Ш1Р ф элвис-плюс 8 страница

США традиционно не являлись мировым лидером в области зако­нодательства, касающегося обеспечения конфиденциальности персо­нальных данных и информационной безопасности, однако там в пос­леднее время был принят ряд законов. Существенное влияние на организации в США в плане безопасности и конфиденциальности ока­зал закон Гремма—Лича Блили (Сгатт-ЬеасЬ ВИЧеу АСТ — 61_ВА), всту­пивший в силу в 1999 г. Действие его было направлено на компании, предоставляющие финансовые услуги. Возможные санкции за невы­полнение требований закона относились к тем компаниям, которые «были не столь тщательны, как следовало бы» в обеспечении конфи­денциальности данных своих клиентов. Аналогично требованиям, вы­работанным десять с лишним лет назад в Европе, данный закон тре­бует от финансовых учреждений и аффилированных с ними организаций обеспечивать безопасность, включая целостность и кон­фиденциальность персональных данных физических лиц.

В соответствии с этим законом финансовые учреждения должны разработать программу обеспечения информационной безопасности, основанную на оценке рисков, привносимых потенциальными угроза­ми и уязвимостями. К реализации программы должны быть привлече­ны совет директоров и высшее руководство. Данная программа вклю­чает эффективное управление рисками, мониторинг и внесение корректировок, а также отчетность перед руководством. В ней пре­дусматривается рассмотрение следующих вопросов:

• контроль доступа;

• управление конфигурациями;

• выявление вредоносных программ;

• обеспечение выполнения требований политики безопасности;

• мониторинг и управление правами пользователей;

• безопасность инфраструктуры и сетей передачи данных.

Действие закона GLBA распространяется на банки, страховые ком­пании, брокерские фирмы, налоговые и бухгалтерские фирмы, пла­тежные карточные системы и ряд других организаций, в отношении каждой из которых существует соответствующий регулятивный над­зорный орган (например, Комиссия по ценным бумагам и биржам или Федеральная корпорация страхования вкладов США). В соответствии с положениями закона регулятивные агентства несут ответственность за проверку (аудит) соблюдения GLBA.

Вторым важным законом, напрямую касающимся конфиденциаль­ности и безопасности, является Акт в отношении медицинского стра­хования (Health Insurance Portability and Accountability Act — HIPAA), утвержденный в качестве закона США в 1996 г., хотя многие из его положений, включая положение о конфиденциальности персональ­ных данных, были опубликованы много позднее (Положение о кон­фиденциальности персональных данных — в августе 2002 г., Поло­жение о безопасности — в феврале 2003 г.). Основным стимулом принятия акта являлись не столько безопасность и конфиденциаль­ность, сколько стандартизация информации о состоянии здоровья, которой обмениваются страховые компании и медицинские учреж­дения, упрощающая обмен данными между страховщиками и меди­ками. HIPAA, однако, требует от юридических лиц, на которых рас­пространяется его действие, принятия разумных и надлежащих физических, технических и организационных мер безопасности, на­правленных на обеспечение целостности и конфиденциальности информации о состоянии здоровья физических лиц, находящейся в их распоряжении или переданной ими; защиты от возможных угроз, несанкционированного использования или раскрытия данных; обес­печения соблюдения требований безопасности должностными лица­ми и служащими. Неудивительно, что требования HIPAA более де­тальные, чем требования GLBA, поскольку до принятия закона HIPAA организации в сфере здравоохранения делали слишком мало для защиты конфиденциальности информации и зачастую продавали персональную информацию третьим сторонам (например, фармацев­тическим компаниям).

В целом положение о безопасности HIPAA требует от организаций применения унифицированного подхода к защите информации как от внутренних, так и от внешних угроз. Данный акт требует производить систематические, детализированные и точные оценки рисков и содер­жит определенные рекомендации в отношении того, как это делать. Подобно другим рассмотренным законодательным актам он, однако, технологически нейтрален, т.е. не предписывает характер техничес­ких решений, подлежащих внедрению. Организации сами должны де­монстрировать регулирующим органам, что они обеспечивают выпол­нение закона или же что они действовали разумным образом в целях соблюдения требований закона.

