Стандарты: у всех на устах

Колонка редактора

М.Ю. Пышкин
директор направления информационной безопасности INLINE Technologies, CISM BS7799 LA

Стандарты: у всех на устах

В настоящее время во всех сферах информсообщества обсуждаются проекты национальных стандартов по информационной безопасности ГОСТ Р ИСО/МЭК 17799 и ГОСТ Р ИСО/МЭК 27001.

Что можно сказать об этих стандартах, учитывая небольшой объем редакторской журнальной колонки?

Очень важно, что стандарты ГОСТ Р ИСО 17799 и 27001 способствуют внедрению модели управления операционными рисками в общий риск-менеджмент компаний, поскольку это, как известно, слабое место не только российских, но и многих зарубежных организаций. Важность работ по анализу рисков была отражена до этого в некоторых российских стандартах, но в ГОСТ Р ИСО 17799 и 27001 эта тема раскрыта более широко, в частности, в документе ГОСТ Р ИСО 17799 приводятся конкретные правила осуществления данных работ. А такие вопросы, как управление инцидентами безопасности и планирование непрерывности бизнеса пока не нашли отражения в других российских стандартах и, по сути, являются характерными только для ГОСТ Р ИСО 17799 и 27001. Хочется надеяться, что вскоре положения вышеуказанных стандартов найдут свое отражение в соответствующих российских технических регламентах.

Что касается российского стандарта СТО БР ИББС-1.0-2006 ("Обеспечение информационной безопасности организаций банковской системы РФ. Основные положения"), упомянутого в статье С.А. Леденко, А.С. Маркова и И.А. Чикалева, думается, что в нем не хватает ясности в части отношения к международной сертификации и сертификатам по ISO/IEC 27001, ведь получение таких сертификатов также является основой успешной конкуренции российских компаний, в том числе банков, на международном рынке.

К настоящему моменту успешно перевели свои системы с BS 7799-2:2002 на ISO/IEC 27001 и получили соответствующие сертификаты компании CMA Small Systems AB (штаб-квартира в Швеции), КРОК и "Лукойл-Информ". Также совсем недавно получила сертификат компания Luxsoft (группа ИБС). Из бывших республик Советского Союза вслед за компаниями Армении (LLYNX BV) и Литвы (TietoEnator Oyj, Processing and Networks) сертификат по ISO/IEC 27001 в августе этого года получила молдавская компания Compudava SRL (группа Endava, штаб-квартира в Великобритании). Стоит отметить, что большая часть сертифицированных российских компаний занимается разработкой ПО; возможно, это начало волны сертификаций в данной отрасли, схожей по своей тенденции с сертификацией по CMMI. Что касается темпов сертификации российских компаний, то они достаточно высоки, хотя в общем соотношении мы существенно отстаем от других европейских государств.