Тематический бюллетень
Вид материала | Бюллетень |
- Тематический бюллетень, 1078.94kb.
- Тематический бюллетень, 1186.6kb.
- Тематический бюллетень, 656.11kb.
- Тематический бюллетень, 870.43kb.
- Тематический бюллетень, 1019.68kb.
- Тематический бюллетень, 842.39kb.
- Тематический бюллетень, 853.6kb.
- Тематический бюллетень, 897.18kb.
- Бюллетень новых поступлений 2007 год, 816.76kb.
- Бюллетень новых поступлений 2007 год, 897.56kb.
Миронов примет участие в международной конференции по информационной безопасности
12-13 мая в Константиновском дворце Санкт – Петербурга пройдет международная конференция "Информационная безопасность как фактор борьбы с международным терроризмом".
Форум состоится по инициативе Совета Федерации и сената Бельгии. Предварительно проработанный двумя сенатами план, получил в пятницу подтверждение во время встречи Сергея Миронова с его бельгийским коллегой Арманом де Деккером.
Миронов напомнил, что еще в 2004 году в Брюсселе по инициативе бельгийских сенаторов была проведена "парламентская конференция по правовому регулированию в области борьбы с международным терроризмом и гармонизацией национальных законодательств".
На предстоящей встрече тема будет продолжена, и "мы сосредоточимся на выработке общих подходов к противодействию терроризму в информационной сфере", сказал Миронов.
На этом заседании Ассоциации европейских сенаторов поднимался вопрос "об исключении возможностей для противоправных действий с развитием информтехнологий".
www.narodru.ru
СТАТЬИ, АНАЛИТИКА |
15.04.0808:07
Может ли сертификация гарантировать безопасность?
В последнее время у специалистов появилось много вопросов о международном стандарте ISO 27001. Глядя на ситуацию с ISO 9000 в России, многие делают вывод, что сертификация "не работает" и якобы ISO 27001 не нужен. Хотелось бы внести ясность и разобраться с этим вопросом.
К сожалению, в настоящее время есть много примеров, когда сертификация по стандартам действительно "не работает". Особенно печальная картина сложилась как раз среди стандартов качества, например, ISO 9000. Основная причина такой ситуации - появление бесчисленного количества мелких учреждений, осуществляющих схемы добровольной сертификации, которые очень сложно отследить. Часто небольшие компании грубо нарушают кодекс аудитора - сами оказывают консалтинговые услуги и сами же проводят сертификацию.
В этой части интересен опыт международных аудиторских компаний по проверке внутреннего контроля, отвечающего требованиям закона Сарбэйнса – Оксли (SOX), цель которого – повысить доверие инвесторов к процедуре финансовой отчетности публично котируемых на американских фондовых биржах компаний, установив меры контроля для обеспечения конфиденциальности и целостности финансовых данных.
ISO27001
Международный стандарт BS ISO/IEC 27001:2005 описывает требования, необходимые для проведения сертификации систем управления информационной безопасностью. Методологические аспекты, связанные с построением и жизненным циклом систем управления информационной безопасностью, содержатся в международных стандартах ISO/IEC 27002 (ранее ISO/EC 17799), ISO/IEC 27003-27034, 13335. Стандарты охватывают руководства по внедрению таких систем, их анализ и контроль, управление рисками и инцидентами, непрерывность бизнеса, реализацию организационных и технических мер контроля, измерение эффективности и метрики.
В части аудита данных систем рекомендуется использовать стандарты ISO/IEC 19011 и ISO/IEC Guide 62. В России, по данным реестра форума российских пользователей систем управления информационной безопасностью, на настоящий момент сертифицировано десять компаний, в странах СНГ - пять.
Согласно международной практике, даже несмотря на то, что основным финансовым аудитором является определенная компания, она вынуждена согласиться на реализацию требований SOX другим финансовым аудитором, по сути - его конкурентом. Это на практике реализует не только принцип разделения функций аудитор-консультант, но и обеспечивает дополнительный контроль.
Каждое предприятие, намеревающееся сертифицироваться в ближайшее время, должно понимать, что от правильного выбора аудитора зависит доверие к сертификату и сертифицированной компании. Вне зависимости от цели - будь то привлечение дополнительных иностранных инвестиций, IPO, слияние с иностранной компанией, повышение своего рейтингового индекса - необходимо четко представлять, что за рубежом есть определенное доверие только к немногим ведущим фирмам, которые и обеспечивают большинство сертификационных аудитов. При этом эти компании жестко контролируются вышестоящими, аккредитующими органами, например, UKAS (United Kingdom Accreditation Service). Они регулярно проводят выборочный аудит сертифицированных компаний и могут отозвать аккредитацию для аудитора вне зависимости от ее статуса.
