Стандарти в информационната сигурност
WEBINAR, 16 Март 2011, София
Обучение и разработване на документация
Обучението започва още със самото решение за внедряване, твърди Борис Гончаров, CISSP,
ISSMP, директор информационни технологии и информационна сигурност в G4S Security
Services България. То започва с обучението на мениджмънта, вземащ стратегически решения.
Тъй като няма представа за проблематиката на внедряването на системата, в хода на самото
внедряване обучението трябва да премине през етапите на управлението на риска.
Следващият етап е обучение за внедряването на механизмите за контрол, което трябва да е
паралелно с процеса на внедряване на системата. Обучение при вече внедрена система е
закъсняло по отношение на откриването на логиката на контрол. „Това е един ключов момент
и аз съм на мнение, че той трябва доста внимателно да се разглежда в контекста на самия
проект, от ден първи през продължаващия цикъл на прилагане на системата и подобряването
й“, добави Гончаров.
Сертифицираща организация – критерии за избор
Когато една компания трябва да вземе решение кой ще е сертификаторът, няколко са
основните направления, на които трябва да се спре. Според Александров трите направления
са проверка на акредитацията на сертификатора, цена и провеждане на консултации с
контрагентите. Според Найден Неделчев, началник отдел сигурност на технологиите в
Мобилтел и съмодератор в проведения уебинар водещ е опитът на сертифициращата
организация с положително завършили внедрявания на система за управление на ИС.
Точните консултанти с необходимия опит и подходящо сертифицирани теоретична
подготовка и практически приложени знания също са изключително важни в този избор.
Жеков добави, че акредитацията е формата, с която се гарантира качеството на предлаганата
услуга от страна на сертифициращата организация и когато сертификатът е с акредитация,
той може да бъде проследен международно, като се гарантира напълно, че проблеми с
признаването му където и да е по света няма да има.
Хората, които сертифицират системата изключително точно трябва да дефинират обхвата,
защото в противен случай успешната сертификация е невъзможна. Когато се прави частична
сертификация и стандартът се спазва стриктно, няма проблем да бъде сертифициран само
един процес или част от дейностите. Сертифицирането само на един процес според
Александров обаче понякога е лош имидж за самата организация.
Разходите – финансовият и човешки ресурс
Една е сигурността на организация, нямаща достатъчно средства и друга на организация,
която има финансовите възможности и може да си позволи закупуване и въвеждане на добри
и модерни технологични мерки за сигурност, заяви Александров. Сигурността на
организацията, направила по-голяма разход, е много по-висока.
Най-често подценяваният разход са времето и хората, добави Жеков. Това, с което трябва да
се бори организацията като разход, освен финансовата страна, която може да бъде планирана,
разсрочвана във времето и достатъчно добре намествана спрямо бизнес плановете и целите
на една организация, е човешкият ресурс. Найден Неделчев добави, че е важно планирането,
предвиждането на разходи, свързани с консултантска дейност, обучение, внедряване на
решението, реализиращо СУСИ, сертифицирането и поддържането на сертификацията във
времето.
Одит и ползи от стандартизацията
След успешното преминаване на всички етапи на сертификация следва одит. Той се извършва
от сертификационна организация. Представлява предварително синхронизирана проверка,
независима и обективна оценка, целяща да се отговори както на изискванията на клиента,
така и на акредитиращата организация. Времето се планира предварително, договаря се
според изискванията на няколко стандарта и се определя спрямо сложността на областта,
която ще се одитира. Едновременно с това, ангажимент на сертифициращата организация е
да подбере правилната компетентност на хората си, разясни Жеков. Подход, насочен към
управлението на риска е правилен и при извършване на одита, защото точно тогава се виждат
проблемите свързани с прилагането на механизми за контрол, добави Гончаров.
Мнението на Александров бе, че одиторите от съответната сертификационна организация не
би следвало да са консултанти. Правилният подход на одита е процесният подход, подходът
за изпълнение на план за намаляване на риска и съответно ефективността на механизмите за
контрол. Жеков се присъедини с коментара, че одиторите се опитват да дадат привнесена
стойност, споделяне на добра практика, без да задължават някого да прави нещо.
Организацията е жив организъм – тя постоянно се развива и има външни фактори, които й
влияят. Системата за управление на сигурността на информацията има стойност и
сертификацията носи доказателство, че тя функционира нормално, правомерно, чрез одитите
през годината. Рисковете могат да бъдат овладени, част от тях могат да бъдат елиминирани,
системите за управление на сигурността на информацията и на качеството на услугите
помагат на организациите да се преборят с реалната ситуация и да продължат напред бизнеса
си, извличайки максимална полза от него.
Прочетено: 18330 пъти