Компания «АМТ-Груп» провела ежегодный, уже пятый по счету, семинар «Практика интегрированных систем обеспечения информационной безопасности». На нем был представлен как собственный опыт компании в построении систем информационной безопасности, так и решения ее партнеров. Основное внимание на этот раз уделялось системам менеджмента информационной безопасности (СМИБ), которые призваны минимизировать риски предприятий и повысить эффективность используемых систем защиты информации.
Обеспечение безопасности, как отметил Андрей Рогожин, руководитель по развитию направления информационной безопасности «АМТ-Груп», это долгосрочный итеративный процесс, при реализации которого компании часто сталкиваются с несоответствием внедренных контрмер условиям постоянно изменяющихся угроз. Оно должно базироваться на четырех постоянно взаимодействующих блоках — планирования, реализации, проверки и совершенствования системы информационной безопасности. Важную роль в СМИБ играют стандарты — как корпоративные, так и международные ISO 27001, ISO 14001, а также отечественные стандарты, в частности стандарт Центробанка России.
Структура информационной безопасности должна быть многоуровневой, и на каждом уровне должны применяться соответствующие технические и организационные средства.
Большое значение имеет регистрация соответствия СМИБ всем нормативным актам, ее аттестация и сертификация. В «АМТ-Груп» год назад было создано подразделение сертификационного производства, которое проводит сертификацию всех устройств Cisco Systems, используемых на предприятиях заказчиков, в соответствии с процедурами, утвержденными отечественными регулирующими органами. Стоимость подобной услуги, по словам руководителя подразделения Геннадия Кравченко, составляет 15-20% от стоимости устройств. В дальнейших планах проведение аналогичной сертификации устройств Juniper Networks и других вендоров «АМТ-Груп».
Марина Соколова, директор направления развития бизнеса российского подразделения British Standards Institution, старейшей организации в области стандартизации, которой, по собственным данным, принадлежит 70% мирового рынка сертификации СМИБ, отметила, что всего в странах СНГ выдано 19 сертификатов на соответствие СМИБ международному стандарту ISO/IEC 27001, из них 13 — российским компаниям, два — в Казахстане и по одному в Киргизии, Молдове, на Украине и в Армении. Среди российских предприятий, получивших такие сертификаты, она привела «ЛУКОЙЛ-Информ», РОСНО, «Межрегиональный Транзит Телеком», «ТрансТелеКом», «Крок» и ЛАНИТ. Лидирует по этому показателю Япония, в которой подобные сертификаты имеют более 2,8 тыс. компаний (из 5 тыс., получивших сертификаты во всем мире). Как правило, российские предприятия внедряют ISO 27001 по требованию третьей стороны (акционеры, потенциальные покупатели бизнеса и т. п.). Важное место в деятельности BSI занимает подготовка внутренних аудиторов по СМИБ, которые затем осуществляют сопровождение систем, прошедших сертификацию по ISO 27001, на своем предприятии.