальными комитетами по стандартизации, в частности UK Accreditation Service в Великобритании, TGA в Германии, American National Standards Institute в США и др. К числу таковых относится и KPMG Audit plc, британское подразделение компании KPMG. При успешном прохождении аудита системы управления информационной безопасностью организации выдается сертификат соответствия стандарту ISO/IEC 27001:2005, действительный в течение трех лет, по прошествии которых требуется проведение повторной процедуры. На протяжении этого периода аккредитованный сертификационный аудитор проводит регулярные проверки предприятия.

Следует отметить, что в проекте постановления не говорится о необходимости формального получения сертификата, более того, в одном из интервью представители НБУ вели разговор о том, что он не является обязательным.

Ключевые вопросы

Один из важнейших вопросов при введении стандартов – что именно включать в область, которую будет охватывать система управления информационной безопасностью согласно требованиям ISO/IEC 27001:2005 (либо подлежать сертификации, если ставится такая цель), поскольку она может быть ограничена конкретным подразделением или процессом, а может распространяться и на всю организацию. В прямой зависимости от этого находятся соответствующие затраты и его сроки. Проект постановления НБУ явным образом не содержит указания на область внедрения. Возможно, ее определят позднее, например в окончательной редакции. Также вполне вероятно, что вышеуказанные вопросы будут раскрыты в методических рекомендациях.

Большое значение в процессе подготовки к сертификации имеет этап оценки рисков, на который может уйти 35–40% времени, отведенного на весь проект внедрения системы управления информационной безопасностью. При этом существуют различные методологии их оценки, а ISO/IEC 27001:2005 не содержит прямого указания на конкретный вариант, оставляя право выбора за претендентом на сертификацию. Значительных усилий также потребуют разработка и внедрение политик.

Интересные цифры, касающиеся введения стандарта, можно найти в исследовании, опубликованном в 2008 г. компанией Certification Europe:

  • у 60% организаций реализация стандарта заняла от полугода до года, и только 20% смогли получить сертификат менее чем через шесть месяцев (напомним, в проекте постановления НБУ предусмотрена дата 01.01.2011, т. е. банкам остается менее полугода);

  • в небольших организациях над внедрением стандарта на непостоянной основе работают в среднем 3–4 сотрудника, а общие затраты оцениваются в 35–60 чел.-дней (без учета времени консультантов, к услугам которых прибегало более половины сертифицированных фирм);

  • среди основных проблем, связанных с внедрением и сертификацией, респонденты называли трудности с трактовкой требований стандарта, недостаток внутренних ресурсов для подготовки, сложности с вовлечением высшего руководства и необходимость изменений в самой культуре организации по отношению к информационной безопасности.

Еще раз хочу напомнить, что все это относилось к компаниям, добровольно внедрившим стандарт в европейских странах, а значит, показатели для Украины могут быть и хуже в случае осуществления «по необходимости».

Распространение стандартов

Согласно данным сайта www.iso27001certificates.com в Украине сертифицированы только две организации, при этом они не являются финансовыми, что говорит о невысокой популярности реализации стандарта по собственной инициативе. Более того, в странах СНГ едва ли наберется с десяток банков, добровольно внедривших его. В Российской Федерации и Казахстане таких насчитывается всего по два на страну, в Киргизии – один.

Необходимость стандартизации в управлении информационной безопасностью в банковском секторе подталкивает регуляторов различных стран к внедрению соответствующих стандартов.

Например, для банковской системы Российской Федерации существует стандарт Центрального банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения». При этом он был введен в действие еще в начале 2006 г., до сих пор является необязательным для применения, носит рекомендательный характер и может использоваться только на добровольной основе. В нем объединены основные положения международных стандартов по управлению информационной безопасностью. С целью его продвижения было создано сообщество ABISS www.abiss.ru которое на данный момент является ключевым партнером Центробанка в этой области. Ожидается, что вскоре стандарт станет обязательным для финансовых учреждений РФ. Несмотря на то что на сегодняшний день количество банков, прошедших добровольную оценку на соответствие его требованиям, невелико, проводившиеся опросы показывают рост осведомленности о них и увеличении числа организаций, планирующих вводить этот стандарт.

Приведенная таблица дает представление о ситуации с ИБ в странах дальнего зарубежья.

В заключение

Сам факт появления соответствующего постановления вызывает поддержку, так как в конечном счете, выдвигая требования к ИБ, НБУ заботится о повышении уровня доверия к банковской системе и защите интересов тех, кто пользуется услугами подобных учреждений. Выбор общепризнанного стандарта в данной области также не вызывает вопросов. Однако готовность финансовых учреждений к этой инициативе с точки зрения наличия ресурсов, понимания необходимости его внедрения, и, наконец, предлагаемые сроки введения являются серьезным аргументом для тех, кто считает, что вышеупомянутый документ будет существовать в большинстве банков лишь в виде набора шаблонов, найденных в Сети. Возможно, в НБУ это тоже понимают, и задержка с официальным опубликованием стандарта (напомним, в начале марта Национальный банк Украины завершил прием комментариев по поводу проекта постановления) связана с изменившимися планами регулятора.

Ситуации с регулированием вопросов, связанных с информационной безопасностью, в странах дальнего зарубежья
Страна Описание
Швеция Все государственные органы должны соблюдать требования ISO/IEC 27002:2005 (включая Национальный банк)
Индия Регулирующие нормы, которые основываются на ISO/IEC 27001:2005 и ISO/IEC 27002:2005, находятся на стадии разработки
Греция Регулирующие нормы Национального банка Греции относительно эффективного управления рисками, связанными с использованием ИТ-систем, а также относительно безопасной и продуктивной работы ИТ-систем базируются в основном на методологии CobiT
Турция Телекоммуникационные компании обязаны соответствовать требованиям и быть сертифицированными по стандарту ISO/IEC 27001:2005. Банки должны соблюдать нормативные акты, основанные на методологии CobiT
Бельгия Обязательных требований по применению ISO/IEC 27001:2005 и ISO/IEC 27002:2005 нет. Тем не менее регулирующий орган в финансовой сфере рекомендует использовать ISO/IEC 27002:2005
Германия Все государственные органы федерального уровня должны отвечать требованиям стандарта ISO/IEC 27001:2005
Португалия Формальные требования по соответствию стандартам ISO отсутствуют
Испания Регулирующие акты ISO/IEC 27001:2005 и ISO/IEC 27002:2005 в настоящее время не являются обязательными для финансового сектора, но становятся стандартами де-факто. Такая же ситуация и в государственном секторе. есть некоторые формальные требования для сервис- и ИТ-поставщиков
Финляндия Существуют степени зрелости системы управления информационной безопасности (которые по большей части базируются на ISO/IEC 27001:2005). Все государственные учреждения проходят оценку
Страны Балтии Банки должны соответствовать своду правил, базирующемуся на ISO/IEC 27002:2005 и CobiT
Словакия ISO/IEC 27001:2005 и ISO/IEC 27002:2005 рекомендуются в официальных документах, изданных различными государственными ведомствами, однако формальным требованием не являются
Норвегия Требования безопасности в Privacy Act базируются на ISO/IEC 27002:2005
0 
 

Напечатать Отправить другу

Читайте также

Лет через 50, когда население сократится втрое...

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT