Компания "АМТ-Груп" провела ежегодный, уже пятый по счету, семинар "Практика интегрированных систем обеспечения информационной безопасности". На нем был представлен как собственный опыт компании в построении систем информационной безопасности, так и решения ее партнеров. Основное внимание на этот раз уделялось системам менеджмента информационной безопасности (СМИБ), которые призваны минимизировать риски предприятий и повысить эффективность используемых систем защиты информации.
Обеспечение безопасности, как отметил Андрей Рогожин, руководитель по развитию направления информационной безопасности "АМТ-Груп", это долгосрочный итеративный процесс, при реализации которого компании часто сталкиваются с несоответствием внедренных контрмер условиям постоянно изменяющихся угроз. Оно должно базироваться на четырех постоянно взаимодействующих блоках – планирования, реализации, проверки и совершенствования системы информационной безопасности . Важную роль в СМИБ играют стандарты – как корпоративные, так и международные ISO 27001, ISO 14001, а также отечественные стандарты, в частности стандарт Центробанка России.
Структура информационной безопасности должна быть многоуровневой, и на каждом уровне должны применяться соответствующие технические и организационные средства. В качестве примеров Рогожин привел системы безопасности компаний "ОКГ-1", "ОГК-2", "АКАДО-Телеком" и "УРСА Банка". На первом предприятии проведена стандартизация СМИБ на основе ISO/IEC 27001:2005, на всех уровнях реализации проект получал полную поддержку руководства, и полностью выделялись необходимые ресурсы. Была разработана и утверждена методика анализа рисков, осуществлена инвентаризация и классификация информационных активов в области действия СМИБ. Постоянно проводится аудит текущего уровня обеспечения безопасности Важную роль в успешной реализации проекта сыграло и обучение сотрудников "ОГК-1". Последний элемент становится необходимым звеном в области реализации эффективной СМИБ, так же, как и мероприятия по повышению осведомленности всех сотрудников компании в области ИБ.
Большое значение имеет регистрация соответствия СМИБ всем нормативным актам, ее аттестация и сертификация. В "АМТ-Груп" год назад было создано подразделение сертификационного производства, которое проводит сертификацию всех устройств Cisco Systems, используемых на предприятиях заказчиков, в соответствии с процедурами, утвержденными отечественными регулирующими органами. Стоимость подобной услуги, по словам руководителя подразделения Геннадия Кравченко, составляет 15-20% от стоимости устройств. В дальнейших планах проведение аналогичной сертификации устройств Juniper Networks и других вендоров "АМТ-Груп".
Марина Соколова, директор направления развития бизнеса российского подразделения British Standards Institution, старейшей организации в области стандартизации, которой, по собственным данным, принадлежит 70% мирового рынка сертификации СМИБ, отметила, что всего в странах СНГ выдано 19 сертификатов на соответствие СМИБ международному стандарту ISO/IEC 27001, из них 13 – российским компаниям, два – в Казахстане и по одному в Киргизии, Молдове, на Украине и в Армении. Среди российских предприятий, получивших такие сертификаты, она привела "ЛУКОЙЛ-Информ", РОСНО, "Межрегиональный Транзит Телеком", "ТрансТелеКом", "Крок" и ЛАНИТ. Лидирует по этому показателю Япония, в которой подобные сертификаты имеют более 2,8 тыс. компаний (из 5 тыс., получивших сертификаты во всем мире). Как правило, российские предприятия внедряют ISO 27001 по требованию третьей стороны (акционеры, потенциальные покупатели бизнеса и т. п.). Важное место в деятельности BSI занимает подготовка внутренних аудиторов по СМИБ, которые затем осуществляют сопровождение систем, прошедших сертификацию по ISO 27001, на своем предприятии.