Внедрение системы менеджмента информационной безопасности – ISO 27001
Главная задача современности
Сектор информационных технологий (ИТ) в течение нескольких лет развивается стремительными шагами – значительно быстрее, чем другие ветви экономики. Объем мирового рынка ИТ уже превышает 3,5 трлн долл. США (Сравним: объём рынка Польши составляет 8 млрд долл. США, а Беларуси – 1 млрд. долл. США). Одним из самых активных сегментов является программное обеспечение, ежегодный рост которого составляет около 6%. В настоящее время ИТ основательно проникли во все сферы деятельности, оказывая значительное воздействие как на экономику стран, так и на повседневную жизнь людей. Как показывает мировой опыт – сейчас конкурентоспособность экономики страны непосредственно связана с уровнем развития ИТ. В связи с этим все государства ставят своей задачей совершенствовать рынок информационно-коммуникационных технологий (ИКТ), принимая и разрабатывая на будущее национальные программы развития этой отрасли. Создание общества, ориентированного на информационные технологии, в Республике Беларусь рассматривается как один из национальных приоритетов.
Почему сейчас самое время защитить свою информацию?
По предоставленным данным аналитического центра InfoWatch в 2016 году было зарегистрировано 1556 случаев (только обнародованных в СМИ, и эта цифра составляет сотую долю от всего числа подобных инцидентов) утечки конфиденциальной информации. По сравнению с прошлым годом число утечек выросло на 3,4%.
В 2016 году в 36% случаев источниками утечек информации были настоящие (33,9%) или бывшие (2,1%) сотрудники самих предприятий. Более чем в 2% инцидентов была зафиксирована вина работников, занимающих руководящие должности (топ-менеджмент, главы департаментов и отделов) и системных администраторов. Процент утечек, произошедших на стороне подрядчиков, чей персонал имел законный доступ к защищаемой информации, составила 6%.
Чаще всего происходили утечки данных из медицинских учреждений (25,8%), реже всего — в сфере промышленности и логистики (3,9%). По объему скомпрометированных записей первенство принадлежит компаниям IT-сектора, прежде всего крупным интернет-сервисам и торговым онлайн-площадкам. На их долю приходится почти 3/4 (73,6%) от всего объема в 2016 году данных. Немалая часть пришлась и на торговые компании, отели и рестораны — 11,9%. На госорганы и муниципальные учреждения приходится 9,9% от всего объема дискредитированных данных.
Распределение количества утечек и объёма скомпрометированных персональных данных по отраслям:
Статистика, описанная выше, объясняет почему на сегодняшний день вопрос обеспечения информационной безопасности один из наиболее актуальных не только в сфере информационных технологий и в банковской отрасли, где защита информации всегда была на ведущих ролях, но и во множестве других отраслей экономики. Эти динамичные системы нуждаются в регулярном анализе защищенности и мгновенном устранении обнаруженных угроз безопасности. Обеспечение комплексной защиты информации в режиме 24/7 является для большинства крупных корпораций непростой задачей.
ISO 27001 – базовая платформа для защиты информации
Для защиты информации был разработан отраслевой стандарт ISO/IEC 27001, который содержит лучшие мировые практики и может применяться компаниями любого вида деятельности и размера. При правильном использовании система обеспечивает эффективное управление и защиту ценных данных, активов и информации компании, позволяет минимизировать подверженность рискам (например, нарушения безопасности платежей и попытки взлома) и предоставляет клиентам и заинтересованным сторонам уверенность в том, что компания управляет этими рисками.
Япония – лидер по величине выданных сертификатов ISO 27001
От даты применения новых правил, производители медицинских устройств должны будут применять последующее наблюдение за рынком или послепродажное наблюдение за рынком (для IVD), то есть постоянно обновлять свою систему послепродажного наблюдения. Для имплантируемых и устройств класса III сводка о безопасности и клинических характеристиках должна составляться производителями и проверяться уполномоченными органами до того, как они станут общедоступными и будут зарегистрированы в ЕС.
По данным Международной организации по сертификации (ISO) число выданных сертификатов в мире по сравнению с прошлым годом увеличилось на 20%. В пятёрку стран с наибольшим количеством сертификатов входят Япония (8240), Великобритания (2790), Индия (2490), Китай (2469) и США (1247). В нашей стране было выдано 15 сертификатов, когда в Польше в то время – 448.
ISO 27001 обеспечивает очевидные преимущества, которые может получить организация путем сертификации:
- построение надежного скелета информационной безопасности
- защита данных и интеллектуальной собственности
- создание новых возможностей для бизнеса (например, сотрудничество с банками и финансовыми компаниями)
- повышение лояльности клиентов
- избежание финансовых и репутационных потерь, связанных с дискредитацией данных
- доверие инвесторов
- соблюдение в бизнесе правовых и договорных требований
- предотвращение кибер-атак и утечки данных
- соответствие требованиям подрядчиков и заинтересованных сторон
- получение конкурентного преимущества на рынке
- удовлетворение потребностей в цепочке поставок
А как обстоят дела в Беларуси?
В Беларуси с каждым годом значительно увеличивается количество IT-компаний. На данный момент насчитывается 1074 организации, работающие в этой отрасли (сертификат по стандарту имеет только около 2% организаций). Большинство из них, а это примерно 90% находятся в Минске. Количество резидентов ПВТ составляет 165 компаний. Только одна из десяти компаний не занимается разработкой ПО на заказ, что подтверждает абсолютное преимущество данного вида деятельности на белорусском рынке. 10 белорусских компаний вошли в Software «500 лучших мировых поставщиков IT услуг».
Первый в Беларуси сертификат по ISO 27001 был получен ещё в 2008 году минским центром разработки международной IT-компании TietoEnator. Также одними из первых данный процесс прошли такие компании, как EPAM и IBA – крупнейшие в Беларуси разработчики прикладного ПО. С того момента прошло много времени и уже не одна компания имеет заветный сертификат. С 2008 по 2014 гг. было получено только 7 сертификатов, а с 2015 по настоящий момент – 23, что составляет рост в 329%. Пока действует версия ISO/IEC 27001:2013, сертификат получить гораздо проще. Сейчас в разработке находится обновлённая версия стандарта и требования станут более жёсткими. Получите сертификат одним из первых за меньшие сроки и деньги.
В чём же причины интереса к одному из самых известных стандартов из семейства ISO?
Во-первых, логично, что при таком стремительном росте количества компаний в секторе IT возникает большая конкуренция на заказы по разработке ПО. Сертификация по ISO 27001 – это один из способов показать потенциальному клиенту свою состоятельность в данной отрасли и готовность сотрудничать с серьёзными заказчиками. СМИБ показывает, что вы заботитесь, как о защите свой информации, так и информации клиента.
Во-вторых, требование о наличии сертификата ISO 27001 на тендерах сейчас далеко не редкость. В организациях зачастую нарушается безопасность и вследствие чего они несут серьёзные потери, и более крупные компании относятся к этому аспекту очень строго: они сами проходят сертификацию и выдвигают требования своим поставщикам. То и дело в тендерах появляются такие условия от финансовых организаций, предприятий розничной торговли, банковской сферы и госучреждений. В случаях, если организация не соответствует этим стандартам, она попросту не сможет участвовать и соответственно победить в тендере. Небольшие компании прежде всего думают, как меньше потратить, а крупные – как больше заработать!
В-третьих, никто не отменял защиту информации от утечек и кибер-атак в организации, особенно в этот момент, когда вирусы становятся сильнее (например, атака, совершенная 12 мая этого года. Ссылка: https://meduza.io/feature/2017/05/12/po-vsemu-miru-rasprostranyaetsya-virus-vymogatel-v-rossii-zarazheny-megafon-i-mvd-po-menshey-mere). Вы не можете купить безопасность компании! Но можете купить необходимое оборудование, на базе которого можно будет реализовать политику безопасности. Сертификация – это доказательство защищённости вашей информации и информации клиентов. Внедрить СМИБ проще сейчас, чем потом восстанавливать репутацию после утечки важной информации.
В-четвёртых, «туз в рукаве» в виде сертификата ISO 27001 позволит компании привлекать крупных иностранных и отечественных инвесторов, которые будут видеть, что ваша система прозрачна и работает на должном мировом уровне. Сильнее в борьбе за инвесторов и заказчиков будет тот, кто готов постоянно развиваться и предлагать то, что требует рынок и чуть-чуть больше!
