Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 6, 2011

ISO 27001 и инвестицията в информационна сигурност в реалния свят

от , 20 юни 2011 2 7118 прочитания,

В бизнес отношенията, гарант за спазване на добрите практики са сертификатите. В тази статия ще разгледаме по-подробно ползите, които  сертифицирането носи на организациите, до колко и за кого е оправдано инвестирането на ресурси в получаването на сертификат ISO 27001
Когато компаниите назначават нов служител, едно от основните „входни” изисквания е подходящото образование, подкрепено с диплома от уважаван  (признат) университет. В бизнес отношенията, гарант за спазване на добрите практики са сертификатите, а от своя страна гаранция за тяхното качество е уважаваният (признат) одитор по съответната сертификационна процедура. Последното е валидно и за бързо нарастващата група от компании сдобили се със сертификат за ISO 27001.
Според регистърът на ISO27001certificates.com към месец юли 2010 година в глобален мащаб по ISO 27001 са сертифицирани 6573 организации! Според същият регистър в България сертифицираните компании са 10, а според Сдружение "Клуб 9000" те са 53. Което и число да е вярно, тази статистика показва, че интересът към получаването на този сертификат е значителен. 
В тази статия бих искал да разгледам до колко и за кого е оправдано инвестирането на ресурси в получаването на този сертификат. Какви са предизвикателствата, ползите и усилията свързани със сертифицирането по този стандарт . 
В разговорите си с много клиенти и партньори често съм срещал объркване в понятията за серията стандарти ISO 27001. Ще се опитам да отговоря на двата най често задавани въпроса: 
Какво всъщност сертифицираме и по кой от многото стандарти? 
Най простият отговор на този въпрос е – организациите сертифицират Система за Управление на Информационната Сигурност (Information Security Management System - ISMS), по изискванията дадени от стандрта  ISO/IEC 27001:2005.
Много често срещаме понятия свързани с добрите практики за ИТ сигурността  - и възниква въпросът – ISO 27001 само за Информационните Технологии (ИТ) ли се отнася?
Тук директният отговор е „НЕ”. От гледна точка на ISO 27001 стандартите -  информацията може да съществува в много форми – може да е написана на лист хартия, да е разпечатана на принтер, може да се съдържа в презентация или на бялата дъска в конферентната зала,  може да бъде  електронна, може да бъде споделяна през различни електронни канали както и вербално . Очевидно е, че информацията трябва да бъде подходящо защитена независимо под каква форма съществува. В обхвата на ISO 27001 влизат много аспекти от ИТ, но стандартът далеч не се ограничава до тях.
Какви са ползите от  сертифицирането?
>> Продажбите. Може би едно от най-видимите предимства е свързано с увеличените възможности за продажби  – сертифицирането по международен стандарт дава предимства при участие в търгове и конкурси. Напоследък притежаването на този стандарт е и задължително изискване в международните търгове, а също и в България. Зад това изискване стои нуждата организациите да защитят своите интереси в работата си с партньори.
>> Доверието: Веднъж случайно дочух разговор на съседната маса – темата беше за регистрирането на предплатените SIM карти. Един от участниците в разговора каза следното:  „Вече е лесно е да разбереш кой номер на кой е, и кой с кого говори! Достатъчно е да пиеш кафе с някой от центъра за обслужване на клиенти. Не е нужно да познаваш шефа на телекома или да има прокурорско разрешение…”. Не знам дали това твърдение е вярно или не, но това няма значение. То показва недоверието на клиентите към начина по който компаниите боравят с техните лични данни. Това не се отнася само за телекомите разбира се – в това число влизат банките, медицинските организации и т.н. Притежаването на сертификат повишава доверието на клиентите и партньорите към организацията.
>> Инвеститорите. ISO 27001 дава изисквания към плановете за непрекъсваемост на бизнеса.  Сертификатът дава увереност, че предприятието има адекватни планове за действие при бедствия и големи прекъсвания, което значително увеличава шанса за оцеляване след такива събития. Инвеститорите чувстват по – голяма защита и по- малък риск за своите инвестиции.
>>Мениджмънтът на предприятието.  Съществуването на ISMS и сертифицирането и дава увереност на мениджмънта, че: 
  • Рисковете свързани с информационната сигурност  са контролирани, вероятността и влиянието на инциденти свързани със сигурността са редуцирани до приемливо ниво
  • Използва се структуриран подход за управление на риска
  • Инвестициите в информационна сигурност са оправдани и оценени
  • Изпълнени са правните и браншови изисквания
>> Имидж. Притежаването на този сертификат повишава доверието като цяло и влияе позитивно на имиджа на организацията , защото показва ангажираност на висшия мениджмънт към сигурността. Позволява сравняване с конкурентите – когато организациите използват ISO 27001, те могат да измерват и сравняват своите постижения със своите конкуренти.
>> Партньорите.  Сертифицирането на ISMS има значителен позитивен ефект върху работата с партньори в съвместимостта.  Ако и двете организации следват препоръките на ISO 27001, те могат да постигнат комфортно ниво на съвместимост независимо от това, че компаниите имат различна дейност и история.
>> Служителите.  При съществуването на сертифицирана ISMS, служителите чувстват по – голяма отговорност към информационната сигурност. При ясното дефиниране на правилата за служителите е пределно ясно какво трябва да се прави и какво не, какво е позволено и какво не, кои са добрите практики възприети от организацията.  Повишава се доверието и ангажираността на служителите към отдела по сигурността и към организацията като цяло.
Това са само част от ползите от изграждането, поддържането и сертифицирането на ISMS. 
Каква е цената на сертифицирането?
Следващият логичен въпрос е колко струва всичко това? Основните разходи по изграждането, поддържането и сертифицирането на ISMS могат да се разделят на следните групи:
Еднократни разходи
  • Управление на проекта
  • Обучение и популяризиране
  • Външни консултантски услуги и вътрешни ресурси за изпълнение на проекта, включващи  проектирането, разработката, тестването и внедряването на ISMS
  • Евентуално закупуване на оборудване, софтуер и преустройване на сгради и съоръжения
  • Сертифициране
  • Организационните промени изискват допълнителни ресурси
Допълнителни и постоянни разходи
  • Поддръжка и експлоатация на системата
  • Надзорни визити
И тук идва и добрата новина – всичко това може да бъде частично безвъзмездно финансирано от Европейските фондове чрез Оперативна програма "Конкурентоспособност ", Покриване на международно признати стандарти.

