Добровольно системы управления информационной безопасностью не внедряют
Современным предприятиям уже мало просто установить средства защиты, из них нужно построить комплексную систему, а этой системой необходимо еще и управлять. Таким образом компания должна создать систему управления информационной безопасностью, предполагающую не только наличие системы защиты, но и ее постоянную подстройку под новые условия: угрозы и приложения. Для обеспечения работы СУИБ требуется сформировать специальную службу информационной безопасности, которая должна подчиняться не отделу ИТ, а службе безопасности, а лучше — напрямую руководству компании.
От качества работы СУИБ зависит эффективность защиты, поэтому созданы методики проверки качества, которые были воплощены в британский стандарт BS 7799-2. Аналогичный стандарт был принят на международном уровне под именем ISO/IEC 17799, а в России он был положен в основу стандарта Центрального банка РФ. По структуре этот стандарт похож на серию стандартов качества ISO 9000, только вместо жалоб пользователей, как критерий качества работы в нем используются инциденты безопасности. Все эти стандарты пока являются добровольными.
Когда в Великобритании приняли стандарт BS 7799, правительство рассчитывало на то, что компании сами начнут проявлять интерес к сертификации, но этого не произошло. Процедура сертификации оказалась достаточно дорогой, и поэтому даже для средних компаний сложно было найти ее экономическое обоснование. В результате процедуру в основном проходили крупные компании. Однако британское правительство, желая стимулировать процесс сертификации по соответствующему стандарту, ввело следующую норму: к участию в государственных тендерах допускаются только те компании, безопасность которых проверена, и они имеют соответствующий сертификат. После этого популярность BS 7799-2, разумеется, резко возросла.
В США есть другая норма, которая относится, в том числе и к российским компаниям, это Sarbanes-Oxley Act (сокращенно SOX). Стандарт предписывает всем компаниям, акции которых котируются на американских фондовых биржах, гарантировать защищенность своей конфиденциальной информации. Лучшим же доказательством предпринятых мер защиты является сертификат на систему управления информационной безопасностью. Согласно SOX, если компания не примет соответствующих мер защиты, то с ее акциями после 1 января 2006 года нельзя будет совершить ни одной сделки. Поэтому российским компаниям, акции которых котируются в США, придется проходить сертификацию по соответствующим стандартам до конца этого года.
В России 1 декабря 2004 года Центробанк опубликовал собственный стандарт на управление системой информационной безопасности банка, который называется «Обеспечение информационной безопасности организаций банковской системы РФ». Стандарт базируется на ISO 17799, но с добавлением российской специфики. Пока стандарт является рекомендательным, и Центробанк обкатывает заложенные в нем положения на нескольких пилотных зонах. Кроме того, Центробанком разрабатываются дополнительные материалы, такие как «методика аудита ИБ БС» и «методика оценки состояния ИБ БС», которые будут использованы для сертификации организаций. Видимо, под них будет создаваться система сертификации Центробанка. А потом так же, как в Великобритании и США, стандарт окажется ключевым требованием, например, при работе с банковской системой РФ. Имея в виду такой поворот событий, банки уже сейчас начинают изучать возможности внедрения соответствующего стандарта.