СЕРТИФИКАЦИЯ

BSI Management Systems CIS (www. bsi-russia.com) и "Инфосистемы Джет" (www.jet.msk.su) объявили о завершении проекта по построению системы управления информационной безопасностью (СУИБ) в компании "Межрегиональный Транзит Телеком" (МТТ, www. mtt.ru) и прохождении ею сертификационного аудита, по результатам которого МТТ получила сертификат на соответствие ее СУИБ требованиям международного стандарта ISO/IEC 27001:2005.

Константин Солодухин:

“Приведение СУИБ к

стандарту ISO позволяет МТТ

говорить на одном языке с

глобальными операторами”

МТТ предоставляет телекоммуникационные услуги и обеспечивает эффективное взаимодействие 300 сетей сотовых операторов и более чем 100 сетей провайдеров фиксированной связи в России между собой и с 50 зарубежными операторами. В 2005 г. эта компания получила лицензию Россвязьнадзора на оказание услуг междугородной и международной связи конечным потребителям на всей территории Российской Федерации и первой нарушила монополию "Ростелекома" на рынке дальней связи.

Рост абонентской базы МТТ вызвал необходимость принятия ею адекватных мер для выполнения требований законодательства РФ по защите сведений об абонентах и оказываемых им услугах, а также для построения эффективного сотрудничества с зарубежными партнерами. Создание и сертификация системы управления информационной безопасностью, по словам представителей компании, стали одними из важнейших шагов в решении данной задачи.

Стандарт ISO/IEC 27001:2005 был принят Международной организацией по стандартизации (ISO) и основан на Британском стандарте BS 7799. Этот общепризнанный и распространенный в мире стандарт определяет требования к процессам управления информационной безопасностью (ИБ) и предусматривает более 130 механизмов ее обеспечения.

Роберт Витчер: “При проведении

 аудита компания должна

 продемонстрировать, что ведет

анализ рисков и угроз, а

также осуществляет

управление ими”

В качестве органа по сертификации был выбран Британский институт стандартов (BSI), который является одним из основателей ISO. На его долю приходится 40% мирового рынка услуг по сертификации систем менеджмента ИБ. Аудит МТТ был проведен российским подразделением BSI - BSI Management Systems CIS. В свою очередь консалтинговой компанией, определенной по результатам тендера и подготовившей МТТ к аудиту на соответствие требованиям сертификации, стала фирма "Инфосистемы Джет", являющаяся сертифицированным партнером BSI MS CIS.

"Каждая компания, которая идет на сертификацию, должна доказать, что у нее есть система управления безопасностью, - пояснил Роберт Витчер, директор по продукту ISO 27001 BSI Management Systems. - Она должна продемонстрировать, что ведет анализ рисков и угроз, а также осуществляет управление ими. И если все это не увязано в общую картину, то она не получит сертификата".

"Проведение работ по обеспечению безопасности сегодня стало не просто "хорошим тоном", но и насущной необходимостью, - считает Константин Солодухин, генеральный директор МТТ. - Работа проходила целый год, она была для нас непростой, пришлось многое переосмыслить, многое усовершенствовать".

Сертификат выдан MTT на три года, но инспекции по поддержанию соответствия требованиям ISO в компании будут проводиться ежегодно. По словам г-на Солодухина, была сертифицирована система осуществления расчетов компании. Приведение СУИБ к стандарту ISO позволяет теперь говорить на одном языке с глобальными операторами, с которыми МТТ взаимодействует на рынке. Это устраняет риски при обмене международным трафиком. Кроме того, были выстроены бизнес-процессы по расчетам с конечными пользователями, поскольку этим сектором МТТ ранее вообще не занималась.

Данную сертификацию на рынке телекоммуникаций и в целом на рынке ИТ-безопасности отличает то, что впервые в область сертификации включен бизнес-процесс организации, который для нее действительно критически важен с точки зрения получения дохода. А масштаб проекта, признает Владимир Елисеев, генеральный директор "Инфосистемы Джет", уникален для российского рынка.

"МТТ проделала серьезную работу, выполнив реинжиниринг существующих бизнес-процессов, - подчеркнула Наталья Горобец, генеральный директор BSI Management Systems CIS. - Она стала первой российской компанией, предоставляющей телекоммуникационные услуги, которая подтвердила клиентам и партнерам свое соответствие требованиям международного стандарта ISO/ IEC 27001:2005".

Хороший знак для российских компаний

"Для любой телекоммуникационной компании биллинг является основным процессом, от качества которого зависит ее доход и репутация, - уверен Игорь Ляпунов, директор департамента систем безопасности управления комплексной интеграции ISG. - Нарушения в работе биллинговой системы могут привести к серьезным финансовым потерям. Сертификаты ISO/IEC 27001:2005 уже выдавались в России, однако только МТТ решилась на сертификацию своего основного бизнес-процесса".

С ним согласен и Алексей Бугров, начальник направления информационной безопасности компании LETA IT: "Получение МТТ сертификата ISO 27001, несомненно, хороший знак для российских компаний, свидетельствующий о том, что она не только серьезно заботится о своей ИТ-безопасности, но и гарантирует определенный уровень безопасности своим партнерам. Для оператора связи это тем более важно, так как именно ИТ является стержнем ее бизнеса и серьезное нарушение в ИТ-инфраструктуре может привести к потере бизнеса".

Владимир Елисеев: “Создание

 эффективной системы управления

 информационной безопасностью в

 контексте общей системы

управления организацией -

одна из актуальных задач,

стоящих перед телекоммуникационными

компаниями сегодня”

Эксперты по менеджменту убеждены, что после проведения работ по построению подсистемы ИБ в соответствии со стандартом ISO/IEC 27001:2005 функционирование большинства информационных ресурсов становится более понятным руководству компании, выявляются основные угрозы безопасности для существующих бизнес-процессов, формализуются сами бизнес-процессы. Руководству предоставляются консолидированные данные об анализе эффективности системы, что дает возможность определить проблемные зоны и понять, на что необходимо выделить дополнительные ресурсы.

Получение сертификата ISO 27001 - дело не быстрое и довольно затратное для фирмы: от момента принятия решения о подготовке к сертификации до получения документа проходит, как правило, от полугода до полутора-двух лет. А стоимость подготовки компании к сертификации и самого сертификационного аудита зависит от таких параметров, как количество и сложность бизнес-процессов в области сертификации, уровень зрелости системы ИБ в организации, квалификация и количество консультантов, метод проведения консалтинга и т. д.

Окупаемость такого сертификата достигается благодаря увеличению стоимости акций компании, повышению ее инвестиционной привлекательности, а также снижению прямых и косвенных убытков, возникающих от информационных рисков и расходов на страхование. Не стоит недооценивать и определенный PR-эффект от этого шага.

Преимущества сертификации на соответствие ISO/IEC 27001

- Независимое подтверждение того, что внутренний контроль отвечает бизнес-задачам организации и позволяет обеспечить эффективность и непрерывность производства.

- Независимое подтверждение соответствия компании законодательным нормативным требованиям.

- Демонстрация заказчикам возможности выполнения контрактных обязательств и приверженности фирмы к защите информации.

- Независимое подтверждение того, что риски компании в области ИБ должным образом определены, оценены и управляются на основе процессного подхода.

- Регулярные последующие проверки позволяют обеспечить постоянный мониторинг системы менеджмента и ее непрерывное совершенствование.

"В целом основная цель получения международных сертификатов - декларация соответствия компании мировым практикам, - считает Игорь Ляпунов из ISG. - Для МТТ, как части "Системы Телеком", акции которой торгуются на международных биржах, наличие сертификата - важное преимущество, показывающее акционерам и партнерам, что вложенные инвестиции надежно защищены и должным образом управляются. Получение сертификата также повышает стоимость бренда "Системы Телеком".