Официальная схема сертификации предусматривает различные механизмы контроля. Существует руководство, помогающее осуществлять контроль компетентности и качества работы консультантов по стандартам (Guidelines for the selection of quality management system consultants and use of their services), международные требования к органам по сертификации и самой сертификации по ISO (Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems). Кроме всего прочего, схемой сертификации предусмотрено наличие аккредитованных учебных центров (например, по ISO17001 в России - это Академия информационных систем), а также персональных сертификатов о прохождении обучения (и в некоторых случаях – сдачи экзамена) на данных курсах.
Почему же не работает?
Разберем конкретную ситуацию. Допустим, некая компания проходит сертификацию. Против ожиданий, после этого она не достигает улучшений качества. Одной из причин может стать отсутствие подтвержденных корректирующих действий по выявленным фактам. Другими словами, руководство компании не восприняло результаты аудита всерьез и не исправило внутренние проблемы с организацией контроля качества. Это может быть связано с тем, что предоставленная аудитором информация, возможно, не нашла практической реализации в улучшении продукта/услуги. Действительно, если имеется четкая связь того, что выявленные факты по анализу удовлетворенности потребителей не соответствуют поставленным на данный момент целям бизнеса компании, то почему на них необходимо тратить деньги? В данном случае эта информация может быть в дальнейшем использована для изменения целей, но не больше.
Есть два фактора, по которым косвенно судят об улучшениях услуг или продукции - мнение независимых рейтингов (различные тесты) и мнение самих потребителей, выраженное в виде спроса (или его отсутствия) на продукцию. Если у компании появляются сомнения в работе созданной и сертифицированной системы управления, она может пожаловаться в орган по сертификации, а в дальнейшем, в случае проблем с сертифицирующей компанией, в орган по аккредитации.
Это является одной из причин к более глубокому изучению аудитором сертифицируемой компании. Нужно также помнить про моменты, связанные со зрелостью СУИБ, – чем больше времени компания работает с СУИБ, тем точнее результаты ее работы, выше компетентность ее сотрудников и лучше понимание, как СУИБ влияет на бизнес и потребителей.
Далее возникает вопрос доверия - доверяете ли вы аудиторской компании? Понятно, что всякого рода карманные структуры не могут объективно гарантировать качество сертификации, только независимые компании, которые существуют на рынке десятки лет, и имеют развитые функции самоконтроля и контроля со стороны аккредитующих структур, могут вызывать доверие.
Особенно это касается международных компаний, которым есть что терять и с чем сравнивать.
Гарантирует ли безопасность?
В любом случае, какая бы сертификация или независимый аудит не был - по SOX, по VISA PCI или аттестация ФСТЭК, все это не может гарантировать непревзойденной и нерушимой безопасности, но, тем не менее, обеспечивает элементарные функции контроля и выполнения известных требований перед регулирующими структурами.
Задача стандарта ISO 27001 и сертификации по нему - не гарантировать безопасность, а обеспечивать работу над ошибками, готовиться к их наступлению (разрабатывать планы действий при их наступлении), по возможности предвидеть будущие проблемы (анализировать риски).
Основное внимание должно быть уделено именно контролю со стороны внешних аудиторов, поскольку персонал организации может элементарно не выполнять заявленные требования, также как и неопытный консультант может допустить определенные ошибки. В таком случае аудиторы не должны допускать сертификации или отзывать/приостанавливать выданный сертификат.
Безопасность – это "процесс, а не цель": постоянно появляются новые угрозы безопасности, существуют социальные атаки (подкуп, шантаж), растет количество сложно обнаруживаемых злоумышленных действий инсайдеров. "Все течет, все изменяется",- говорили древние философы - это, в частности, применимо к понятию безопасность. Аудит и контроль позволяют обнаруживать мелкие изменения, крупные же, в свою очередь, должны контролироваться на этапе их одобрения руководством.
Кто прошел сертификацию
Согласно реестру сертификатов ISO/IEC 27001:2005 в СНГ, только в России за последние 2 года появилось девять сертифицированных компаний: CMA Small Systems AB, "Крок", Data Fort, РОСНО, "Рутэния", "Лукойл-Информ", Luxsoft, "Межрегиональный ТранзитТелеком" (МТТ), "Ланит" и "ТрансТелеКом".
Это небольшое по сравнению с общемировыми показателями количество. Тот факт, что в списке в основном находятся ведущие игроки в своей отрасли – говорит о том, что процесс сертификации, видимо, отражает действительность зрелых организаций. Стоит также отметить, что все указанные компании были сертифицированы известными международными аудиторами.
Если проанализировать тенденцию, становится очевидным, что на сертификацию выходят в основном компании, в которых годами складывалась корпоративная культура управления информационной безопасностью, что, по сути, отражается в виде признания данных успехов и сертификации. Не стоит забывать, что стандарт отражает так называемые “лучшие практики”, при этом уровень зрелости компании по вопросам информационной безопасности обычно складывается годами путем проб и ошибок. Почему же у российских компаний для этого нет грамотных специалистов и понимания руководством современных требований бизнеса?
Постепенно выгоду от сертификации и потребность в международных стандартах осознали наиболее консервативные, но и наиболее заинтересованные в информационной безопасности предприятия – это банковские и финансовые организации. В настоящий момент крупнейший российский банк - Сбербанк России - получил сертификат по стандарту управления ИТ-сервисами ISO 20000, который включает в себя также процесс управления информационной безопасностью в соответствии с ISO/IEC 27001:2005. Недавно "АзияУниверсалБанк", в совет директоров которого входят Майкл Меред (бывший представитель МВФ в Киргизии), Боб Доул и Беннетт Джонстон (экс-сенаторы США), стал первым банком в СНГ, получившим сертификат именно по информационной безопасности.
Процесс сертификации по международным стандартам систематически проверяется со стороны соответствующих регулирующих организаций. По неофициальным данным, недавно Россия прошла очередную проверку со стороны надзирающего органа по аккредитации - UKAS. И, видимо, учитывая усилия, которые демонстрируют российские компании на пути к международным стандартам, недавно в России проходило заседание подкомитета ISO/IEC JTC1/SC27 ("Безопасность информационных технологий"), где обсуждались, в частности, вопросы развития стандартов ISO по информационной безопасности, и в том числе, стандарта ISO/IEC 27001:2005.
В завершение хотелось бы сказать несколько слов о связи между сертификацией и бизнесом. Начнем с того, что все работы по созданию СУИБ начинаются только после документирования в первую очередь бизнес-целей и уже после того - целей СУИБ. Достижение этих целей является смыслом процесса анализа со стороны руководства. Получение новых контрактов, выход на новые рынки, привлечение инвестиций, повышение привлекательности при слиянии и продаже бизнеса, повышение рейтинга компании международными рейтинговыми агентствами – это только малая часть того, почему руководители компаний задумываются о создании СУИБ по международным стандартам и ее сертификации. Нужно отметить, что те компании на российском рынке, которые уже сертифицировались, не только имеют четкие цели в этой части, но многие их уже достигли в той или иной мере.
Николай Федотов: Безопасность - предмет темный
Своим экспертным мнением с CNews поделился Николай Федотов, главный аналитик InfoWatch.
Не вполне ясно, чем подтверждается мнение, что сертификация "не работает". В отношении ISO-9001 об этом можно судить, например, по увеличению сбыта. А как померить улучшение информационной безопасности? Ее влияние на финансовые показатели компании весьма опосредовано. Тем более что безопасность, как известно, не приносит прибыль, а избавляет от убытков, да и то не всегда.
На наш взгляд, сертификация по 27001 приносит выгоды не столько самой сертифицированной компании, сколько ее менеджменту. В силу упомянутой особенности ИБ, трудно оценить эффективность вложений в нее. Скажем, потратила компания кучу денег на организацию защиты, на соответствующее оборудование и специалистов. Никаких значимых инцидентов не случилось. Защита эффективна? Или просто повезло? У руководства компании всегда таится мысль: не зря ли мы тратим деньги на нашу защиту? Может быть, она не работает? Может быть, мои безопасники просто вешают мне лапшу на уши, выпрашивая деньги на свои высокотехнологичные игрушки, на свои мужские игры? Когда что-то неприятное случится, и обнаружится, что наша защита не сработала, будет уже поздно. А как проверить? Устроить учебную тревогу?
www.cnews.ru
Применение радиомодемов "Интеграл 400"
в мониторинге объектов ЖКХ
П Р Е Д Л А Г А Е Т
Для промышленных предприятий и ЖКХ компания НИРИТ (г. Москва) предлагает законченные решения для реализации систем диспетчерского контроля и управления территориально-распределенными сетями объектов жилищно-коммунального хозяйства. Мониторинг объектов ЖКХ обеспечивается в радиосетях передачи данных (радиотелеметрии) на радиомодемах "Интеграл 400" (Integral 400"), разработки ЗАО "НИРИТ" и производства ООО "НПФ "СИГМА-ИС".
Использование оборудования беспроводной телеметрии и управления (SCADA) с радиомодемами в качестве транспортной среды позволяет создать интегрированную диспетчерскую систему, обеспечивающую диспетчеру непрерывный доступ к информации о состоянии обслуживаемых объектов, а также возможность дистанционного управления объектами коммунального хозяйства города: датчики охранно-пожарной сигнализации чердачных, подвальных и служебных помещений; объектов инфраструктуры (либо резервирование существующих проводных линий к ответственным объектам); датчики температуры воды, воздуха, тепла; датчики давления воды, газа; датчики тока, напряжения в электросетях; датчики расхода воды, газа, тепла; показания электронных счетчиков расхода воды, газа, электрической и тепловой энергии; данные малых метеостанций и других устройств экологического мониторинга.
Контакты:
ЗАО "НИРИТ"
105082, г.Москва, ул. Бакунинская, д.74-76.
Телефон/Факс: +7 (495) 105-10-60
http: www.nirit.org info@nirit.org
| МОСКОВСКИЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ СВЯЗИ И ИНФОРМАТИКИ Лицензия Серия А № 166659 Регистрационный № 7542 от 5 сентября 2006 г. Государственная аккредитация Серия АА № 000259 Регистрационный № 0253 от 27 июля 2006 г. |
БИЗНЕС-ОБРАЗОВАНИЕ
ДЛЯ РУКОВОДИТЕЛЕЙ И СПЕЦИАЛИСТОВ ОТРАСЛИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СВЯЗИ
Факультет повышения квалификации и переподготовки (ФПКП) МТУСИ реализует образовательные программы:
МВА-ИНФОКОМ - эксклюзивная программа профессиональной переподготовки менеджеров высшей квалификации «Мастер делового администрирования/ Master of Business Administration (MBA): Управление компаниями в инфокоммуникациях».
Специализации:
- Стратегический менеджмент в инфокоммуникациях
- Стратегический маркетинг в инфокоммуникациях
- Корпоративное управление финансами в инфокоммуникациях
- Управление человеческими ресурсами в инфокоммуникациях
- Управление организациями почтовой связи
- Информационная безопасность в инфокоммуникациях
- Управление инновациями
Срок обучения – 2 года. Выдается Государственный диплом МВА с присвоением дополнительной квалификации «Мастер делового администрирования».
Второе высшее образование в сокращенные сроки по специальностям:
080502 – Экономика и управление на предприятии (связь)
080109 – Бухгалтерский учет, анализ и аудит
Специализация специальности 080502 - Электронный бизнес
Срок обучения - 3 года (по субботам). Выдается Государственный диплом с присвоением квалификации специалиста: «экономист-менеджер», «экономист» соответственно.
ЗАРУБЕЖНЫЕ ОБРАЗОВАТЕЛЬНЫЕ ПРОГРАММЫ - различные виды стажировок в крупнейших концернах и компаниях мира (DeutsheTelekom, Siemens-Nokia, Alcatel-Lucent, Ericsson, Italtel, Huawei и др.).
Высокое качество обучения на ФПКП обеспечивается актуальностью образовательных программ, использованием современных технологий, профессионализмом профессорско-преподавательского состава МТУСИ, привлечением к процессу обучения отраслевых специалистов-практиков и преподавателей ведущих ВУЗов Москвы.
Обучение платное. Возможно размещение в гостинице ИПК МТУСИ.
Прием документов и собеседование по адресу: 123995, Москва, МТУСИ, ул. Народного Ополчения, 32, ауд. 209, ФПКП
Прием заявок на обучение и дополнительная информация по телефонам:
(499) 192-84-50, (499) 192-84-94, http: ipk.mtuci2.ru, e-mail: fpk@mtuci2.ru