Стандарт на систему управления информационной безопасностью ISO 27001:2005 подходит компаниям из любой отрасли. В России уже восемь компаний получили такие сертификаты. Среди них есть и системные интеграторы («Крок»), и телекоммуникационные компании (МТТ и «ТрансТелеКом»), и производители программного обеспечения (CMA и Luxsoft), и страховые компании (РОСНО). А недавно появился и первый банк — «Банк24.ру».
Коммерческий «Банк24.ру» базируется в Екатеринбурге, в течение пяти лет он предоставляет клиентам круглосуточный сервис. У банка есть несколько отделений, однако 95% операций клиенты выполняют через Internet посредством удаленного управления счетом. Система Internet-банкинга написана компанией «Бифит». Взаимодействие клиента с банком выполняется с помощью специального Java-апплета и защищено российскими криптоалгоритмами. Причем все транзакции заверяются ЭЦП, сертификаты которых могут храниться на специальных защищенных устройствах iBank 2 Key разработки той же компании «Бифит».
В банке еще до начала процедуры сертификации существовали службы управления информационной безопасностью и управления рисками. Сертификация даже выявила некоторую избыточность сотрудников, поскольку, как отметил Борис Дьяконов, председатель совета директоров «Банка24.ру», по результатам подготовки банка к сертификации удалось уменьшить количество персонала. Основная трудность при подготовке к аудиту заключалась в том, чтобы взять на учет все информационные активы, которых оказалось несколько тысяч в одной только системе Internet-платежей — именно она и проходила сертификацию по стандарту ISO 27001. После того как были учтены все активы и подсчитаны все риски, стало возможным оптимизировать расходы на безопасность за счет исключения дублирующихся систем и механизмов, которые не уменьшают риска. Процедура подготовки к сертификации заняла у банка около 12 месяцев.
«Чрезмерное увлечение средствами безопасности тормозит бизнес, — утверждает Олег Никонов, исполнительный директор компании 'Траектория роста'. — Поэтому безопасности должно быть ровно столько, сколько необходимо». Его компания выступила консультантом в процессе подготовки к сертификации. В ее задачу входила подготовка информационной системы банка к аудиторской проверке, а сам аудит проводила компания «Бюро Веритас Сертификейшн Русь». В ходе аудита было обнаружено, что возможна утечка информации через мусорную корзину банка — аудиторы нашли в ней бумажные документы с признаками конфиденциальной информации. В банке учли ошибки и закупили дополнительные шредеры для бумаг.
По результатам проверки «Банк24.ру» рассчитывает расширить область действия сертификата на систему обработки пластиковых карт и сберегательных книг. К концу года банк собирается открыть отделения с ежедневным обслуживанием в Москве и Санкт-Петербурге и предложить в этих городах две свои основные услуги — пластиковые карты и Internet-обслуживание. Соответствие стандарту ISO на систему управления информационной безопасностью является хорошим фундаментом для выхода на новые рынки.