Закон также содержит положение о регулярных проверках на со­ответствие требованиям, однако порядок проведения таких прове­рок, а также кем именно они должны проводиться до сих пор не уточнены.

Обсуждение требований в области контроля было бы неполным без рассмотрения закона Сарбейнса—Оксли (S0X), который был принят в 2002 г. Этот закон оказал огромное воздействие на процесс развития, внедрения и мониторинга систем внутреннего контроля компаний, включенных в листинги бирж США. Принятый первоначально как ре­акция на крупные скандалы, связанные с мошенничеством (примера­ми могут служить MCI и «Энрон»), как способ «защитить инвесторов посредством повышения точности и достоверности раскрываемой кор­поративной информации», закон имел большое значение для бизнеса и информационной безопасности.

Наибольшее влияние на информационную безопасность оказали статьи 302 и 404 этого закона. Статья 302 предусматривает, что глав­ный исполнительный директор (СЕ0) и главный финансовый дирек­тор (CF0) должны лично заверять точность и полноту финансовых отчетов. Более того, они должны также оценивать эффективность си­стемы внутреннего контроля в отношении процесса формирования финансовой отчетности и представлять соответствующий отчет (вклю­чая меры контроля в области информационных технологий и инфор­мационной безопасности). Статья 404 устанавливает, что компании должны производить оценку эффективности системы внутреннего кон­троля и уведомлять о результатах оценки Комиссию по ценным бума­гам и биржам (SEC). Предусмотрено также требование к официаль­ным аудиторам компании оценивать и указывать в своем заключении мнение об эффективности системы внутреннего контроля. Иными сло­вами, в законе отмечено, что:

— руководство отвечает за внедрение и функционирование сис­темы внутреннего контроля в отношении процесса формирова­ния финансовой отчетности;

— руководство компании обязано провести по результатам фи­нансового года оценку эффективности системы внутреннего контроля;

— официальные аудиторы компании должны удостоверить эту оценку и подготовить соответствующий отчет.

Хотя ведущие аудиторские фирмы и раньше оценивали систему внутреннего контроля при проверке финансовой отчетности, S0X сде­лал этот процесс более жестким и обязательным. Как результат, меж­дународные аудиторские стандарты были пересмотрены на предмет большего отражения процедур, основанных на подходе с точки зре­ния рисков и мер контроля, даже для компаний, формально не подпа­дающих под действие S0X. Очевидно, что оценка внутренней системы контроля не может быть осуществлена без рассмотрения вопросов информационной безопасности, за исключением, возможно, лишь слу­чая, когда финансовые отчеты и документы подготавливаются без ис­пользования информационных систем! Незащищенные системы не могут рассматриваться в качестве источника достоверной финансо­вой информации.

Для целей контроля и содействия аудиторам в оценке соответствия S0X был создан Надзорный совет по финансовой отчетности публич­ных акционерных обществ (Public Company Accounting Oversight Board — PCAOB), на который была также возложена задача разработ­ки стандартов аудита. Выбранные РСАОВ типовые меры контроля, раз­работанные Комитетом финансирующих организаций (C0S0), обеспе­чивают структурированные руководства по внедрению системы внутреннего контроля.

Хотя рамки C0S0 и представляются хорошей моделью, они не дают достаточной информации в отношении сопутствующих средств конт­роля в области информационных технологий и безопасности. В этой связи в дополнение к C0S0 используются меры контроля стандарта корпоративного управления и аудита в области информационных тех­нологий C0BIT, разработанного Ассоциацией по контролю и аудиту информационных систем (ISACA). Институт ISACA по корпоративному

управлению в области информационных технологий (ITGI) разрабо­тал на базе C0S0 и C0BIT совокупность целевых мер контроля в обла­сти информационных технологий и безопасности в контексте требо­ваний S0X.

