Надежда Бурцева: Российский и мировой пути развития ИБ начали сходиться
На вопросы CNews ответила Надежда Бурцева, директор департамента безопасности информационных технологий МАСКОМ.
CNews: Соответствуют ли российские стандарты в области ИБ лучшим мировым практикам?
Надежда Бурцева: Исторически, ИБ в России начала свое развитие независимо от мировых практик в этой области, что, естественно отразилось на соответствующих отечественных стандартах. Сейчас мы наблюдаем принятие в России лучших международных стандартов ИБ, например, российский национальный ГОСТ Р ИСО/МЭК 27001—2006 идентичен международному стандарту ISO/IEC 27001: 2005. Таким образом, можно говорить о том, что российский и мировой пути развития ИБ начали сходиться.
В тоже время, следует иметь в виду, что исконно российские стандарты в области ИБ не лучше и не хуже международных. Они просто другие, так как разработаны на основе лучших отечественных практик. А показателем их качества может служить тот факт, что ИБ информационных систем, обрабатывающих государственную тайну, у нас в стране реализуется именно на основании исконно российских стандартов и технических регламентов.
CNews: Есть ли синергия от одновременного соответствия нескольким стандартам?
Надежда Бурцева: Все зависит от целеполагания. Соответствие какому-либо стандарту или техническому регламенту призвано создать компании конкурентное преимущество в глазах вполне определенного контрагента либо подтвердить выполнение обязательных требований регуляторов (второе, к сожалению, в нашей стране пока встречается гораздо чаще). Таким образом, у каждой конкретной компании свои цели и, соответственно, свои потребности. Все зависит от рынка, на котором она работает.
Вместе с тем, следует отметить, что одновременное приведение в соответствие нескольким стандартам, как правило, оказывается дешевле, чем последовательное.
CNews: Насколько менеджмент ИБ адаптирован к появлению новых угроз и восприимчив к техническим новинкам?
Надежда Бурцева: Развитие средств нападения всегда «на шаг» опережало развитие средств защиты, и ИБ здесь не исключение. Информационные технологии переживают бурный рост, и появление уязвимостей там, где их раньше никогда не было, – совершенно закономерный процесс.
Все зависит от системы менеджмента ИБ в конкретной компании. Если она находится в зачаточном состоянии, то ее реакция на новые угрозы или на необходимость обеспечить безопасность информационной системы, перешедшей на новый уровень своего развития, будет достаточно болезненной. А если система менеджмента информационной безопасности соответствует лучшим практикам, например, ISO/IEC 27001: 2005, то ее реакция на новинки будет закономерной и предсказуемой.