Предизвикателствата
>> Ангажираност на висшия мениджмънт. Сигурността е отговорност на висшия мениджмънт и съответно ангажираността му е критична за тази инициатива.
>> Резистентност към промяната. В някои организации може да се наложи интензивна разяснителна кампания за въвеждането на такава система.
>> Сертификатът да си „остане на стената”.  Грешно поставените цели, могат да доведат до формално въвеждане на системата, при което инвестираните в пари и ресурси се обезсмислят в голяма степен, и сертификатът започва да тежи като камък на шията на организацията. Този риск вече се случи в много организации със ISO 9000. 
>> Изравняване с други стандарти. Организациите с ангажираност към качеството и стандартите, обикновено не се ограничават до ISO 27001. Те покриват и други стандарти – общи или валидни в собствената си индустрия, като ISO 20 000/ITIL, COBIT, ISO 9001, PCI-DSS. Тъй като тези стандарти частично се припокриват е важно да се оценят областите на припокриване и да се изравнят  така, че да не се инвестират двойни усилия по внедряването и поддръжката им.
>> Изборът на одитор. Доверието в сертификата или одиторския доклад е точно такова каквото е доверието в самия одитор. Много организации могат да издадат сертификат, въпросът който трябва да си зададем е колко организации ще му се доверят. Често срещано е при участие в търг или конкурс да се окаже, че сертификата който притежаваме не се признава поради това, че одиторът не отговаря на определни изискванията. Консултирайте се с организациите разработили стандарта по който ще ви одитират кои са одобрените одитори . Доказателство за съществуването на  този проблем може би е огромното разминаване в статистиката на международната и българската организации цитирани в началото на статията. Добрият и опитен одитор носи истинска полза за одитираната  организация.
>> Изборът на консултанти и партньори. Много от организациите нямат собствени ресурси за пълното изпълнение на подобна инициатива. В тези случи те се обръщат към външни организации за помощ. Така те получават готово know how и използват ресурсите на парньора/консултанта.  Тук предизвикателството винаги е голямо – Как да пресеем copy/paste консултантите от тези които ще донесат истинска полза на организацията? Какъв опит има консултанта с ISMS, IT Service Management, ISO 20 000 проекти?  Това са част от въпросите на които трябва да си отговорим при избора на консултант. 
В заключение
Интересна тенденция която наблюдавам в последните две години е, че на практика в периода на кризата единствените проекти които останаха незасегнати от инициативите за ограничаване на разходите са тези свързани със сигурността. Нещо повече тяхното количество  се увеличи значително в сравнение с периода от преди кризата. Конкретно в моята организация поръчките за такива проекти се увеличиха над 50% в сравнение с 2006-2007 година. Тук включвам проекти свързани със планиране на самите ISMS, също и технологични проекти свързани с удовлетворяване на изискванията за сигурността като Access control, Identity Integration, IEEE 802.1x, Network Access Protection, Digital Rights Management, e-mail security и други.
И накрая - дали си струва да инвестираме в информационна сигурност и сертифициране по ISO 27001 СЕГА? Тук няма еднозначен отговор. Някои организации могат да преценят, че си струва, а други може би не. Това което обаче всички трябва да имат в предвид когато правят своята преценка е:  Цената която ще платим ако НЕ го направим – т.е. цената която плащаме при всяко прекъсване на услугите, цената която плащаме когато загубим данни, цената която плащаме когато изтече ценна информация към нашите конкуренти.
Орлин Маринов е старши консултант “Управление на ИТ услугите и Информационна сигурност” в ITCE. Iма над 15 години опит в информационните технологии, като 10 от тях са в сферата на управлението на информационната сигурност. Притежава сертификати CISSP, EXIN ISO27002 Information Security Advanced, ITIL v2 Manager, ITIL v3 Expert, CTT, MSCE+Security. Има магистърска степен по Информационни технологии и контрол на процесите от ТУ София. Участвал е като архитект в мащабни проекти за изграждане на PKI и защита на електронната комуникация в България, включително за Доставчик на Удостоверителни Услуги (ДУУ).Участвал е и в проектирането и внедряването на IEEE 802.1x, Network Access Protection (NAP) и Rights Management Services (RMS) в Райфайзен банк в България и Косово и в Мобилтел. Има водеща роля в сертификацията на ITCE по ISO20000 и ISO27001.

ЕТИКЕТИ:
ИТ сигурност

КОМЕНТАРИ ОТ  

КОМЕНТАРИ

 
  
08:00, 21 март 2016 # 1
NO AVATAR
This article is actually remarkable one it helps many new users that desire to read always the best stuff.virginia payday leders online
 
  
08:33, 21 март 2016 # 2
NO AVATAR
Hi buddies, it is great written piece entirely defined, continue the good work constantly.best site to compare life insurance
Трябва да сте регистриран потребител, за да коментирате статията
"ISO 27001 и инвестицията в информационна сигурност в реалния свят"



    

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов