На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 2 март-апрель 2008 г.
Тема номера:
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ. ВНЕДРЕНИЕ И СЕРТИФИКАЦИЯ

С. Л. Зефиров, В. Б. Голованов


Предыдущая статьяСледующая статья

Немного статистики

Британские стандарты, содержащие требования к системам менеджмента информационной безопасности организаций (части 1 и 2 стандарта BS 7799), российским специалистам известны достаточно давно, практически с момента начала их победоносного шествия по планете. Достаточно широкая международная поддержка этих документов не в последнюю очередь предопределила то, что первая часть британского стандарта была принята в 2000 году по упрощенной ускоренной процедуре в качестве международного стандарта ИСО/МЭК 17799.

Однако в силу ряда причин российские специалисты в большей степени «присматривались» к британским (BS 7799) и международным стандартам (ИСО/МЭК 17799 и далее ИСО/МЭК 27001) на системы менеджмента информационной безопасности (СМИБ), нежели их использовали. Отдельные модельные решения, представлявшиеся полезными, заимствовались для применения в отдельных отраслях и компаниях, но широкомасштабного внедрения не случилось. Согласно сведениям международного реестра сертификатов на СМИБ организаций (http://www.ISO27001certificates.com), на февраль 2008 года только 6 российских компаний прошли сертификацию по требованиям стандартов СМИБ (BS 7799-2:2002 или ISO/IEC 27001:2005).

Всего же на тот период в реестре указаны сведения по 4193 действующим сертификатам на СМИБ организаций из более чем 70 стран мира, в числе которых (по нисходящей):

  • Япония – 2351 сертифицированная СМИБ;
  • Индия – 382 сертифицированные СМИБ;
  • Великобритания – 365 сертифицированных СМИБ;
  • Китай – 102 сертифицированные СМИБ;
  • США – 59 сертифицированных СМИБ.

То, что Япония впереди планеты всей (свыше 50 % всех сертификаций) – для специалистов не откровение. Вопросы обязательности сертификации СМИБ ключевых компаний там закреплены законодательно, и вообще все, что касается реализации модели непрерывного совершенствования (модели «Деминга– Шухарта») идет в Японии, что называется «на ура»).

Внедрение СМИБ и сертификация

Если оставить в стороне сертификационные вопросы СМИБ других стран, то в российской практике мотивацией к сертификациям скорее служат имиджевые мотивы, нежели какие-либо иные. Обязательность российским законодательством не предусмотрена, а сведения по объектам сертификации СМИБ российских компаний (в терминах ИСО/МЭК 27001 «ISMS scope» – область действия СМИБ) показывают, что предпочтения отдавались скорее наиболее «простым» объектам («низкой» сложности), нежели прочим. Данный вывод можно сделать, опираясь на критерии сложности объекта сертификации, представленные оценочным стандартом ИСО/МЭК 270062007 «Информационная технология. Методы и средства обеспечения безопасности. Требования для органов, осуществляющих аудит и сертификацию систем менеджмента информационной безопасности» (приложение А стандарта «Анализ сложности организации-клиента и характерные для сектора аспекты».

Сложившаяся в России ситуация не в последнюю очередь объясняется тем, что многие аспекты практической реализации требований стандартов СМИБ и место СМИБ в контексте общекорпоративного менеджмента (общеметодологический срез СМИБ) были неясны российским компаниям. Это не голословное утверждение. В 2004–2005 годах нам довелось участвовать (при консультационной поддержке компетентных специалистов транснациональной консалтинговой компании) в подготовке объекта одной из российских компаний к сертификации по BS 77992:2002/ ИСО/МЭК 27001. Уместно отметить, что позже сертификация прошла успешно. Комплекс документов «PD 3000» Британского института стандартов в поддержку внедрения BS 7799-2:2002 при его достаточно внушительном объеме для практики, к сожалению, был мало полезен, а иных методических документов не существовало. В этой связи абсолютно понятно, почему практически с момента введения в действие в 2005 году международного стандарта ИСО/МЭК 27001 (а реально еще ранее) стартовал процесс формирования системы документов требований и руководств по внедрению и оценке СМИБ, включая серию руководств практической реализации базовых технологий (риск-менеджмент, измерения и т. д.).

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100