Хотя руководство и вправе принять решение об использовании иной структуры при разработке системы внутреннего контроля, это потребует значительных усилий в плане разработки внутренней доку­ментации и обоснования того, почему выбранный подход отличается от рекомендованного ITGI. В связи с этим можно ожидать, что компа­нии будут следовать рекомендациям ITGI для внедрения и оценки мер контроля в области информационных технологий и безопасности в соответствии с требованиями закона Сарбейнса—Оксли.

В дополнение к приведенным выше примерам законодательного и регуляторного характера в некоторых отраслях существуют специаль­ные требования, которые организациям необходимо выполнять. На­пример, в отрасли платежных карт обязательное соблюдение ряда стан­дартов и предписаний является условием выпуска и процессинга карт различных брэндов. Платежная система Visa издала «Стандарты обес­печения безопасности данных при использовании платежных карт» с обязательным минимальным комплексом мер по обеспечению инфор­мационной безопасности. Подобно многим другим регламентирующим предписаниям, упомянутым выше, в них отсутствуют директивы в от­ношении использования определенных технологий, но содержится достаточно подробный перечень целей контроля. Другой отличитель­ной особенностью этих стандартов является требование о проведе­нии регулярного внешнего аудита на соответствие стандартам с ис­пользованием специально предписанной аудиторской программы. Соответствующий аудит должен проводиться квалифицированной ауди­торской компанией, получившей аккредитацию у полномочного органа платежной системы (Visa, MasterCard) на проведение таких проверок.

Мы рассмотрели ряд международных законо- 3.1.1.4. Общий лейтмотив дательных актов, каждый их которых был раз­работан с конкретной целью, напрямую не связанной с информаци­онной безопасностью, но оказывал влияние на организации в части необходимости внедрения мер безопасности. Эти законодательные акты относятся к большинству организаций, для которых (за исклю­чением случаев, когда организации являются поставщиками услуг в об­ласти безопасности) информационная безопасность не является ос­новным видом деятельности, а только средством по защите конфи­денциальности, целостности и доступности информации. Все они объе­динены общей идей — действовать «разумно» с точки зрения защиты информации. Отдельные акты имеют более предписывающий харак­тер, чем другие, но ни один из них не определяет того, какие техно­логии должны использоваться или какие конкретные средства конт­роля должна внедрить и реализовать организация, чтобы выполнить требования законодательства. В этой связи действия аудиторов зак­лючаются в том, чтобы как можно более гибко подходить к вопросам толкования оценки соответствия мер контроля, внедренных организа­цией, требованиям законодательства.

Аудиторы могут возразить, что эта неопределенность увеличивает риск: если бы, например, законодательные акты четко определяли, что все страховые компании обязаны иметь межсетевые экраны опреде­ленного типа, настроенные предписанным образом, то тогда прово­дить аудит было бы намного проще. Однако организация может ре­ально не нуждаться в рекомендованной технологии или могут существовать веские коммерческие причины, по которым ей необхо­дима другая конфигурация, которая никоим образом не подвергает риску общий уровень безопасности.

Следовательно, гибкость законов и регулятивных норм является положительным фактором, они предоставляют организациям общие рамки, в которых те должны действовать, что не противоречит общей фундаментальной правовой концепции «разумной необходимости», но оставляет открытым вопрос, что считать разумно необходимым.

По крайней мере, все обсуждаемые нами законодательные акты и во многих других случаях содержат требование о проведении опре­деленного рода оценки рисков и создании на базе этой оценки мер защиты.

3.1.1.5. Общие проблемы Соблюдение рассмотренных законода­тельных актов может потребовать от организаций существенных затрат. Так, затраты, связанные с соблю­дением требований HIPAA, даже в небольших организациях являют­ся значительными, особенно с учетом того, что раньше требований безопасности в области медицинского страхования практически не было. Одна крупная американская компания, занимающаяся меди­цинским страхованием, затратила более 11 млн долларов только на выплаты консультантам, для того чтобы обеспечить соблюдение тре­бований закона HIPAA. Компании, подпадающие под действие S0X, потратили гораздо больше, несмотря на то, что сложно сказать, ка­кая часть этих средств непосредственно связана с информационны­ми технологиями и информационной безопасностью, в любом слу­чае это немалая сумма.

Аналогично законы и регулятивные нормы не учитывают органи­зационные последствия внедрения этих требований. Что касается S0X, то здесь проведение организационных изменений неизбежно. В сущ­ности все акты, рассмотренные выше, требуют создания новых долж­ностей (офицер по обеспечению конфиденциальности персональных данных, офицер информационной безопасности, аудитор безопаснос­ти и т.д.), но не дают достаточной информации, какие требования предъявляются к профессиональной подготовке и навыкам таких со­трудников, или нечетко определяют, какие другие обязанности могут быть совмещены с выполнением этих полномочий. Остается открытым вопрос, где найти соответствующим образом подготовленный персо­нал (и определить его необходимую квалификацию) и как эффектив­но управлять людскими ресурсами, для того чтобы-обеспечить пра­вильное распределение обязанностей. Это оборотная сторона большинства таких законодательных актов: они определяют общие направления, но зачастую эти общие направления не дают ответы на многие вопросы. За исключением актов, регулирующих деятельность в сфере выпуска и процессинга платежных карт, большинство зако­нодательных актов допускают большое число толкований: что такое «разумная необходимость», люди могут понимать по-разному.

Все законодательные акты подразумевают ту или иную форму про­верки выполнения требований — либо внутреннюю проверку, как в случае с Data Protection Act в Великобритании, либо внешнюю. Слож­ность проведения аудита в таких условиях отдаляет выполнение тре­бований. Например, неясно, кто должен проводить проверку соблю­дения требований HIPAA и каковы цели и основные области этой проверки. В ближайшей перспективе компании будут привлекать не­зависимых аудиторов осуществлять проверки по типу «диагностики на соответствие требованиям», для того чтобы продемонстрировать законодателям и регулирующим органам, что они делают все правиль­но в отсутствие проведения официальной аудиторской проверки на

3.1.1.6. Преимущества На Западе многие сотрудники, занимаю-

законодателъных щие должности, связанные с обеспечени-

и регулятивных актов ем информационной безопасности в орга­

низациях, сетуют, что они не имеют должного авторитета в организации, а выделяемых из бюджета средств недостаточно для того, чтобы обеспечить необходимый для бизнеса уровень безопасности. Чаще всего компании не уделяют должного внимания информационной безопасности и сосредоточены на постав­ленных задачах и целях, которые порой входят в противоречие с пра­вилами соблюдения безопасности. В США во время бума электронной коммерции произошел определенный положительный сдвиг в осоз­нании связи целей бизнеса и вопросов безопасности, например над­лежащий уровень защищенности транзакций через Интернет стано­вится конкурентным преимуществом. Но даже такие «продвинутые» компании не смогли ответить на два основных вопроса: какой уровень безопасности необходим компании? как компания может доказать наличие необходимого уровня безо­пасности и надлежащего контроля?

Законы и регулятивные нормы оказались очень полезны для по­вышения статуса специалистов по безопасности, у которых сейчас появилось право действовать. Они могут сделать что-то, чтобы обес­печить выполнение требований законодательства, и поэтому к мне­нию таких специалистов нужно прислушиваться. Особенно это отно­сится к компаниям, подпадающим под действие S0X, где высшее руководство несет уголовную ответственность за несоблюдение зако­на. Как результат, информационная безопасность в компаниях вышла на новый уровень. Сотрудники службы безопасности в настоящий момент перегружены работой с целью выполнения требований зако­нодательства, не всегда понимая, как этого добиться, но по крайней мере теперь они могут обратиться к руководству с требованием уве­личения финансирования.

Многие из рассмотренных законов сопровождались внезапным всплеском финансирования на совершенствование информационной безопасности и других мер контроля, но, возможно, в будущем такая

тенденция не сохранится. Проблемой остается недостаточный уровень внешнего аудита на соответствие требованиям законодательства. По­этому мероприятия по контролю соблюдения нормативных актов яв­ляются важными для поддержания информационной безопасности как приоритетной задачи на уровне компании.

