В феврале компания МТТ, известный оператор междугородной и международной связи РФ, объявила об успешном завершении сертификационного аудита на соответствие требованиям международного стандарта ISO/IEC 27001:2005. По его результатам компания получила сертификат на систему управления информационной безопасностью (СУИБ). Это первый случай на российском рынке, когда оператор связи подтверждает информационную безопасность оказываемых услуг в соответствии с требованиями международного стандарта.
ОАО "Межрегиональный транзиттелеком" (МТТ) — национальный оператор междугородной и международной связи. Компания основана в 1994 году для обеспечения взаимодействия между региональными сетями операторов подвижной связи. МТТ предоставляет широкий спектр телекоммуникационных услуг и обеспечивает организацию эффективного взаимодействия более 300 сетей сотовых операторов и более 100 сетей операторов фиксированной связи в России между собой. В мае 2005 года компания получила лицензию Россвязьнадзора N32042 на оказание услуг междугородной и международной связи конечным потребителям на всей территории Российской Федерации и вышла на рынок международной связи.
В 2005 году доход компании составил около $220 млн, объем трафика в сети МТТ превысил 4,2 млрд минут. Система менеджмента качества ОАО МТТ в июле 2006 года сертифицирована на соответствие международному стандарту ИСО 9001-2001.
Конкурентное преимущество
Эта история начиналась в середине 2005 года. К тому моменту специалисты компании МТТ, занимающиеся информационной безопасностью, осознали, что множество технических средств безопасности, работающих на площадках провайдера, живут сами по себе. Не существовало понимания того, что это оборудование работает по общепризнанным мировым стандартам.
Более того, появились проблемы. Во-первых, не было прописано четкого разделения ответственности между пользователями СУИБ, что для комплексной задачи по защите информации вопрос первостепенный. Во-вторых, с ростом числа угроз, изменением сервисов, постоянным строительством сети передачи данных встал вопрос обеспечения непрерывности информационной безопасности как процесса. Из этого следовало, что необходимо построить систему, которая мобильно изменялась бы вместе со средой и адекватно ей.
Решение задачи специалисты ОАО МТТ начали с изучения существовавших на тот момент стандартов, которые делятся на два типа. Первые — сугубо технические — регламентируют конкретные и узкие задачи информационной безопасности. Фактически они декларируют, каким инструментарием и в какой ситуации необходимо пользоваться, чтобы защититься от тех или иных угроз.
Второй тип стандартов — процессные, основанные на цикле Деминга, или PDCA-цикле. Они содержат рекомендации по построению в организации эффективной системы управления информационной безопасностью, функционирующей в контексте общей системы управления. С помощью этого типа стандартов необходимо определить, какие активы для бизнеса критичны; выяснить, какие угрозы возможны для них; рассчитать предполагаемый ущерб для бизнеса; создать план по обработке этих рисков; согласовать план с высшим руководством; начать внедрение СУИБ; производить постоянный мониторинг и модификацию плана работ согласно изменениям, которые происходят в компании.
К моменту, когда в МТТ определились со своим типом, британский стандарт управления информационной безопасностью BS 7799 с некоторыми изменениями стал международным стандартом ISO 27001:2005. Появилось еще одно преимущество работы с ним: официальная, признанная во всем мире сертификация системы.
Это немаловажный вопрос для компании, работающей на международном рынке связи. Иностранные компании, тем более такие старожилы, как Vodafone или British Telecom, в первую очередь спрашивают: "Как у вас решены проблемы информационной безопасности?" Сертификаты и лицензии российских силовых органов впечатления, как правило, не производят, ибо вся информация о правилах получения подобных документов скрыта в недрах российских спецслужб.
В то же время документ от Международной организации по сертификации не требует дальнейших разъяснений, тем более когда аудит на соответствие стандарту проводит известная британская фирма BSI. Это большое конкурентное преимущество для работы с внешними партнерами-операторами, не скованными условностями российских сертифицирующих органов.
Еще одним голосующим фактором за начало сертификации на этот стандарт послужила репутация компании-аудитора.
Компания BSI Management Systems — это не просто автор-разработчик стандарта информационной безопасности. BSI в России развернула очень серьезную кампанию по пропаганде ISO 27000, обучению персонала заказчика. А главное, BSI — это мировой лидер: более 40% всех сертификатов на соответствие этому стандарту в мире выдано именно этой компанией.
Корпоративный эффект
В качестве подрядчика была выбрана компания "Инфосистемы Джет" — один из ведущих системных интеграторов, входящий в Топ-20 российского ИТ-рынка, и поставщик решений в области информационной безопасности. Системы, разработанные этой компанией, имеют государственные сертификаты на высокие уровни доверия и применяются в госучреждениях на территории РФ.
"Проект по внедрению СУИБ в соответствии с требованиями стандарта ИСО 27000 длился ровно год,— рассказывает Борис Симис, начальник центра информационной безопасности компании "Инфосистемы Джет".— Это не считая времени, потраченного на тендер, когда компания обошла ряд крупных консалтинговых фирм, в том числе и из "большой четверки" — Deloitte & Touche, Ernst & Young, PricewaterhouseCoopers и KPMG. Поставленные задачи были тяжелыми, но интересными. Заказчики очень быстро поняли, что проект выходит за рамки одного подразделения, занимающегося исключительно информационной безопасностью. Надо привлекать все отделы МТТ. Это, кстати, одно из требований стандарта, так как задача обеспечения информационной безопасности не может существовать вне контекста общих бизнес-задач компании".
Чтобы не пытаться объять необъятное, в качестве первого объекта для сертификации был выбран биллинг компании. И, кстати, стандарт ISO 27000, равно как и любой стандарт, основанный на процессном подходе, позволяет сертифицировать не только всю деятельность компании в целом, но и отдельные бизнес-процессы. В описательной части сертификата всегда указывается, в какой области, на каких задачах проводился аудит соответствия стандарту.
Борис Симис поясняет: "В случае с МТТ проверялась система управления информационной безопасностью биллинга компании. С точки зрения компании, биллинг — это почти всегда "черный ящик". Люди внутри него знают, что они делают, люди из бизнес-подразделений, не связанных с биллингом, практически никогда не в курсе их деятельности. В рамках своих работ мы формализовали бизнес-процессы, связанные с биллингом, то есть конкретно описали, что делают сотрудники, вплоть до малейших инструкций. Проводилась просветительская работа — мы читали курсы, организовывали тренинги. Проводили ликбезы по информационной безопасности для специалистов финансового отдела, отдела продаж, секретариата, то есть людей, не связанных с ИТ напрямую. И такая работа с персоналом дала позитивные результаты. Все очень живо восприняли эту тему, задавали много интересных вопросов. И, мне кажется, это еще один из плюсов стандарта, что темой информационной безопасности прониклись люди, которые по долгу службы напрямую не занимаются этим".
Как показал результат, все было не зря. Пользователи из самых различных подразделений МТТ в процессе внедрения и освоения требований системы очень активно и со знанием дела стали принимать участие в процессе обеспечения ИБ — сообщали об инцидентах, которые могут повлиять на защиту системы; стали интересоваться, как повлияют их действия на общую защищенность компании, и т. д.
Вполне закономерный эффект дала работа по анализу рисков и описанию активов заказчика в области информационной безопасности и возможных финансовых ущербов. Сегодня руководство ОАО МТТ по стандартной отчетности ИТ-отдела, заложенной в механизм СУИБ, может точно подсчитать, сколько денег было сэкономлено благодаря тем или иным средствам по защите информации. Это очень важный момент для понимания самого механизма защиты информации. Раньше средства на это выделялись, но не было четкого понимания, сколько необходимо и сколько денег тратится впустую.
"То есть прежде в МТТ высший менеджмент и сотрудники ИТ-службы,— по мнению Бориса Симиса,— разговаривали на разных языках. И в ответ на вопрос об эффективности средств, затраченных на покупку оборудования, получали лишь число отраженных за отчетный период атак и предотвращенных утечек информации. Понятно, что подобные цифры невозможно понять неспециалисту. Теперь же с внедрением международного стандарта ISO/IEC 27001:2005 для руководства компании будет очевиден и экономический эффект от действия подразделения".
