16.8.2010

Какво означава ISO 27 001 и инвестицията в информационна сигурност в реалния свят?

Когато компаниите назначават нов служител, едно от основните „входни” изисквания е подходящото образование, което е подкрепено с диплома от уважаван (признат) университет. В бизнес отношенията, гарант за спазване на добрите практики се явяват сертификатите, а от своя страна гаранция за тяхното качество е уважавания (признат) одитор по съответната сертификационна процедура. В бързо нарастващата група от компании сдобили се със сертификат за ISO 27001 нещата не седят по-различно.

Според регистърът на iso27001certificates.com към месец Юли 2010 година в света сертифицирани по ISO 27001 са 6573 организации! Според същият регистър в България сертифицираните компании са 10, а според Сдружение "Клуб 9000" те са 53. Което и число да е вярно, тази статистика показва, че интересът към получаването на този сертификат е значителен.
В тази статия бих искал да разгледам до колко и за кого е оправдано инвестирането на ресурси в получаването на този сертификат. Какви са предизвикателствата, ползите и усилията свързани със сертифицирането по този стандарт .
В разговорите си с много клиенти и партньори съм срещал много често объркване в понятията за серията стандарти ISO 27K. Ще се опитам да отговоря на двата най често задавани въпроса:
Какво всъщност сертифицираме и по кой от многото стандарти?
Най простият отговор на този въпрос е – организациите сертифицират Система за Управление на Информационната Сигурност (Information Security Management System - ISMS), по изискванията дадени от стандрта  ISO/IEC 27001:2005.
Много често срещаме понятия свързани с добрите практики за ИТ сигурността  - и възниква въпросът – ISO 27K само за Информационните Технологии (ИТ) ли се отнася?
Тук директният отговор е „НЕ”. От гледна точка на ISO 27K стандартите -  информацията може да съществува в много форми – може да е написана на лист хартия, да е разпечатана на принтер, може да се съдържа в презентация или на бялата дъска в конферентната зала,  може да бъде  електронна, може да бъде споделяна през различни електронни канали както и вербално . Очевидно е, че информацията трябва да бъде подходящо защитена независимо под каква форма съществува. В обхвата на ISO 27K влизат много аспекти от ИТ, но стандарта далеч не се ограничава до тях.
В следващите редове бих искал да обърна внимание на това какви са ползите на организациите от  сертифицирането?
Продажбите. Може би едно от най-видимите предимства е свързано с увеличените възможности за продажби  – сертифицирането по международен стандарт дава предимства при участие в търгове и конкурси, а напоследък притежаването на този стандарт е и задължително изискване. Това изискване се появява често в международните търгове, а напоследък и в България. Зад това изискване стои нуждата организациите да защитят своите интереси в работата си с партньори.
Доверието: Веднъж случайно дочух разговор на съседната маса – темата беше за регистрирането на предплатените SIM карти. Един от участниците в разговора каза следното:  „Вече е лесно е да разбереш кой номер на кой е, и кой с кого говори! Достатъчно е да пиеш кафе с някой от центъра за обслужване на клиенти. Не е нужно да познаваш шефа на телекома или да има прокурорско разрешение…”. Не знам дали това твърдение е вярно или не, но това няма значение. То показва недоверието на клиентите към начина по който компаниите боравят с техните лични данни. Това не се отнася само за телекомите разбира се – в това число влизат банките, медицинските организации и т.н. Притежаването на такъв сертификат повишава доверието на клиентите и партньорите към организацията.
Инвеститорите. ISO 27001 дава изисквания към плановете за непрекъсваемост на бизнеса.  Сертификата дава увереност, че предприятието има адекватни планове за действие при бедствия и големи прекъсвания, което значително увеличава шанса за оцеляване след такива събития. Инвеститорите чувстват по – голяма защита и по- малък риск за своите инвестиции.
Мениджмънта на предприятието.  Съществуването на ISMS и сертифицирането и дава увереност на мениджмънта, че:
• Рисковете свързани с информационната сигурност  са контролирани, вероятността и влиянието на инциденти свързани със сигурността са редуцирани до приемливо ниво
• Използва се структуриран подход за управление на риска
• Инвестициите в информационна сигурност са оправдани и оценени
• Изпълнени са правните и браншови изисквания
Имиджа. Притежаването на този сертификат повишава доверието като цяло и влияе позитивно на имиджа на организацията , защото показва ангажираност на висшия мениджмънт към сигурността. Позволява сравняване с конкурентите – когато организациите използват ISO 27001, те могат да измерват и сравняват своите постижения със своите конкуренти.
Партньорите.  Сертифицирането на ISMS има значителен позитивен ефект върху работата с партньори в съвместимостта.  Ако и двете организации следват препоръките на ISO 27001, те могат да постигнат комфортно ниво на съвместимост независимо от това, че компаниите имат различна дейност и история.
Служителите.  При съществуването на сертифицирана ISMS, служителите чувстват по – голяма отговорност към информационната сигурност. При ясното дефиниране на правилата за служителите е пределно ясно какво трябва да се прави и какво не, какво е позволено и какво не, кои са добрите практики възприети от организацията.  Повишава се доверието и ангажираността на служителите към отдела по сигурността и към организацията като цяло.
Това са само част от ползите от изграждането, поддържането и сертифицирането на ISMS.
Следващият логичен въпрос е колко струва всичко това? Основните разходи по изграждането, поддържането и сертифицирането на ISMS могат да се разделят на следните групи:
Еднократни разходи
• Управление на проекта
• Обучение и популяризиране
• Външни консултантски услуги и вътрешни ресурси за изпълнение на проекта, включващи  проектирането, разработката, тестването и внедряването на ISMS
• Евентуално закупуване на оборудване, софтуер и преустройване на сгради и съоръжения
• Сертифициране
• Организационните промени изискват допълнителни ресурси
Допълнителни и постоянни разходи
• Поддръжка и експлоатация на системата
• Надзорни визити
И тук идва и добрата новина – Всичко това може да бъде частично безвъзмездно финансирано от Европейските фондове чрез ОПЕРАТИВНА ПРОГРАМА "КОНКУРЕНТО СПОСОБНОСТ", Покриване на международно признати стандарти.

