Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 6, 2011

ISO 27001 и инвестицията в информационна сигурност в реалния свят

от , 20 юни 2011 2 7358 прочитания,

В бизнес отношенията, гарант за спазване на добрите практики са сертификатите. В тази статия ще разгледаме по-подробно ползите, които  сертифицирането носи на организациите, до колко и за кого е оправдано инвестирането на ресурси в получаването на сертификат ISO 27001
Когато компаниите назначават нов служител, едно от основните „входни” изисквания е подходящото образование, подкрепено с диплома от уважаван  (признат) университет. В бизнес отношенията, гарант за спазване на добрите практики са сертификатите, а от своя страна гаранция за тяхното качество е уважаваният (признат) одитор по съответната сертификационна процедура. Последното е валидно и за бързо нарастващата група от компании сдобили се със сертификат за ISO 27001.
Според регистърът на ISO27001certificates.com към месец юли 2010 година в глобален мащаб по ISO 27001 са сертифицирани 6573 организации! Според същият регистър в България сертифицираните компании са 10, а според Сдружение "Клуб 9000" те са 53. Което и число да е вярно, тази статистика показва, че интересът към получаването на този сертификат е значителен. 
В тази статия бих искал да разгледам до колко и за кого е оправдано инвестирането на ресурси в получаването на този сертификат. Какви са предизвикателствата, ползите и усилията свързани със сертифицирането по този стандарт . 
В разговорите си с много клиенти и партньори често съм срещал объркване в понятията за серията стандарти ISO 27001. Ще се опитам да отговоря на двата най често задавани въпроса: 
Какво всъщност сертифицираме и по кой от многото стандарти? 
Най простият отговор на този въпрос е – организациите сертифицират Система за Управление на Информационната Сигурност (Information Security Management System - ISMS), по изискванията дадени от стандрта  ISO/IEC 27001:2005.
Много често срещаме понятия свързани с добрите практики за ИТ сигурността  - и възниква въпросът – ISO 27001 само за Информационните Технологии (ИТ) ли се отнася?
Тук директният отговор е „НЕ”. От гледна точка на ISO 27001 стандартите -  информацията може да съществува в много форми – може да е написана на лист хартия, да е разпечатана на принтер, може да се съдържа в презентация или на бялата дъска в конферентната зала,  може да бъде  електронна, може да бъде споделяна през различни електронни канали както и вербално . Очевидно е, че информацията трябва да бъде подходящо защитена независимо под каква форма съществува. В обхвата на ISO 27001 влизат много аспекти от ИТ, но стандартът далеч не се ограничава до тях.
Какви са ползите от  сертифицирането?
>> Продажбите. Може би едно от най-видимите предимства е свързано с увеличените възможности за продажби  – сертифицирането по международен стандарт дава предимства при участие в търгове и конкурси. Напоследък притежаването на този стандарт е и задължително изискване в международните търгове, а също и в България. Зад това изискване стои нуждата организациите да защитят своите интереси в работата си с партньори.
>> Доверието: Веднъж случайно дочух разговор на съседната маса – темата беше за регистрирането на предплатените SIM карти. Един от участниците в разговора каза следното:  „Вече е лесно е да разбереш кой номер на кой е, и кой с кого говори! Достатъчно е да пиеш кафе с някой от центъра за обслужване на клиенти. Не е нужно да познаваш шефа на телекома или да има прокурорско разрешение…”. Не знам дали това твърдение е вярно или не, но това няма значение. То показва недоверието на клиентите към начина по който компаниите боравят с техните лични данни. Това не се отнася само за телекомите разбира се – в това число влизат банките, медицинските организации и т.н. Притежаването на сертификат повишава доверието на клиентите и партньорите към организацията.
>> Инвеститорите. ISO 27001 дава изисквания към плановете за непрекъсваемост на бизнеса.  Сертификатът дава увереност, че предприятието има адекватни планове за действие при бедствия и големи прекъсвания, което значително увеличава шанса за оцеляване след такива събития. Инвеститорите чувстват по – голяма защита и по- малък риск за своите инвестиции.
>>Мениджмънтът на предприятието.  Съществуването на ISMS и сертифицирането и дава увереност на мениджмънта, че: 
  • Рисковете свързани с информационната сигурност  са контролирани, вероятността и влиянието на инциденти свързани със сигурността са редуцирани до приемливо ниво
  • Използва се структуриран подход за управление на риска
  • Инвестициите в информационна сигурност са оправдани и оценени
  • Изпълнени са правните и браншови изисквания
>> Имидж. Притежаването на този сертификат повишава доверието като цяло и влияе позитивно на имиджа на организацията , защото показва ангажираност на висшия мениджмънт към сигурността. Позволява сравняване с конкурентите – когато организациите използват ISO 27001, те могат да измерват и сравняват своите постижения със своите конкуренти.
>> Партньорите.  Сертифицирането на ISMS има значителен позитивен ефект върху работата с партньори в съвместимостта.  Ако и двете организации следват препоръките на ISO 27001, те могат да постигнат комфортно ниво на съвместимост независимо от това, че компаниите имат различна дейност и история.
>> Служителите.  При съществуването на сертифицирана ISMS, служителите чувстват по – голяма отговорност към информационната сигурност. При ясното дефиниране на правилата за служителите е пределно ясно какво трябва да се прави и какво не, какво е позволено и какво не, кои са добрите практики възприети от организацията.  Повишава се доверието и ангажираността на служителите към отдела по сигурността и към организацията като цяло.
Това са само част от ползите от изграждането, поддържането и сертифицирането на ISMS. 
Каква е цената на сертифицирането?
Следващият логичен въпрос е колко струва всичко това? Основните разходи по изграждането, поддържането и сертифицирането на ISMS могат да се разделят на следните групи:
Еднократни разходи
  • Управление на проекта
  • Обучение и популяризиране
  • Външни консултантски услуги и вътрешни ресурси за изпълнение на проекта, включващи  проектирането, разработката, тестването и внедряването на ISMS
  • Евентуално закупуване на оборудване, софтуер и преустройване на сгради и съоръжения
  • Сертифициране
  • Организационните промени изискват допълнителни ресурси
Допълнителни и постоянни разходи
  • Поддръжка и експлоатация на системата
  • Надзорни визити
И тук идва и добрата новина – всичко това може да бъде частично безвъзмездно финансирано от Европейските фондове чрез Оперативна програма "Конкурентоспособност ", Покриване на международно признати стандарти.

Предизвикателствата
>> Ангажираност на висшия мениджмънт. Сигурността е отговорност на висшия мениджмънт и съответно ангажираността му е критична за тази инициатива.
>> Резистентност към промяната. В някои организации може да се наложи интензивна разяснителна кампания за въвеждането на такава система.
>> Сертификатът да си „остане на стената”.  Грешно поставените цели, могат да доведат до формално въвеждане на системата, при което инвестираните в пари и ресурси се обезсмислят в голяма степен, и сертификатът започва да тежи като камък на шията на организацията. Този риск вече се случи в много организации със ISO 9000. 
>> Изравняване с други стандарти. Организациите с ангажираност към качеството и стандартите, обикновено не се ограничават до ISO 27001. Те покриват и други стандарти – общи или валидни в собствената си индустрия, като ISO 20 000/ITIL, COBIT, ISO 9001, PCI-DSS. Тъй като тези стандарти частично се припокриват е важно да се оценят областите на припокриване и да се изравнят  така, че да не се инвестират двойни усилия по внедряването и поддръжката им.
>> Изборът на одитор. Доверието в сертификата или одиторския доклад е точно такова каквото е доверието в самия одитор. Много организации могат да издадат сертификат, въпросът който трябва да си зададем е колко организации ще му се доверят. Често срещано е при участие в търг или конкурс да се окаже, че сертификата който притежаваме не се признава поради това, че одиторът не отговаря на определни изискванията. Консултирайте се с организациите разработили стандарта по който ще ви одитират кои са одобрените одитори . Доказателство за съществуването на  този проблем може би е огромното разминаване в статистиката на международната и българската организации цитирани в началото на статията. Добрият и опитен одитор носи истинска полза за одитираната  организация.
>> Изборът на консултанти и партньори. Много от организациите нямат собствени ресурси за пълното изпълнение на подобна инициатива. В тези случи те се обръщат към външни организации за помощ. Така те получават готово know how и използват ресурсите на парньора/консултанта.  Тук предизвикателството винаги е голямо – Как да пресеем copy/paste консултантите от тези които ще донесат истинска полза на организацията? Какъв опит има консултанта с ISMS, IT Service Management, ISO 20 000 проекти?  Това са част от въпросите на които трябва да си отговорим при избора на консултант. 
В заключение
Интересна тенденция която наблюдавам в последните две години е, че на практика в периода на кризата единствените проекти които останаха незасегнати от инициативите за ограничаване на разходите са тези свързани със сигурността. Нещо повече тяхното количество  се увеличи значително в сравнение с периода от преди кризата. Конкретно в моята организация поръчките за такива проекти се увеличиха над 50% в сравнение с 2006-2007 година. Тук включвам проекти свързани със планиране на самите ISMS, също и технологични проекти свързани с удовлетворяване на изискванията за сигурността като Access control, Identity Integration, IEEE 802.1x, Network Access Protection, Digital Rights Management, e-mail security и други.
И накрая - дали си струва да инвестираме в информационна сигурност и сертифициране по ISO 27001 СЕГА? Тук няма еднозначен отговор. Някои организации могат да преценят, че си струва, а други може би не. Това което обаче всички трябва да имат в предвид когато правят своята преценка е:  Цената която ще платим ако НЕ го направим – т.е. цената която плащаме при всяко прекъсване на услугите, цената която плащаме когато загубим данни, цената която плащаме когато изтече ценна информация към нашите конкуренти.
Орлин Маринов е старши консултант “Управление на ИТ услугите и Информационна сигурност” в ITCE. Iма над 15 години опит в информационните технологии, като 10 от тях са в сферата на управлението на информационната сигурност. Притежава сертификати CISSP, EXIN ISO27002 Information Security Advanced, ITIL v2 Manager, ITIL v3 Expert, CTT, MSCE+Security. Има магистърска степен по Информационни технологии и контрол на процесите от ТУ София. Участвал е като архитект в мащабни проекти за изграждане на PKI и защита на електронната комуникация в България, включително за Доставчик на Удостоверителни Услуги (ДУУ).Участвал е и в проектирането и внедряването на IEEE 802.1x, Network Access Protection (NAP) и Rights Management Services (RMS) в Райфайзен банк в България и Косово и в Мобилтел. Има водеща роля в сертификацията на ITCE по ISO20000 и ISO27001.

ЕТИКЕТИ:
ИТ сигурност

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов