В Белоруссии выдан первый сертификат СТБ ISO/IEC 27001. Ситуация в России
Получателем первого в республике сертификата СТБ ISO/IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» стал белорусский разработчик программного обеспечения ЗАО «Международный деловой альянс». СТБ ISO/IEC 27001, как и российский аналог ГОСТ Р ИСО/МЭК 27001, – это национальные переводы нормативного документа ISO/IEC 27001 Международной организации по стандартизации (ISO – International Organization for Standardization, – ред.). Выдал сертификат СТБ ISO/IEC 27001 единственный в Белоруссии сертифицирующий орган, аккредитованный для работы с этим стандартом – Белорусский государственный институт стандартизации и сертификации (БелГИИС, – ред.). Эта организация государственная. Напомним, что в Белоруссии оценка соответствия стандартам сравнительно более централизована, чем в России, где не существует органов по сертификации, напрямую подчиняющихся государству, в нашей стране оно их контролирует лишь через институт аккредитации и законодательство. В Госстандарте, национальном органе по стандартизации Белоруссии, отмечают, что выдача первого сертификата соответствия стандарту СТБ ISO/IEC 27001-2011 – только начало, и вскоре многие местные компании последуют примеру ЗАО «Международный деловой альянс».
Сам стандарт ISO/IEC 27001 ориентирован на структуризацию массивов информации и определение угроз информационной безопасности. Его внедрение позволяет минимизировать риски и обеспечить эффективную систему управления данными. Во многих своих принципах ISO/IEC 27001 опирается на процессный подход и положения известного универсального стандарта на системы менеджмента качества ISO 9001. Важно заметить, что в поддержку стандарта СТБ ISO/IEC 27001-2011 в Белоруссии были разработаны дополнительные государственные стандарты (их три, – ред.), схожие с международными. Они освещают проблемы терминологии и практического решения вопросов, которые в ISO/IEC 27001 оговорены бегло.
Если обратиться к российской практике внедрения стандартов информационной безопасности на предприятиях, то нужно заметить, что в нашей стране она существует давно. В России таких стандартов на порядок больше, чем в Белоруссии. Судя по сообщениям СМИ, внедряются на российских предприятиях они достаточно часто. Например, еще в 2011 году компания «Крок» (российский системный интегратор, – ред.) подтвердила соответствие своей системы управления информационной безопасностью российскому стандарту ГОСТ Р ИСО/МЭК 27001-2006. Кроме того, стандарт ISO/IEC 27001:2005 также внедрен в компании. То есть, одновременно два стандарта, отвечающие за соответствие информационной безопасности, действуют в компании. В одном из пресс-релизов Башлыков М.А., занимающий должность руководителя направления информационной безопасности компании «Крок», отметил, что крупные компании, задействованные в банковской, финансовой сфере, как правило, предъявляют к интеграторам ряд обязательных требований. Среди них и наличие сертификатов, подтверждающих соответствие системам информационной безопасности.
В завершении стоит сказать, что стандарты информационной безопасности все активнее принимаются в странах СНГ и на международном уровне. Так, Госкомитетом по стандартизации, метрологии и патентам Азербайджана летом 2012 года были адаптированы и введены в действие стандарты в сфере информационных технологий. Среди них: AZS ISO/IEC 27000-2012 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Обзор и словарь», а также AZS ISO/IEC 27003-2012 «Информационные технологии. Методы обеспечения безопасности. Руководство по применению систем управления информационной безопасностью».