Для каких отраслей помимо IT вопрос о сертификации актуален?
Сертификация по стандарту ISO 27001 будет актуальна для компаний любой сферы деятельности, так как основная их масса работает с персональными данными и соответствие требованиям стандарта повышает лояльность клиентов к организации.
Количество выданных в мире сертификатов ISO 27001 распределилось по отраслям следующим образом:
К «Другим» в основном относятся компании из банковской, финансовой и юридической сфер.
Насколько трудным является процесс сертификации?
Заранее сказать практически невозможно. В целом же можно утверждать, что внедрение стандарта ISO 27001 – довольно длительный процесс, продолжительность которого обуславливается многими причинами: начального состояния информационной безопасности на предприятии, желании руководства и персонала к изменениям, числа процессов в компании, наличия других внедренных стандартов (например, ISO 9001). С хорошей точностью сказать средний срок внедрения стандарта и прохождения сертификации нельзя, потому что есть очень много факторов, от которых он напрямую будет зависеть.
Как не прогадать с выбором консалтинговой компании
Вы конечно можете сами постараться пройти этот путь, но следует учесть несколько моментов: вам придётся найти эксперта со знанием английского языка (документация разрабатывается на нём), который бы вас консультировал по возникающим вопросам, или выделять своего сотрудника, если он знает досконально все требования стандарта, найти аудитора для проверок, обратиться в орган (часто заявки очень долго обрабатываются) и т.д.
Какой выход может быть в данной ситуации? – Прибегнуть к помощи специалистов, т.е. консалтинговых компаний.
К выбору консалтеров, которые будут помогать вам во внедрении ISO-27001, нужно подойти максимально внимательно. В другом случае можно и вовсе не получить долгожданный сертификат, а потратить деньги впустую и подвергнуться краже ценной информации. Разумеется, стоит навести справки у тех, кто уже пользовался их услугам.
Несмотря на то, что услуги консалтинговых компаний обходятся в копеечку, будет опрометчиво думать, что решение выполнить всё своими силами позволит вашей компании сэкономить. Тому, кто никогда не работал с международными стандартами в области менеджмента, довольно сложно сразу построить систему менеджмента информационной безопасностью таким образом, чтобы она удовлетворяла всем требованиям стандарта и сертифицирующих органов. А каждая итерация с исправлением ошибок стоит времени и денег. Кроме того, чрезвычайно сложно иногда определить, какие именно риски наиболее важны для организации, и отказаться от защиты, которая используется по привычке, а не по необходимости. А эта защита также стоит денег.
К слову сказать, сплошь и рядом компании думают, что сертифицированная система управления информационной безопасностью будет стоить им дороже, чем несертифицированная. Впрочем, чаще затраты после сертификации, наоборот, уменьшаются, вследствие того, что организация сосредотачивается на основных для неё рисках, а не пытается защититься от всего, что в принципе может кому-либо угрожать.
Получить сертификат в Беларуси стало ещё проще
У нас в стране есть консалтинговые компании, которые предоставляют услуги по сертификации ISO/IEC 27001. При выборе одной из них нужно обратить внимание на опыт успешных проектов и квалификацию экспертов, потому что именно от последних будет зависеть уникальность и работоспособность вашей системы на выходе. При сотрудничестве с отечественными консалтерами вы избегаете НДС и НДИ на стоимость услуг по внедрению и сертификации ISO 27001, оказываемых сертифицирующей компанией, при работе же с иностранцами эти налоги придётся уплатить. Также одним из несомненных плюсов в сторону «своих» относится непосредственная близость к вашей компании – всегда в сжатые сроки можно выехать на предприятие и решить все вопросы при личной встрече. В свою очередь стоит учесть и возможность подписания с консалтинговой компанией соглашения о конфиденциальности (NDA) и уровне обслуживания (SLA), первое из них нужно для того, чтобы те данные, которые вы будете предоставлять консалтерам подлежали неразглашению, а второе – гарантирует положительный результат, т.е. успешное прохождение сертификации. Сертификация СМИБ – это инвестиция в развитие вашей компании!
Узнайте больше о сертификате менеджмента информационной безопасности ISO 27001 у наших специалистов
Читайте также