В нашей стране начинает формироваться культура профессионального подхода к обеспечению информационной безопасности. Но специализированными подразделениями, отвечающими за решение таких задач, располагают преимущественно крупные фирмы

Согласно отчету компании Infowatch, 67% отечественных организаций не осведомлены о происходящих в их сетях инцидентах, а 58% не знают, при помощи каких средств можно бороться с теми или иными угрозами.

Многие фирмы по-прежнему довольствуются «лоскутной» защитой, внедряя разрозненные решения разных производителей и не считая нужным интегрировать их между собой. Такие преграды не выдерживают проверки на прочность и выходят из строя при любой серьезной атаке. Ошибок при внедрении и эксплуатации комплексных решений для обеспечения ИБ может быть множество, но результат чаще всего один: неправильно установленные механизмы бездействуют, а бреши в обороне притягивают внимание злоумышленников.

Антал Шомоди: «Инвестиции предприятий в сертификационные испытания окупятся в короткие сроки, а новый статус позволит компаниям увеличить прибыль»

Как правило, подобные проблемы возникают из-за отсутствия опыта и должных знаний у специалистов отделов ИБ. Не имея возможности или желания доверить собственную безопасность профессионалам «со стороны», компании проектируют систему защиты самостоятельно. Но если не забывать об элементарных правилах обращения со средствами ИБ, и в этом случае можно рассчитывать на успех.

Одно из главных условий — соблюдение стандартов безопасности, разработанных ведущими российскими и зарубежными специалистами. В этой области существует несколько основных спецификаций: ГОСТ Р 51624-2000 «Автоматизированные системы в защищенном исполнении», ГОСТ 51583 «Порядок создания автоматизированных систем в защищенном исполнении», ISO 18028 IT Network Security («ИТ сетевая безопасность»), ISO 17944 Framework for security in financial systems («Основа безопасности в финансовом секторе»), ISO 17799 Code of practice for information security management («Свод правил для управления информационной безопасностью») и др. Кроме того, перед началом работ не лишним будет изучить опыт коллег из таких фирм, как Microsoft и Check Point, разработавшие собственные рекомендации для построения комплексных систем защиты.

Солидным организациям, относительно свободным в распределении бюджетных средств, специалисты все-таки рекомендуют при проектировании и внедрении механизмов информационной защиты обращаться к профессиональным консультантам и инженерам. С их помощью можно грамотно пройти все стадии построения системы, ключевыми из которых, по мнению сотрудников консалтинговой фирмы SGS, являются аудит и процедура сертификации.

Проверка ИС заказчика на соответствие положениям российских и зарубежных стандартов является залогом того, что дальнейшие действия по созданию системы ИБ приведут к результатам, соответствующим запросам клиента. Это особенно важно для организаций финансового сектора, для которых нарушение целостности систем может иметь печальные последствия.

О необходимости сертификации на соответствие стандартам ISO17799/BS7799:2 говорили известные эксперты, принявшие участие в совместном семинаре компаний «Открытые Технологии» и SGS. Антал Шомоди, ведущий аудитор СОИБ и систем менеджмента качества SGS, подчеркнул, что инвестиции предприятия в сертификационные испытания окупятся через короткое время, а новый статус компании поможет ей увеличить прибыль. Благодаря грамотной безопасной организации процессов ИС, а также полученной документации фирма-заказчик может значительно повысить свою инвестиционную привлекательность.

А для организаций госсектора и финансовых предприятий сертификация системы ИБ является необходимой и обязательной процедурой. Без внедрения единых правил обеспечения защитных механизмов отдельные структуры просто не смогут взаимодействовать между собой, гарантируя целостность и конфиденциальность передаваемой информации. Поэтому и к коммерческим структурам, которые ведут дела с солидными государственными организациями, предъявляются жесткие требования в отношении сертификации. Выполнение определенного свода требований не только дает компании право на сотрудничество с крупными клиентами, но и обеспечивает ей конкурентные преимущества.

Российский системный интегратор рекомендует партнерам заказывать услуги аудита и сертификации в SGS. Эта организация является одним из лидеров в областях сертификации качества, предоставления услуг интегрированной сертификации систем, а также разработки отраслевых стандартов. Примерно 31% компаний из списка Global Fortune 500 стали заказчиками SGS, а общее число клиентов SGS превысило 50 тыс. Отметим, что эта фирма является членом Международной независимой организации по сертификации (IIOC) и Европейского фонда управления качеством (EFQM), а ее руководитель назначен специальным советником генерального секретаря Международной организации по стандартизации (ISO).

В России SGS работает уже несколько лет, имеет штат, состоящий из тысячи человек, и сеть региональных филиалов. У компании есть необходимые лицензии на проведение работ для организаций из различных отраслей экономики, что дает ей право выдавать сертификаты отечественного и международного образцов.