На этот раз главное внимание было уделено системам менеджмента ИБ (СМИБ), призванным минимизировать риски предприятий и повысить эффективность систем защиты информации. Построение эффективной системы ИБ предприятия, как отметил Андрей Рогожин, руководитель направления по развитию ИБ «АМТ-Груп», долгосрочный итеративный процесс, при реализации которого компании часто сталкиваются с несоответствием внедренных контрмер условиям постоянно меняющихся угроз ИБ. Обеспечение ИБ должно базироваться на четырех взаимодействующих блоках — планировании, реализации, проверке и совершенствовании системы ИБ. В противном случае даже идеально построенная (на момент создания) система постепенно деградирует и перестает защищать от новых угроз.
Важную роль в СМИБ играют стандарты — корпоративные, российские и международные (ISO 27001). Структура ИБ должна быть многоуровневой (периметр-сеть-сервер-приложения-данные), и на каждом уровне следует применять определенные технические и организационные средства. В качестве примеров Рогожин привел систему ИБ ОАО ОКГ-1, где уже проведена стандартизация СМИБ на основе ISO/IEC 27001:2005. Для этого была разработана и утверждена методика анализа рисков, осуществлена инвентаризация и классификация информационных активов в области действия СМИБ, постоянно проводится аудит текущего уровня обеспечения ИБ. Успеху реализации проекта в немалой степени способствовало обучение сотрудников ОГК-1, что становится необходимым условием реализации эффективной СМИБ, так же как и мероприятия по повышению осведомленности всех сотрудников предприятия об особенностях ИБ.
Год назад в «АМТ-Груп» создано подразделение сертификационного производства. Оно проводит сертификацию всех устройств Cisco Systems, работающих на предприятиях заказчиков, в соответствии с процедурами, утвержденными отечественными регулирующими органами (ФСТЭК). Стоимость услуги, по словам руководителя подразделения Геннадия Кравченко, составляет 15-20% от цены устройств. В дальнейших планах — аналогичная сертификация устройств Juniper Networks и других вендоров-партнеров «АМТ-Груп», решения которых используются в проектах по ИБ.
По данным Марины Соколовой, директора направления развития бизнеса российского подразделения BSI, старейшей британской организации в области стандартизации, всего в странах СНГ выдано 19 сертификатов на соответствие СМИБ международному стандарту ISO/IEC 27001, из них 13 — российским компаниям, два — в Казахстане и по одному в Киргизии, Молдове, Армении и на Украине. В этой сфере лидирует Япония, где подобные сертификаты имеют более 2800 компаний из 5 тыс. во всем мире.