Одним из косвенных подтверждений успешности реализованного решения стал договор МТТ о межсетевом сотрудничестве с английским провайдером British Telecom, подписанный в марте этого года на выставке CeBIT`2007. Одним из оснований сделки послужила сертификация МТТ на стандарт ISO 27001:2005.
Неизвестный ISO27001/IEC 27001:2005
Стандарт на систему управления информационной безопасностью ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" имеет британские корни. В его основу лежит английский стандарт BS 7799, разработанный Британским институтом стандартов (BSI, British Standards Institution) совместно с рядом коммерческих организаций, таких как Shell UK, British Telecommunications, Association of British Insurers, Unilever, Marks &Spencer и др.).
BSI удалось увязать воедино 126 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определенных на основе лучших практик мирового опыта в данной области. С 1995 года BS 7799 имеет статус государственного стандарта Великобритании. Стандарт состоит из двух частей: Часть 1: Практические правила управления информационной безопасностью и Часть 2: Спецификация системы управления информационной безопасностью.
В 1999 году первая часть BS 7799 после доработки была передана в Международную организацию по стандартизации. В 2000 году претерпев ряд незначительных правок документ был утвержден в качестве стандарта ISO/IEC 17799:2000. Вторая часть BS 7799 стала основой для принятого ИСО стандарта ISO/IEC 27001:2005.
Чуть позже, в сентябре 2002, после внесения нескольких дополнений и изменений, версия обновилась до BS7799-2:2002. 15 октября 2005 года Международная Организация по Стандартизации (ISO) приняла стандарт BSI BS 7799-2:2002 в качестве международного - ISO/IEC 27001:2005. Основная цель стандарта — создание общей методологии для разработки, внедрения и оценки эффективности СУИБ, применимой для коммерческих компаний и государственных некоммерческих структур. В 2007 году ожидается развитие стандарта: на смену ISO/IEC 17799:2005 должен прийти ISO/IEC 27002:2007.
ISO/IEC 27001:2005 не является техническим стандартом, он не предписывает использование определенных способов шифрования данных или устройств защиты от сбоев. Стандарт определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и другие аспекты в контексте информационной безопасности. Внедрение Системы на основе этого стандарта и последующая сертификация в BSI дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и доступностью важного актива компании — информации, и может с одинаковым успехом применяться в компаниях разного размера — от индивидуальных предпринимателей до предприятий с численностью сотрудников в десятки тысяч человек.
ISO/IEC 27001:2005 предполагает управление защитой любого вида информации: финансовой, кадровой, удаленных партнерских баз данных — словом всего, что уязвимо с точки зрения безопасности. Хакеры, промышленный шпионаж, внутренние утечки, пиратство, сбои в работе ПО, вирусы — все эти риски в результате подготовки к сертификации сводятся к минимуму.
СУИБ, разработанная в соответствии с ISO/IEC 27001:2005 обеспечивает наличие отлаженной структуры, которая инициирует, реализует, поддерживает в рабочем состоянии и управляет информационной безопасностью внутри предприятия. Процедура разработки и внедрения СУИБ занимает от полугода до нескольких лет в зависимости от количества охватываемых СУИБ активов, процессов, их сложности и количества персонала компании. Затраты на проекты внедрения и сертификации сильно варьируются в зависимости от перечисленных факторов.
ISO — Международная организация по стандартизации (ИСО) была создана в 1946 году двадцатью пятью национальными организациями по стандартизации. СССР был одним из учредителей организации. Дважды за всю историю глава Госстандарта избирался председателем ИСО. Россия является правоприемницей СССР в рядах ИСО, а с сентября 2005 года входит в Совет ИСО.
Вопреки распространенному заблуждению, название организации не является акронимом. При выборе названия главной целью ставилось одинаковое звучание на всех языках мира. Для этого было решено использовать греческое слово isos — равный, которое многими неверно истолковывается как сокращение от International Organization for Standardization.
