Аудит IT-безопасности станет одной из тем лондонского форума

24-26 апреля в Лондоне состоится крупный форум по проблеме информационной безопасности «Infosecurity 2012». Ожидается, что участие в нем примут около 10 000 видных профессионалов и бизнесменов отрасли, не говоря уже о других гостях. Открыт он и для посещения российскими участниками. Здесь можно завести полезные связи, прощупать почву для выхода на британский и общеевропейский рынки, ну и конечно продемонстрировать перед профессионалами со всего мира и заказчиками свой товар. Изюминкой, отличающей именно это профессиональное мероприятие, от многих других является развернутая система платных учебных семинаров и лекций. Участники форума смогут послушать лекции о том, как обезопасить социальные сети и не пасть жертвой хакера. Невозможно обойти обязательные и добровольные стандарты, проблемы сертификации. В частности, в программе одного из семинаров обещают рассказать: как избежать внезапных проблем с аудитами. «Infosecurity» проводят каждый год, в этот раз он будет уже шестнадцатым по счету с момента своего появления.

Очередное мероприятие из области IT-безопасности лишний раз наводит на мысль о роли Великобритании в истории развития стандартов этой сферы. Достаточно сказать, что, принятые сейчас в качестве международных, стандарты ISO/IEC 17799:2005 («Информационные технологии – Технологии безопасности – Практические правила менеджмента информационной безопасности», – ред.) и ISO/IEC 27001:2005 (Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования, – ред.) основаны на своих британских прототипах под обозначением BS. Эти нормативы выпускает Британский институт стандартов (BSI, – ред.). Это некоммерческая организация, которая представляет свою страну в ISO (International Organization for Standardization, – ред.) и участвует в работе 728 технических комитетов этой влиятельной международной организации.

ISO/IEC 17799:2005 содержит руководство по внедрению на предприятии системы информационной безопасности, а также ряд принципов, которыми нужно руководствоваться, чтобы сохранить достигнутые результаты. Этот стандарт серии характеризуется тем, что сконцентрирован на обобщенных целях, к которым нужно стремиться компании в сфере IT-безопасности. Российские эксперты в области безопасности начали работать со стандартом в 2001-2002 годах. ISO/IEC 27001:2005 представляет собой уже более конкретное руководство. Пользуясь этим стандартом, отечественные компании на практике выстраивают у себя Систему управления информационной безопасностью (СУИБ, – ред.) – это основной концепт ISO/IEC 27001:2005. Недавно эта работа была проделана в одной из крупнейших российских корпораций в области авиастроения – компании «Иркут». По словам ее вице-президента по административным вопросам Михаила Шкапяка, всесторонний подход ISO/IEC 27001:2005 дал положительные результаты и значительно облегчил компании работу над большинством текущих задач в области информационной безопасности.

Сообщается, что при практической реализации международного стандарта в «Иркуте», работа была сделана в несколько этапов. Сначала был проведен аудит, чтобы определить текущую ситуацию с информационной безопасностью в компании, затем было создано 20 нормативных документов, которые адаптировали ISO/IEC 27001:2005 к практике конкретной российской организации. Кроме того, для высшего менеджмента «Иркута» был подготовлен корпоративный проект внедрения системы информационной безопасности. Успешной реализации поставленных задач способствовало то, что все необходимые вопросы сразу были подняты на уровень руководства компании. Затем, удалось наладить автоматизацию процессов СУИБ и распределить ответственность между подразделениями.