Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Стандарти и регулации
бр. 6, 2009

III. Стандартизация, сертификация и акредитация във връзка с управлението на сигурността

В контекста на поддържането на огромни регистри с лични данни и предоставянето на онлайн услуги, въвеждането на стандартите за управление на сигурност е гаранция за успешен бизнес. Тази статия е продължение на прегледа на съществуващите стандарти в областта и важните аспекти във връзка с успешното им внедряване, който представяме в няколко поредни броя на списание CIO

от , 10 юни 2009 2 11636 прочитания,
Страница 1 от 2

инж. Марио Миладинов

В първата и втората част на тази публикация разгледахме стандартите БДС ISO/IEC 27001/2:2008, развитието на стандартите за сигурност на информацията от серията 27ххх, дейностите по управление на риска за сигурността на информацията, стандартите от серията БДС ISO/IEC 20000, позволяващи на доставчиците на ИТ услуги да повишат качеството и оптимизират разходите си. Тук ще се спрем накратко на още една група стандарти и на някои общи въпроси във връзка с въвеждането на системите за управление на сигурността и сертифицирането на организациите в тази връзка.

Серията ISO/IEC 90000

ISO/IEC 90003:2004 предоставя указания за организациите за прилагане на ISO 9001:2008 при придобиване, доставяне, разработка, експлоатация и поддържане на компютърен софтуер и свързаните с него услуги. Стандартът няма за цел да добавя или променя изискванията на ISO 9001. Прилагането на ISO/IEC 90003 е подходящо за софтуер, който е:

  • част от договор с друга организация,
  • продукт, разработван за определен пазарен сектор,
  • използван за поддръжка на бизнес процеси в дадена организация,
  • вграден в хардуерен продукт или
  • свързан със софтуерни услуги.

Някои организации може да покриват всички дейности описани по-горе, други може да се специализират в една или няколко от тях. Независимо от ситуацията, организационната система за качество трябва да покрива всички аспекти на бизнеса (свързани или несвързани със софтуера).

Стандартът определя въпросите, които трябва да бъдат решени и е независим от технологията, моделите на жизнения цикъл, процесите на разработване, поредицата от дейности и организационната структура, използвани в организацията. Допълнителните указания и честите позовавания на други стандарти за софтуерен инженеринг са направени, за да се подпомогне внедряването на стандартите за качество и по-специално ISO 9001, ISO/IEC 12207, ISO/IEC TR 9126, ISO/IEC 14598, ISO/IEC 15939 и ISO/IEC TR 15504.

Очаква се в рамките на следващата година да бъде завършен и приет стандарта ISO/IEC 90006:2010 Information Technology -- Guidelines for the application of ISO 9001:2000 to IT service management.

Мащабируемост, сертификация и акредитация

Бурното технологично развитие и яростната конкуренция в края на 20-ти век превърна банките, застрахователните и осигурителните дружества, както и компаниите от много други сектори, от консервативни институции в реални доставчици на специфични ИТ услуги за своите клиенти и партньори. В контекста на поддържането на огромни регистри с лични данни и предоставянето на онлайн услуги, въвеждането на стандартите за управление на сигурност и/или на услуги е гаранция за успешен бизнес и генератор на доверие, без което нито един участник на пазара не може да издържи на конкуренцията. От друга страна организациите (особено финансовите) ползват услугите на доставчици на софтуер и услуги, които са в състояние да демонстрират своите възможности, посредством сертифициране, съобразно изискванията на общопризнатите стандарти за управление като БДС ISO 9001,БДС ISO/IEC 20000 и БДС ISO/IEC 27001.

Приемане, въвеждане и внедряване на стандарти. Българският институт за стандартизация (БИС - http://www.bds-bg.org ) е националният орган за стандартизация в Република България. Институтът разработва, приема и одобрява български стандарти и въвеждане на европейски и международни стандарти като български стандарти и участва в работата на европейските и международните организации за стандартизация, а дейността му се регламентира със Закона за националната стандартизация (ЗНС). БИС е обществено-правна организация, в която членуват всички заинтересовани от дейността по стандартизация фирми, организации и институции.