Осведомленность российского бизнеса о стандарте ISO27001 остается недостаточной
В декабре 2006 года компания "МТТ" обратилась в крупнейший международный орган по сертификации BSI (Британский Институт Стандартов) для проведения сертификационного аудита СУИБ. Аудит был проведен специалистами российского офиса BSI и подтвердил соответствие СУИБ МТТ требованиям международного стандарта ISO/IEC 27001:2005". Евгений Шипилов, Директор по продажам BSI Management Systems CIS, LLC ответил на вопросы Евгения Черешнева.
Компания BSI (Британский институт стандартов) является признанным мировым лидером в области обучения и сертификации Систем менеджмента, одним из основателей Международной организации по стандартизации (ISO), автором британских стандартов, ставших впоследствии самыми известными международными стандартами ISO серий 9000, 14000, 18000, 22000, TS 16949, 17799, 27001. На долю BSI приходится 40% мирового рынка услуг по сертификации Систем управления информационной безопасностью.
BusinessGuide: Я понимаю, что вы хорошо оцениваете инициативу компании "МТТ". И все же, какие у компании были реальные основания и мотивация получения сертификата ISO27001?
Евгений Шипилов: Когда весной 2005 года компания "МТТ" получила лицензию на оказание международной связи на всей территории Российской Федерации, у руководства появился дополнительный стимул минимизации рисков нарушения целостности абонентской базы и построении эффективной системы взаимодействия с зарубежными партнерами. Внедрение Системы Управления Информационной Безопасностью (СУИБ) было определено как одно из ключевых составляющих новой ветви развития бизнеса.
BG: Насколько я понимаю, процесс подготовки к сертификационному аудиту — процесс не быстрый? Сколько времени занял проект "МТТ"?
Е. Ш.: Процесс разработки и внедрения СУИБ по избранному компанией международному стандарту ISO/IEC 27001:2005 "Системы управления информационной безопасностью. Требования" занял почти полтора года и потребовал от компании определенных финансовых и временных вложений на пересмотр существующей системы управления информационной безопасностью, оптимизацию бизнес процессов и разработку и внедрение авторской методологии управления рисками, внедрение нового оборудования и переподготовку кадров.
BG: Во всем мире приведение информационных потоков компании в соответствие с международными стандартами безопасности — процедура закономерная и логичная. Чего нельзя сказать о России. С чем это связано? Приведет ли опыт МТТ изменению ситуации, формированию некоего положительного тренда?
Е. Ш.: Компания МТТ, став первой российской телекоммуникационной компанией, получившей международный сертификат по данному стандарту, смогла привлечь внимание Российского рынка к проблеме и показать эффективность применения лучших мировых практик для защиты ключевых активов компании и критичной для бизнеса информации. Несмотря на то, что Стандарт существует уже 11 лет, только за последние полтора года в России появился положительный тренд. В сравнении 2005 годом, который можно было охарактеризовать как этап становления и продвижения стандарта, начиная с первой в России и на постсоветском пространстве сертификации на соответствие требованиям BS 7799, разработки детальных и многоплановых курсов по СУИБ, 2006 год ознаменовался рядом успешно завершенных сертификационных проектов.
BG: А ваши планы?
Е. Ш.: С целью повышения качества внедряемых Систем BSI разработал Партнерскую Программу, которая позволила объединить в своих рядах около 20 ведущих системных интеграторов России, Украины и Молдавии. В рамках партнерской программы проводятся совместные мероприятия, направленные на продвижение Стандарта на рынках России и стран СНГ.
На данный момент осведомленность Российского бизнеса о международных подходах обеспечения информационной безопасности и, в частности, о международном стандарте ISO27001 остается недостаточной. С момента опубликования международного стандарта ISO27001 в октябре 2005 года в России сертифицировано 5 компаний. Однако, к концу текущего года партнеры BSI закончат проекты внедрения СУИБ в более чем 15 крупных компаниях. По нашим прогнозам эта цифра будет ежегодно расти высокими темпами.
Особенно актуальным внедрение и сертификация Систем Менеджмента в соответствии с международными стандартами видится на фоне предстоящего вступления России во Всемирную Торговую Организацию и постоянно растущего количества Российских компаний, выходящих на IPO.