Обязательные требования к процессам управления информационной безопасностью предприятия определяет международный стандарт ISO/IEC 27001:2005. Компания "Межрегиональный ТранзитТелеком" (МТТ) недавно стала первой телекоммуникационной компанией в России, успешно прошедшей сертификационный аудит на соответствие требованиям этого стандарта. Таким образом, МТТ становится в один ряд с ведущими мировыми операторами Vodafone, British Telecom и др.
Компания МТТ, оператор междугородной и международной связи РФ, первой среди российских операторов связи обеспечила информационную безопасность услуг в соответствии с высокими требованиями международного стандарта.
Как отмечают в МТТ, одним из ключевых факторов, которые помогают компании соответствовать жестким требованиям мирового рынка и российского законодательства, является сертифицированная система управления информационной безопасностью (СУИБ).
В качестве стандарта, определяющего требования к процессам СУИБ, компанией был выбран ISO/IEC 27001:2005 "Системы менеджмента информационной безопасности. Требования". Этот стандарт был принят Международной организацией по стандартизации (ISO) и основан на Британском стандарте BS 7799, разработанном лидером в области сертификации систем менеджмента – Британским институтом стандартов (BSI). Ключевые телекоммуникационные операторы в мире, например Vodafone и British Telecom, являются клиентами BSI и имеют СУИБ, сертифицированные на соответствие ISO 27001.
Компания, идущая на сертификацию, должна продемонстрировать свои СУИБ, подтвердить, что они отвечают рискам и угрозам.
Аудит МТТ был проведен подразделением BSI в России и СНГ – компанией BSI Management Systems CIS. Консалтинговой фирмой, подготовившей МТТ к аудиту на соответствие требованиям сертификации, стало ЗАО "Инфосистемы Джет", сертифицированный партнер BSI.
"Наша компания уделяет вопросам информационной безопасности первостепенное внимание, - рассказал генеральный директор МТТ Константин Солодухин. – Работа по сертификации наших СУИБ проводилась в течение года, процесс не был легким, нашим специалистам многое пришлось переосмысливать. Сертификация подтверждает, что МТТ предоставляет качественные услуги и заботится о защите информации своих абонентов. Теперь мы можем эффективно бороться с фродом, говорить на одном языке с операторами, с которыми взаимодействуем по обмену трафика".
Как подчеркнул руководитель направления BSI Management Systems Роберт Витчер, "получение сертификации требует поддержки со стороны руководства компании и точного осознания того, как работают системы информационной безопасности предприятия". Причем, сертификация не должна рассматриваться как конечная цель, компания должна ее постоянно подтверждать, совершенствуя системы безопасности. По словам г-на Витчера, получать ISO 27001 никто не заставляет, но практически все крупные компании уже осознали необходимость сертификации.
"Внедрение ISO 27001 – это радикальный скачок в построении систем информационной безопасности, - считает генеральный директор компании "Инфосистемы Джет" Владимир Елисеев. – Этот стандарт не просто диктует то, какие процессы осуществить, он заставляет задуматься над защитой своего бизнеса".
Как прогнозирует генеральный директор BSI Management Systems CIS Наталья Горобец, в 2007 г. в мире будет бум внедрения ISO 27001. Что касается МТТ, то ей сертификат выдан на три года. По окончании срока действия он может быть автоматические пролонгирован, в зависимости от состояния информационной безопасности в компании.