С учетом того что законы и нормативные 3.1.1.7. Роль стандартов акты дают возможность увидеть только

часть ситуации и требуют от руководства компании поступать пра­вильно, возникает вопрос, на который необходимо ответить: как вы­полняются требования законодательства и, что более важно, как можно доказать, что эти требования выполняются? Все законо­дательные акты содержат требование проведения оценки рисков и разработки политики информационной безопасности. В то же вре­мя только некоторые из них предписывают, как должна разрабаты­ваться политика безопасности, кто из руководства должен отвечать за ее разработку и усовершенствование и как эта политика должна выполняться. Содержание политики информационной безопасности освещено только частично и вряд ли достаточно для того, чтобы орга­низация могла хоть что-нибудь внедрить. С одной'стороны, это не­плохо, гибкость в законодательстве означает, что организация мо­жет сама разработать политику, которая удовлетворяет ее текущим и будущим потребностям, а также отражает реальные условия, суще­ствующие в организации. Было бы абсурдным, например, предписы­вать, чтобы все организации разработали политику в отношении бе­зопасности переносных компьютеров, если организация не использует переносные компьютеры!

И вот здесь на помощь приходят стандарты. Большинство законо­дательных актов разработано с учетом консультаций, полученных от различных органов по стандартизации. Стандарты в области инфор­мационных технологий и безопасности обеспечивают руководство следующим уровнем детализации, который законы и нормативные акты не дают и не должны давать.

Конечно, стандарты не являются обязательными и не устанавлива­ются в законодательном порядке, но, однако, они дают руководству возможность доказать, что оно «действует надлежащим образом» и таким образом продемонстрировать свое выполнение требований за­конодательства.

Существует огромное количество стандартов в области информа­ционных технологий и безопасности, одни из них — отраслевые, дру­гие — общие. Большинство из них основаны на оценке рисков как неотъемлемой части процесса их внедрения и соблюдения. С учетом того, что законы и регулятивные акты также требуют проведения оцен­ки рисков при построении системы внутреннего контроля и обеспече­ния безопасности, это означает, что стандарты являются первым пра­вильным шагом на пути выполнения требований законодательства.

3.1.1.8. Влияние В связи с тем, что существует множество международных стандартов в области информационной стандартов______________ безопасности, организации нередко стал­киваются с проблемой выбора наиболее для них подходящего. Поскольку для организаций, к которым предъяв­ляются требования S0X, институт IT6I определил подходящие меры контроля в области информационных технологий (ИТ) и безопаснос­ти на основе стандарта C0BIT [35], представляется, что данным орга­низациям имеет смысл начинать с внедрения этого стандарта.

C0BIT представляет собой стандарт корпоративного управления ИТ, разработанный ISACA. Он адресован специалистам в области ИТ, ру­ководству и аудиторам, поэтому является полезным инструментом для организаций: помогает руководству и сотрудникам понять необходи­мость контроля и позволяет объяснить требования бизнеса техничес­ким сотрудникам.

C0BIT рассматривает корпоративное управление ИТ в рамках че­тырех основных групп процессов (доменов):

• организация и планирование (РО);

• приобретение и внедрение (AI);

• функционирование и поддержка (DS);

• мониторинг и оценка (ME).

В каждом из доменов выделяются отдельные процессы (всего 34), для каждого из них приводятся требования к мерам контроля.

Среди процессов C0BIT существует отдельный процесс, посвящен­ный обеспечению информационной безопасности (DS5), хотя и в ос­тальных процессах приводятся отдельные меры контроля, связанные с безопасностью.

Отличительной особенностью C0BIT является наличие руководства по аудиту, содержащего подробную методику проверки мер контроля

по всем 34 основным процессам ИТ, в том числе по процессам, свя­занным с безопасностью. В этом руководстве подробно рассказыва­ется, с кем из сотрудников следует провести интервью, какие доку­менты проанализировать, что необходимо протестировать. В связи с выходом в декабре 2005 г. новой версии C0BIT 4.0 в настоящее вре­мя разрабатывается соответствующее руководство по аудиту.

C0BIT является полезным инструментом для аудиторов (внутрен­них и внешних), он предоставляет подход, с помощью которого про­веряется уровень зрелости мер контроля в области ИТ. Это делает его ценным инструментом для руководства организации с целью опреде­ления того, как «надлежит» действовать, и позволяет сконцентриро­вать ресурсы для совершенствования мер контроля в тех областях, где требуются улучшения.

После вступления в силу S0X все больше внимания уделяется кор­поративному управлению, а значит, и управлению ИТ; все больше орга­низаций рассматривают внедрение C0BIT как метод совершенствова­ния мер контроля в области ИТ. Более того, даже безотносительно требований S0X организации все чаще требуют от независимых кон­сультантов провести проверку по C0BIT, для того чтобы оценить эф­фективность корпоративного управления ИТ.

Другим полезным инструментом, который может использоваться для совершенствования системы информационной безопасности, яв­ляется ITIL — набор оптимальных методов и принципов, которые определяют интегрированный, основанный на процессах подход по управлению информационными технологиями. Заинтересованность в применении ITIL постоянно растет по всему миру.

ITIL также рекомендует внедрение эффективных мер в области информационной безопасности на стратегическом, тактическом и опе­рационном уровне. Обеспечение информационной безопасности рас­сматривается как цикличный процесс с фазами планирования, вне­дрения, оценки и поддержки. ITIL оперирует такими понятиями в области информационной безопасности, как политики, процессы, про­цедуры и инструкции.

С некоторыми особенностями аналогичные подходы прослеживают­ся в C0BIT, а также в нормативных и законодательных актах. Хотя в ITIL отсутствуют непосредственные специализированные стандарты оценки соответствия, тем не менее ITIL близок Британскому стандарту BS 15000 [36], посвященному управлению ИТ-сервисами и методам оцен­ки. Оценка качества аудиторов BS 15000 осуществляется UKAS (Британ­ское агентство аккредитации). UKAS устанавливает основные требова­ния в отношении аудиторов в части обучения, квалификации, наличия опыта у сертификационных компаний (т.е. у компаний/аудиторов, ко­торые проводят сертификационный аудит). UKAS регулярно проводит аудит сертификационных компаний с целью убедиться, что они могут документально подтвердить свою компетентность по проведению сер­тификационных аудитов. BS 15000 содержит подробные руководства для организаций, которые желали бы получить сертификацию, и требо­вания в отношении аудиторов. В 2005 г. стандарт BS 15000 был пред­ставлен в ISO и по завершении ускоренной и упрощенной процедуры его рассмотрения был принят как IS0/IEC 20000 [37].

Еще одним широко обсуждаемым стандартом в области безопас­ности является стандарт IS0/IEC 15408 (Общие критерии) [38], кото­рый был гармонизирован в России как ГОСТ Р ИС0/МЭК 15408. Этот стандарт технический и иногда труден для восприятия бизнесом. Он полезен для поставщиков и покупателей продукции информационной безопасности, для того чтобы определить, насколько хорош механизм защиты в приобретаемой продукции. К сожалению, он не помогает руководству разобраться, правильно ли оно действует. Даже если оп­ределены конкретные технологические требования к безопасности отдельных систем, неправильное внедрение или работа любого уст­ройства или системы ни в коей мере не улучшит общий уровень бе­зопасности организации в целом. Область применения этого стандар­та в целях соответствия регулирующим требованиям достаточно ограничена. Однако существуют исключения, в частности в области процессинга платежных карт, где определенные технические требова­ния IS0/IEC 15408 встречаются, например, в программах проверки на соответствие требованиям в области безопасности со стороны пла­тежной системы MasterCard.

