Мнение практика. Комментарий к статье В.Г. Грибунина

Мнение практика

Комментарий к статье В.Г. Грибунина

Роман Просянников,
ведущий специалист компании «АНДЭК»

В продолжение разговора о разработке и реализации политики безопасности предприятия хочется особо остановиться на двух моментах.

Первый касается вопроса объективности аудита и особенностей построения или модернизации системы обеспечения информационной безопасности силами сторонней компании.

Как справедливо отмечено в статье, существуют два независимых этапа при построении/модернизации системы:

• аудит состояния информационной безопасности на данный момент;
• проектирование или планирование модернизации подобной системы.

Аудит в своих результатах содержит рекомендации по проектированию/модернизации. Поэтому, если оба этапа выполняет одна и та же компания, у нее возникает соблазн подготовить такое заключение по модернизации, которое будет «удобно» ей на стадии проектирования. Подобный подход способен негативно сказаться на объективности аудита.

Решений может быть несколько. В частности, многие серьезные клиенты, которые прибегают к услугам аудита и проектирования, выбирают для выполнения этих работ разных исполнителей.

Второй аспект, на котором хотелось бы остановиться, касается стандарта ISO 17799.

Безусловно, соответствие системы безопасности организации такому стандарту, как ISO 17799, свидетельствует о серьезном отношении к вопросам защиты информации. Однако в подавляющем большинстве случаев основной целью сертификации или аудита по данному стандарту служит не проверка «себя», а демонстрация другим того, что «у нас все в порядке».

В силу того, что стандарт ISO 17799 относится к числу международных норм, на него ориентируются достаточно «продвинутые» в вопросах информационной безопасности компании. С другой стороны, ISO 17799 является довольно простым стандартом. Как правило, организации, обращающие свое внимание на проверку по данному стандарту, в большинстве своем имеют систему информационной безопасности, которая соответствует ему как минимум на 80-90%.

Следовательно, если компания сертифицирована или прошла аудит по ISO 17799, это еще не значит, что защита информации находится на том уровне, который требуется самой компании.

Одним из альтернативных вариантов представляется создание в организации собственной системы управления рисками.