Основните преимущества, които една организация получава при използване на стандартите от серията БДС ISO/IEC 27ххх и БДС ISO/IEC 20000 са:

  • Гъвкавост – Стандартите са разработени като една широка рамка и съдържат компилация от най-добрите практики, които могат да бъдат приложени във всяка компания или организация, независимо от нейния размер или бранш.
  • Резултатност - Крайният резултат е много по-добър от този при използването на всеки друг известен сборник с добри практики. Това са български стандарти, а принадлежността им към серията ISO/IEC дава възможност на инициаторите за внедряването му в конкретната фирма или организация по-бързо и по-лесно да приобщят в процеса всички необходими за това участници.
  • Доверие - БДС ISO/IEC 27ххх и БДС ISO/IEC 20000 се използват като подходящ инструмент за сертифициране с оглед по-бързо установяване на доверие между партньорите и демонстриране на качество в областта на сигурността на информацията и ИТ услугите от най-различни по своя бизнес и структура организации.

Сертифициране за съответствие. Въвеждането на системите за управление (на сигурност и/или на ИТ услуги) е продължителен процес и сериозно предизвикателство пред мениджмънта, експертите и целия персонал на организацията. Подходящият избор на консултант, схема за внедряване и последващо сертифициране (от акредитиран орган по сертификация) е решение, което би позволило на организацията да въведе систематизиран подход при управление на сигурността и/или услугите, както и съответни форми на контрол върху процесите с цел гарантиране защитата на информационните ресурси и качеството на ИТ услугите. Преди да изберат подходящ орган за сертификация, потребителите на тези услуги имат възможност да направят онлайн справка относно териториалните ограничения и обхвата на акредитация на всеки орган в сайта на съответния национален орган за акредитация.

Акредитиране на органите по сертификация. Процесът по акредитация у нас се реализира от Изпълнителна агенция "Българска служба за акредитация" (ИА БСА - http://www.nab-bas.bg/ ). Схемата на акедитиране и сертифициране е илюстрирана на фигура 1. Дейността на агенцията е безпристрастна и независима и се основава на изискванията на Закона за акредитацията, извършвана от Българската служба за акредитация (ЗАИБСА), стандарта ISO/IEC 17011 “Оценка на съответствието – общи изисквания към органи по акредитация, извършващи акредитация на органи за оценка на съответствието” и системата за управление на агенцията. Оценяването на всеки орган по сертификация се извършва по изискванията на съответните стандарти за акредитация, ръководствата на ISO/IEC, ЕА, IAF, ILAC и българското законодателство. Процесът на акредитация е доброволен и протича по не дискриминиращ начин, като се осигурява равнопоставеност на всички клиенти. Той се базира на процедури, обявени в интернет - страницата на ИА „БСА”. Процедурите се съгласуват периодично с всички заинтересовани страни, представени в Съвета за акредитация към ИА БСА.

 

Фигура 1: Схема на процесите по акредитация и сертификация в РБ

 

Интегриране на сигурност и качество на услуги

Връзката между управлението на качество, сигурност на информацията и на ИТ услугите е толкова органична, че много организации вземат решение за внедряване и сертифициране, съобразно трите серии от стандарти (БДС ISO 9001, БДС ISO/IEC 20000 и БДС ISO/IEC 27001). Обикновено организациите наемат консултант, въвеждат един набор от стандарти, усъвършенстват своята работа, за да отговорят напълно на изискванията и тогава предприемат следващи стъпки, за да внедрят и сертифицират системата по другата серия стандарти.

Ако съответствието се доказва със сертификат, повечето организации планират одитите за надзор по основната схема и сертификацията по новия стандарт да се провеждат едновременно. На практика, когато обхватът на всеки от одитите е един и същ е възможно да има комбиниран и интегриран подход. Това обаче се случва рядко. Повечето организации имат различни сертификати за всеки стандарт, като всеки сертификат има сроден, но различен обхват. Налице са и уникални ситуации, при които част от сертификатите са издадени от различни органи по сертификация.

1 2

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов