[an error occurred while processing this directive]
Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Сергей Романовский: Восстановление и развитие национального института стандартов видится одной из стратегических задач

Сергей РомановскийНа вопросы СNews отвечает Сергей Романовский, руководитель направления информационной безопасности департамента корпоративных проектов «АМТ-Груп».

CNews: Как известно, в мировой практике мало какой продукт или система ИБ не соответствует какому-либо профильному стандарту, соглашению и т.д. Насколько, на ваш взгляд, в стандартизации заинтересованы отечественные разработчики продуктов и систем ИБ?

Сергей Романовский: Заинтересованы. Подтверждение тому — инициатива национального банковского сообщества. Деятельность участников вертикальных рынков регулируется рыночными отношениями, национальными законодательными и нормативными актами, она направлена на  рост капитализации и удовлетворение требований заинтересованных сторон, в число которых, в том числе, входит, государство. А деятельность государства, в свою очередь, направлена на гармоничное развитие национальной экономики в целом. И восстановление и развитие национального института стандартов видится мне одной из стратегических задач.

CNews: Что все-таки первично в мировых нормативных актах: охрана государственных интересов или защита прав потребителей? И как в этом плане обстоит дело в России?

Сергей Романовский: Я бы не стал противопоставлять эти вещи, поскольку задача любого государства — прежде всего, защита интересов граждан. Это основной государственный интерес. Осознание данной аксиомы в нашей стране, думаю, — вопрос ближайшего будущего.

CNews: На ваш взгляд, в области развития стандартов Россия идет особым путем или все же имеют место интеграционные процессы? В  каких случаях должны иметь место свои, отечественные нормативные акты, а в каких можно использовать международные?

Сергей Романовский: Я всегда привожу в пример Японию. Развития рыночных отношений в этой стране отличается удивительной гибкостью. Решение о принятии стандарта BS 7799 отвечало интересам бизнеса, и, вместе с тем, государство не поступилось принципами национальной политики в сфере стандартизации.

У России, несомненно, есть свой путь развития стандартов, продиктованный многолетним опытом, сложившейся деловой культурой. Сейчас активно протекает процесс консолидации накопленного национального и передового опыта международного сообщества, идут поиски продуктивного пути развития стандартизации.

CNews: Некоторые стандарты, например, тот же ISO27001, предполагают проведение аудита системы управления ИБ. Насколько, по вашему мнению, у нас в стране развит институт подобного аудита, а также подготовки к нему?

Сергей Романовский: Насколько мне известно, подобные услуги традиционно оказывают аудиторские фирмы, входящие в состав «большой четвёрки». Существуют также сертификационные аудиты, которые проводят компании — разработчики стандартов, например BSI MS.

Главный вопрос аудита — это критерии, или на соответствие каким стандартам проверяется компания-заказчик? В большинстве случаев аудиты третьей стороной (внешние аудиты) проводятся на соответствие внутрикорпоративным политикам, национальным и международным стандартам по ИБ, также используются общепринятые методики сравнения с зафиксированным передовым опытом зарубежных компаний. Сертификационные аудиты, как правило, направлены на подтверждение качества внедрения тех или иных стандартов.

В настоящее время, за исключением банковского сообщества, на российском рынке превалируют иностранные методики. Это опять же связано с отсутствием национального института стандартов, отсутствием критериев аудита и нормативов по обеспечению ИБ в вертикальных рынках отечественной экономики.

CNews: Считаете ли вы оправданным разработку отраслевых стандартов в ущерб универсальным? Чего в этом плане можно ожидать в России в ближайшие годы?

Сергей Романовский: Сложный вопрос. Если речь идёт о национальной политике в области стандартизации, то, несомненно, так называемые универсальные или высокоуровневые стандарты должны служить отправной точкой для создания отраслевых или технологических стандартов. В качестве примера можно рассмотреть интегрированную систему менеджмента, разработанную BSI и нашедшую отражение в публикации PAS 99. Речь идёт о гармонизации стандартов, используемых в рамках одной организации. Основным элементом данной модели является стандарт качества ISO 9001, на принципах которого построены, в частности, СУИБ (ISO 27001) и управление ИТ сервисами (ISO 20000).

Мне сложно давать прогноз на будущее, но в целом ситуация может развиваться в двух направлениях — принятие стандартов ISO в качестве национальных или, что более предпочтительно, развитие национального института стандартов и гармонизация национальных и международных стандартов.

CNews: Какие существуют способы модернизации стандартов в России? Есть ли возможность со стороны производителей и потребителей влиять на этот процесс?

Сергей Романовский: Производители и потребители — основные заинтересованные стороны в развитии стандартизации. В настоящий момент именно они являются основными заказчиками разработки стандартов. Разработчики стандартов — это инициативные группы, действующие в интересах и на деньги заказчика, разрозненные, с точки зрения стандартизации в масштабах государства. Развитие национального института стандартов позволит систематизировать эту деятельность.

CNews: Насколько соответствует, на ваш взгляд, существующая сейчас в России практика в области защиты интеллектуальных прав условиям глобализации рынка информационной безопасности?

Сергей Романовский: В свой практике я пока ни разу не встречал компании — потребителя услуг, которая с точки зрения ИБ на должном уровне поддерживала процесс защиты интеллектуальных прав, хотя декларируют эту позицию многие. Речь, в частности, идёт о позиции стандарта BS ISO/IEC 27001:2005 - Annex A — A.15.1.2 — Intellectual property rights (IPR). С позиции разработчика, думаю, наибольшей компетенцией в этой области обладает российское представительство компании Microsoft.

Cnews: Спасибо.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS