Евгений Акимов: «Выгоды от построения и сертификации системы управления информационной безопасностью для заказчика очевидны» |
28 июня компании «Инфосистемы Джет» и «Эльдорадо» провели совместную пресс-конференцию, на которой были представлены основные цели и результаты построения и сертификации системы управления информационной безопасностью «Эльдорадо».
Как пояснили представители заказчика, внедрение СУИБ было обусловлено прежде всего осознанием высокой ответственности менеджмента перед акционерами, партнерами и покупателями за сохранность приватной информации, циркулирующей внутри корпоративной ИТ-системы компании. Кроме того, ставилась задача выполнения требований закона «О персональных данных». Что касается добровольной сертификации на соответствие критериям ISO 27001, то этот акт должен обеспечить «Эльдорадо» дополнительные конкурентные преимущества — компании будет проще взаимодействовать с поставщиками, страховыми и финансовыми организациями, партнерами по бизнесу.
Сертификат сертификатом, но главной целью построения системы стало все-таки обеспечение реальной безопасности бизнес-процессов, подчеркивает менеджер по информационной безопасности «Эльдорадо» Константин Коротнев. Проект позволил четко структурировать процессы обеспечения и управления информационной безопасностью и повысить их прозрачность для пользователей. По словам Коротнева, в настоящее время выстроенная система охватывает примерно треть критичных деловых процессов компании, включая важнейшую для предприятия программу лояльности клиентов. В дальнейшем планируется поступательное расширение области действия СУИБ на остальные бизнес-процессы «Эльдорадо».
О том, как проходил процесс построения этой системы, журналистам рассказала Анна Костина, руководитель группы систем менеджмента информационной безопасности «Инфосистемы Джет». Сначала специалисты этой компании провели обследование текущего положения дел в «Эльдорадо», чтобы понять, в какой степени ее система информационной безопасности соответствует требованиям стандарта ISO 27001 и закона № 152-ФЗ. На этом же этапе были определены границы распространения бизнес-процессов, включенных в область действия будущей СУИБ. Первичный аудит также включал тестирование корпоративной информационной системы на наличие уязвимостей. По результатам этой работы были подготовлены рекомендации по модернизации существующих защитных средств «Эльдорадо» и совершенствованию ряда процессов, связанных с обеспечением информационной безопасности и обработкой персональных данных.
Вторая стадия построения СУИБ включала разработку обязательных с точки зрения сертификации процессов управления безопасностью, инвентаризацию активов, оценку рисков потери или компрометации данных. Одновременно разрабатывались и внедрялись требуемые стандартом ISO политики и процедуры, велось разъяснение сотрудникам «Эльдорадо» новых требований по соблюдению информационной безопасности. Затем специалисты из «Инфосистем Джет» и «Эльдорадо» совместно запустили первый цикл процессов СУИБ. Завершающим аккордом стала независимая оценка построенной системы представителями Британского института стандартов (BSI).
По словам Евгения Акимова, заместителя директора Центра информационной безопасности «Инфосистемы Джет", выгоды от построения и сертификации СУИБ для заказчика очевидны: это и оптимизация затрат на информационную безопасность, и повышение международных рейтингов, а также облегченный выход на мировой рынок и повышение стоимости компании при слияниях (это подтвердилось, в частности, на практике при объединении РОСНО с Allianz). Кстати, компания "Инфосистемы Джет» выполнила уже 20 проектов в области ИТ-безопасности на основе положений ISO 27001, но контракт с "Эльдорадо» был ее первым проектом в сегменте розничной торговли.