Международный опыт становится ближе

Международный опыт становится ближе

М.Ю. ПЫШКИН
директор направления информационной безопасности INLINE technologies, CISM BS 7799 LA

БРИТАНСКИЙ институт стандартов (BSI, British Standards Institution), одно из старейших учреждений в своей области, уже более 100 лет специализируется на обобщении международного опыта и на разработке государственных стандартов Великобритании. О масштабе этой организации говорят цифры: 2500 комитетов, 23 000 исследователей и разработчиков в Великобритании и других странах Европы.

Среди достижений Британского института стандартов -разработка стандарта управления качеством ISO 9000, который изначально был государственным стандартом Великобритании, а теперь стал и государственным стандартом России. Британский институт стандартов также является основателем Международной организации по стандартизации (ISO).

Безопасность по стандарту

Одним из государственных стандартов Великобритании, разработанным более 11 лет назад, стал стандарт по управлению информационной безопасностью BS 7799. Этот стандарт был основан на документе PD 0003 (Практические правила управления информационной безопасностью), разработанном Министерством торговли и промышленности Великобритании (DTI) при участии специалистов из ведущих компаний и организаций, таких, как Shell UK, Unilever, British Telecommunications, British Computer Society, Association of British Insurers и др. При разработке стандарта ставилась задача обеспечения государственных и коммерческих организаций инструментом для создания эффективных систем информационной безопасности на основе современных методов менеджмента. В стандарте содержится исчерпывающий набор средств управления безопасностью, которые включают в себя самые совершенные процедуры обеспечения информационной безопасности, используемые в настоящее время как в Великобритании, так и в других странах.

Стандарт состоит из двух частей: BS 7799-1 и BS 7799-2, которые в 2005 г. были приняты Международной организацией по стандартизации и Международной электротехнической комиссией как ISO/IEC 17799:2005 и ISO/IEC 27001:2005 соответственно.

Список компаний, прошедших сертификацию и зарегистрировавших свои системы на соответствие требованиям BS 7799-2:2002, довольно широк и включает среди прочих следующие компании: Fujitsu, Independent Commission Against Corruption, Raiffeisen Informatik GmbH, Siemens, Hewlett-Packard, NEC, Huawei Technologies, Cable & Wireless, Voda-fone, Telecom Italia, British Telecom, Japan Telecom, Singapore Telecom, Nikko Telecom, Nippon Telegraph, NTT, CANON, EPSON, Fuji, IBM, HITACHI, Mitsubishi Electric, Matsushita Electric, Sony, Oki Electric, Sharp, Toshiba, LG, Hyundai, Samsung Electronics, Yahoo Japan, BBS, Unilever, Ericsson, Bureau of National Health Insurance, Chinese Petroleum, Taiwan Stock Exchange, Nuclear Power Plant of the Taiwan PCo, Marconi, The Royal Bank of Scotland, Xerox, Federal Reserve Bank of NY, Joho Bank, Daegu Bank, Industrial Bank of Korea, Citibank.

При разработке данного стандарта предполагалось, что реализация его положений будет доверена специалистам, обладающим необходимой квалификацией. Опыт показывает, что зачастую критичными для успешного построения системы информационной безопасности организации являются следующие факторы:

• Хорошее понимание требований стандарта.
• Распространение разъяснений к стандартам и политике информационной безопасности среди всех сотрудников и подрядчиков.
• Проведение необходимого обучения и тренингов (обязательное требование BS7799: Часть 2 - 3.4.2.1).

Обучайтесь

С целью распространения лучших достижений мировой практики компания BSI разработала подробную программу обучения принципам, заложенным в разработку стандарта BS7799. Тренинги этой программы сгруппированы по следующим направлениям:

• Введение в Систему управления информационной безопасности (СУИБ) и в международный стандарт ISO/IEC 27001:2005.
• Внедрение СУИБ в соответствии с требованиями стандарта ISO/IEC 27001:2005.
• Внутренний аудит СУИБ на соответствие требованиям стандарта ISO/IEC 27001:2005.

По результатам обучения и сдачи экзамена BSI выдает международные сертификаты на английском языке, имеющие уникальный номер и признаваемые во всех странах как гарантия качества обучения и способности проводить соответствующие работы. К изучению программы компания BSI относится одинаково добросовестно по всему миру, привлекая в качестве тренеров для проведения занятий опытных профессионалов с реальным опытом проведения работ по данному стандарту.