Предизвикателствата
Ангажираност на висшия мениджмънт. Сигурността е отговорност на висшия мениджмънт и съответно ангажираността му е критична за тази инициатива.
Резистентност към промяната. В някои организации може да се наложи интензивна разяснителна кампания за въвеждането на такава система.
Сертификата да си „остане на стената”.  Грешно поставените цели, могат да доведат до формално въвеждане на системата, при което инвестираните в пари и ресурси се обезсмислят в голяма степен, и сертификата започва да тежи като камък на шията на организацията. Този риск вече се случи в много организации със ISO 9000.
Изравняване с други стандарти. Организациите с ангажираност към качеството и стандартите, обикновено не се ограничават до ISO 27001. Те покриват и други стандарти – общи или валидни в собствената си индустрия, като ISO 20 000/ITIL, COBIT, ISO 9001, PCI-DSS. Тъй като тези стандарти частично се припокриват е важно да се оценят областите на припокриване и да се изравнят  така, че да не се инвестират двойни усилия по внедряването и поддръжката им.
Изборът на одитор. Доверието в сертификата или одиторския доклад е точно такова каквото е доверието в самия одитор. Много организации могат да издадат сертификат, въпросът който трябва да си зададем е колко организации ще му се доверят. Често срещано е при участие в търг или конкурс да се окаже, че сертификата който притежаваме не се признава поради това, че одитора не отговаря на определни изискванията. Консултирайте се с организациите разработили стандарта по който ще ви одитират кои са одобрените одитори . Доказателство за съществуването на  този проблем може би е огромното разминаване в статистиката на международната и българската организации цитирани в началото на статията. Добрият и опитен одитор носи истинска полза за одитираната  организация.
Изборът на консултанти и партньори. Много от организациите нямат собствени ресурси за пълното изпълнение на подобна инициатива. В тези случи те се обръщат към външни организации за помощ. Така те получават готово know how и използват ресурсите на парньора/консултанта.  Тук предизвикателството винаги е голямо – Как да пресеем copy/paste консултантите от тези които ще донесат истинска полза на организацията? Какъв опит има консултанта с ISMS, IT Service Management, ISO 20 000 проекти?  Това са част от въпросите на които трябва да си отговорим при избора на консултант.

Интересна тенденция която наблюдавам в последните две години е, че на практика в периода на кризата единствените проекти които останаха незасегнати от инициативите за ограничаване на разходите са тези свързани със сигурността. Нещо повече тяхното количество  се увеличи значително в сравнение с периода от преди кризата. Конкретно в моята организация поръчките за такива проекти се увеличиха над 50% в сравнение с 2006-2007 година. Тук включвам проекти свързани със планиране на самите ISMS, също и технологични проекти свързани с удовлетворяване на изискванията за сигурността като Access control, Identity Integration, IEEE 802.1x, Network Access Protection, Digital Rights Management, e-mail security и други.

И накрая - дали си струва да инвестираме в информационна сигурност и сертифициране по ISO 27001 СЕГА? Тук няма еднозначен отговор. Някои организации могат да преценят, че си струва, а други може би не. Това което обаче всички трябва да имат в предвид когато правят своята преценка е:  Цената която ще платим ако НЕ го направим – т.е. цената която плащаме при всяко прекъсване на услугите, цената която плащаме когато загубим данни, цената която плащаме когато изтече ценна информация към нашите конкуренти.

Преглед на някои от стандартите от 27К серията:
 ISO/IEC 27000- това число  (“ISO27k”) е резервирано за фамилията от стандарти за информационната сигурност.
ISO/IEC 27000:2009 -  Дава общ преглед и представяне на ISO 27K стандартите, както и терминологията използвана в тези стандарти.
 ISO/IEC 27001:2005 – Дава изискванията към  Information Security Management System (ISMS). Това е стандарта по който компаниите се сертифицират.
 ISO/IEC 27002:2005 – Практически код за ISMS – описание на набора от контролни цели и набор от общоприети добри практики.
ISO/IEC 27003 – Ръководство за внедряване на ISO/IEC 27001.
ISO/IEC 27007  -  Бъдещ стандарт – Ръководство за одит на ISMS
ISO/IEC 27011:2008 Ръководство за спецификите при покриването на изискванията на ISO 27001 при телекомуникационните компании – познат още като ITU X.1051.
ISO/IEC 27013 – Бъдещ стандарт . Ръководство за интегриране на ISO/IEC 20000-1/ITIL и ISO/IEC 27001 (ISMS).
ISO/IEC 27015 - Бъдещ стандарт. Ръководство за ISMS във финансови институции.
ISO/IEC 27036  - Ръководство за сигурността при аутсорсинг (outsourcing).

За автора Орлин Маринов:

Старши консултант: Управление на ИТ услугите и Информационна сигурност
Орлин Маринов има над 15 години опит в информационните технологии, като 10 от тях са в сферата на управлението на информационната сигурност. Притежава следните сертификати CISSP, ITIL v2 Manager, ITIL v3 Expert, CTT, MSCE+Security.
Орлин има Магистърска степен по Информационни технологии и контрол на процесите от Техннологичния Университет в София.
Участвал е като архитект в част от най мащабните проекти за изграждане на PKI и защита на електронната комуникация в България, включително за Доставчик на Удостоверителни Услуги (ДУУ).
Участвал е и в проектирането и внедряването на IEEE 802.1x, Network Access Protection (NAP) и Rights Management Services (RMS) в Райфайзен банк в България и Косово и в Мобилтел.
Орлин има водеща роля в редица проекти за подготовка за вътрешни одити по сигурността в Райфайзен банк в България и Косово и в банка ДСК. Проектите включват подготовка за въвеждане на политики за сигурност и за управление на сигурността на приложните системи в процеса на промени и прилагане на фиксове на производителя свързани с намерени  възможности за пробив. Участвал е също в подготовката за сертификация за ISO 20 000 на NextSense в Македония и на Раифайзен банк в Косово. Орлин участва в разработката на процеса и  процедурите за работа на ИТ услугите при извънредни условия в Холсим.
Орлин има водеща роля в сертификацията на ITCE по ISO20000 и ISO27001.
Акредитиран инструктор по:
• Управление на ИТ услуги (IT Service Management, ITIL и ISO 20 000) за нивата: ITIL v2/v3  Foundation, ITIL v2 Practitioner and Manager, ITIL v3 Intermediate, Expert  and Bridging.
• Управление на информационната сигурност (ISO 27001, CISSP), ISO 27000 Foundation и Certified Information systems Security Professional (CISSP).
• EXIN Information Security Foundation (ISFS) и EXIN Information Security Advanced (ISMAS)
• Microsoft Технологии – Акредитиран инструктор за  официалните курса на Microsoft за управление на мрежови услуги и сигурност с технологии на Microsoft.
Бил е лектор на много технологични е мениджмънт конференции в областта на информационната сигурност включително Microsoft Developer Days, Telfor Conference, IDG Security Forums и други, автор на редица статии за управление на услугите и информационна сигурност.