Наиболее известными и широко используемыми стандартами уп­равления информационной безопасностью и доказательством соблю­дения нормативных актов и законодательства являются международ­ные стандарты серии IS0/IEC 2700Х по управлению информационной безопасностью. Беря свое начало от первоначальных Британских стан­дартов 7799 (в последующем IS0/IEC 17799 [39] и IS0/IEC 27001 [24]), эти стандарты конкретно и четко определяют, как эффективно вне­дрить систему управления информационной безопасностью. Есть не­сколько причин, почему эти стандарты настолько популярны, и не пос­ледняя из них та, что существуют четкие методы проведения аудитор­ских проверок на соответствие и даже возможность сертификации по Б0/1ЕС 27001. Эти стандарты помогают ответить на вопрос: «как до­казать, что в организации обеспечен требуемый уровень безопаснос­ти?» и убедить регулирующие органы, что «все выполняется правиль­но» и «надлежащим образом».

Стандарты охватывают все основные сферы требований, предъяв­ляемых законодательством и нормативными актами, упомянутыми выше. Краеугольным камнем соответствия стандартам является пони­мание того, какими информационными активами обладает организа­ция, и внедрение требуемого уровня мер контроля, основанного на оценке рисков.

БОДЕС 17799, БОДЕС 27001 — просто и доступно написанные стан­дарты, предоставляющие полезные руководства по мерам контроля, ко­торые организация захочет внедрить. При этом стандарты понятны как специалистам в области информационной безопасности, так и руковод­ству и помогают преодолеть коммуникационный барьер между обеими сторонами, обеспечив тем самым понимание руководством, что делается и почему. Руководство рассматривается стандартом как ключевое звено при постановке целей в области информационной безопасности.

Для того чтобы быть сертифицированной по этому стандарту, орга­низация должна также доказать, что у нее существуют процедуры по идентификации законов и нормативных актов, касающиеся ее с точки зрения защиты информации, у нее должна существовать программа по соблюдению этих нормативных требований. И тогда сертификация по 150/1ЕС 27001, если она проведена надлежащим образом, гаранти­ровала бы, что организация на деле соблюдает все законодательные и нормативные акты, регулирующие ее деятельность.

Приложение А стандарта БОДЕС 27001 содержит перечень мер контроля, которые должны быть внедрены в организации, желающей пройти сертификацию (однако не все меры контроля из данного спис­ка обязательно должны быть внедрены, если существует документально подтвержденное решение руководства на этот счет, основанное на оценке рисков). Многие компании используют этот стандарт как сред­ство самооценки, поскольку методик по проведению оценки безопас­ности недостаточно; некоторые компании стремятся пройти офици­альный сертификационный аудит у аккредитованных независимых

аудиторских компаний. Аналогично BS 15000, описанному выше, ком­пании, проводящие сертификационный аудит, должны быть аккреди­тованы в отношении стандарта BS 7799 (часть 2) органом UKAS в Великобритании. По мере перевода британских стандартов в статус международных (ISO) аккредитация также становится возможной че­рез органы ISO. В опубликованном документе ЕА-7/3 (Аккредитация организаций, занимающихся сертификаций систем управления инфор­мационной безопасностью) Европейской комиссии по аккредитации, перечислены основные требования в области независимости, квали­фикации и внутренней системы контроля качества в отношении таких организаций. Эти требования к качеству процесса сертификации и квалификации аудиторов обусловлены необходимостью доверия ре­зультатам сертификации.

Сертификация по стандартам также требует проведения регуляр­ных аудиторских проверок в целях обеспечения и поддержания соот­ветствия выполнения требований и для того, чтобы процесс управле­ния безопасностью функционировал надлежащим образом. Это сокращает разрыв, который в настоящий момент существует в боль­шинстве законодательных актов: как доказать регулирующим органам, что организация постоянно соблюдает требования законодательства? Это также облегчает сотрудникам службы безопасности получение финансирования на поддержание программы управления безопасно­стью, и не только на сам сертификационный аудит, но и на весь ком­плекс мер в области безопасности.