В коротком списке российских владельцев сертификатов ISO 27001 произошло уникальное пополнение: на соответствие этому международному ИБ-стандарту впервые в России аттестована розничная торговая сеть. Получателем сертификата стала компания “Эльдорадо”. Примечательно, что сертификация была проведена для столь непростой системы, как система управления безопасностью (СУИБ).
Рассказывая о мотивации внедрения СУИБ менеджер по ИБ “Эльдорадо” Константин Коротнев сообщил, что руководство компании рассматривает информационную безопасность как неотъемлемый компонент бизнеса и необходимое условие его успешности в целом. “Наше богатство — это наши клиенты. Их у нас миллионы, и мы должны показать им, что те данные, которые они передают нам, включая и данные программы лояльности клиентов, защищаются нами как в соответствии с российскими законами, так и в соответствии с международными стандартами, — пояснил он. — Кроме того, в менеджменте “Эльдорадо” много иностранцев, а в их понимании прозрачность, измеримость и эффективность процессов, в том числе и процессов обеспечения ИБ, особенно важны для бизнеса. Создавая СУИБ, мы как раз и стремились добиться этого”.
СУИБ охватила наиболее критичные процессы компании: процесс поддержки программы лояльности клиентов, который обрабатывает их персональные данные, процесс безналичных платежей и процесс закупок. Важно отметить, что построение СУИБ не изменило у заказчика действующих бизнес-процессов и владельцев этих процессов. Эти процессы были учтены интегратором, а процессы СУИБ в соответствии с их спецификой распределены по подразделениям “Эльдорадо”.
В планах развития СУИБ значится расширение области охвата других критичных процессов. Как сообщили представители “Эльдорадо” , в настоящее время в стадии реализации находится проект создания системы поддержки непрерывности бизнеса. Эта система базируется на результатах анализа воздействия на бизнес отказа тех или иных систем. По результатам такого анализа были выделены наиболее критичные для компании системы, помимо трех упомянутых. На них и будет постепенно расширена область действия СУИБ.
“Эльдорадо” согласилась с предложением компании “Инфосистемы Джет”, которая выиграла тендер на исполнение проекта в качестве консультанта и системного интегратора, дополнить проект по построению СУИБ его интеграцией с работами по сертификации этой системы на соответствие стандарту ISO/IEC 27001 и обеспечением соответствия режима обработки персональных данных у заказчика требованиям закона № 152-ФЗ “О персональных данных”.
Поддерживая выход на сертификацию по ISO/IEC 27001, в “Эльдорадо” руководствовались тремя аспектами: желанием акционеров, повышением инвестиционной привлекательности, а также пожеланиями партнеров и клиентов. Как отметил Сергей Романовский, директор по сертификации и партнерским программам независимого органа по сертификации BSI Management Systems, который проводил аудит на соответствие СУИБ требованиям стандарта ISO/IEC 27001, программы по стандартизации института BSI позволяют создавать эффективные системы, и многие компании используют их именно для построения систем, не всегда выводя их на сертификацию. Сертификация несколько удорожает проект (по словам г-на Романовского, не более чем на 10%) и делается только тогда, когда этого требует бизнес, что и произошло в “Эльдорадо”.
Что же касается расширения проекта до соответствия требованиям закона “О персональных данных”, то, как сказал г-н Коротнев, соответствие этому закону тоже является процессом, который можно поддерживать и вручную, но правильнее автоматизировать его, интегрировав в СУИБ. При этом он привел наглядные примеры, подтверждающие разумность такой интеграции: “Так, актуальность перечня лиц, допущенных к обработке персональных данных, — добавил он, — теперь поддерживается у нас не вручную, а через процесс предоставления доступа, реализованный в СУИБ. Далее, закон № 152-ФЗ требует наличия модели угроз, содержащей информацию об угрозах и уязвимостях наших информационных систем, а эти данные вырабатываются процессами анализа уязвимостей и рисков СУИБ”.
По сути СУИБ позволяет структурировать процессы обеспечения и управления ИБ. Для каждого из них в “Эльдорадо” было определено по два-четыре показателя эффективности. В рамках СУИБ действует процесс, собирающий и анализирующий эти показатели, которые в совокупности и позволяют оценивать эффективность ИБ. Г-н Коротнев пояснил этот механизм оценки эффективности ИБ на примере системы защиты от спама: “Если в почтовом ящике пользователя оказывается больше двух спам-сообщений, мы считаем, что система антиспама работает неэффективно и нужно планировать корректирующие его работу действия”.
Анализом общей эффективности ИБ в “Эльдорадо” занимается служба защиты бизнеса, для которой, по словам ее представителя, СУИБ позволила систематизировать подходы к обеспечению ИБ компании в разных структурных подразделениях и свести их воедино.
За несколько месяцев функционирования СУИБ в “Эльдорадо” уже регистрируют снижение уровня ИБ-рисков, планируют и реализуют на регулярной основе мероприятия по снижению этих рисков. По словам г-на Коротнева, в “Эльдорадо” риски, связанные с использованием информационных активов теперь выражаются в деньгах, средства защиты тоже имеют свою стоимость, и из сравнения этих данных бизнес может получать представление о выгоде использования средств ИБ.
В заключение можно отметить, что проект построения СУИБ в “Эльдорадо” длился с августа 2010 г. по апрель 2011 г. Стоимость проекта не разглашается. Со стороны заказчика в проекте было задействовано более 200 человек из 20 подразделений. Аудит СУИБ на соответствие стандарту ISO/IEC 27001 занял семь дней с привлечением одного аудитора.
Как отметил заместитель директора центра информационной безопасности компании “Инфосистемы Джет” Евгений Акимов, проект в “Эльдорадо” стал для его компании пятым проектом построения информационных систем, завершающимся сертификацией на ISO 27001. Интегратор отмечает высокую зрелость заказчика в области ИТ, которая позволила активно привлекать его сотрудников к участию в проекте, в том числе и на уровне вице-президентов, что является, по мнению экспертов, залогом успешности ИТ-проектов. По словам представителей “Инфосистемы Джет”, из данного проекта компания вынесла для себя опыт интеграции требований стандарта ISO/IEC 27001 и закона № 152-ФЗ. Проект также помог ей пересмотреть и актуализировать свои внутренние методики по построению СУИБ.