В программе подробно рассматриваются требования стандарта, описывается методика BSI по внедрению стандарта (методы анализа рисков, разработки корпоративных политик и процедур, планов обеспечения непрерывности бизнеса, управления инцидентами, организационные вопросы управления, взаимосвязь с системой управления качеством), а также описываются принципы аудита и контроля эффективности внедренной системы. В ходе обучения рассматриваются типовые кейсы, которые помогут обучающимся сформировать понимание принципов внедрения стандарта и создания СУИБ применительно к своим компаниям, ознакомиться с методиками и составом основных документов СУИБ. Необходимо отметить, что в образовательных целях помимо методических материалов в раздаточные материалы включен сам текст стандарта.

Поскольку управление информационной безопасностью - это не набор мер или продуктов по защите информации, а процесс, то в программе в первую очередь раскрывается это понятие, малознакомое, но применимое в отечественных компаниях и организациях. В результате участия в программе можно будет уверенно осуществить выбор консультантов и аудиторов по стандарту, лучшим образом сформировать требования к проведению работ, точнее определить сроки выполнения работ, а также их стоимость и необходимые ресурсы.

В настоящий момент в обучении по данной программе приняли участие и продолжают обучение начальники отделов и ведущие менеджеры таких компаний, как Лукойл, ТНК-BP, Сбербанк России, Альфа-банк, банк "Возрождение", а также ряда зарубежных компаний, в том числе из Пакистана, Украины, Молдовы, Казахстана и Кыргызстана

Необходимо отметить, что содержание программы ориентировано в первую очередь на внутренних аудиторов информационных систем, специалистов служб поддержки качества, специалистов по информационной безопасности; аналитиков по рискам информационных систем, специалистов по планированию восстановления после чрезвычайных ситуаций, архитекторов информационных систем. Участие в программе также будет полезно руководителям служб автоматизации, служб информационной безопасности, менеджерам высшего эшелона компаний, желающим ознакомиться с лучшими рекомендациями в области управления информационной безопасности бизнеса.

Краткие курсы

При принятии решения о необходимости создания системы управления информационной безопасностью может понадобиться вводная презентация и краткий вводный курс для менеджеров компании - в первую очередь руководителей ИТ-службы и службы безопасности, а также топ-менеджмента. Длительность такого курса может составлять около 2-3 часов. На стадии формирования проектной команды, которая будет контролировать ход выполнения работ по внедрению стандарта или проводить их собственными силами, может возникнуть необходимость в ознакомлении с курсом "Внедрение Системы управления информационной безопасности в соответствии с требованиями стандарта ISO/IEC 27001:2005". Этот же курс рекомендуется для всех лиц, ответственных за бизнес-процессы и активы компании. При этом важно провести отдельно для специалистов по аудиту информационных систем и контролю за качеством обучение по курсу "Внутренний аудит СУИБ на соответствие требованиям стандарта ISO/IEC 27001:2005". В заключение внедренческих работ важно провести общеознакомительный тренинг для всех сотрудников компании, имеющих дело с СУИБ, и в качестве такого курса лучше всего подходит "Введение в Систему управления информационной безопасности и международный стандарт ISO/IEC 27001:2005".

Отдельно стоит отметить роль данных тренингов как составляющей различных ежегодных отраслевых конференций и совещаний руководителей служб информационной безопасности, проводимых компаниями для своих подведомственных структур. Большим плюсом является возможность прослушать курсы, специально разработанные или адаптированные под нужды и специфику конкретной отрасли или организации, в этом случае все примеры и задачи, используемые в курсе, могут быть переработаны. Акцент также может быть сделан на такие аспекты работы с системой управления, как интеграция с системами управления качеством по ISO 9001, методики и инструменты анализа рисков, управление ИТ-сервисами по ISO 20000, управление непрерывностью бизнеса.

В заключение стоит отметить, что особую значимость учебной программе BSI придает приближающееся принятие в России соответствующих стандартов серии ГОСТ Р ИСО/МЭК, аутентичных международным стандартам ISO/IEC 17799 и ISO/IEC 27001:2005.