Пазя си тайните, за да оцелея
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Пазя си тайните, за да оцелея

Пазя си тайните, за да оцелея

Стандарт гарантира сигурността на информацията във фирмата

Мара ГЕОРГИЕВА
7727 прочитания

© Shutterstock


Какво е общото между урагана Катрина през 2005 г. и консултантския бизнес? След опустошителната му сила консултантските фирми отчитат нараснал интерес към стандарта за информационна сигурност ISO 27001, което увеличи работата и приходите им.

"Ураганът обезглави хиляди компании, защото наводни офисите и унищожи информацията в тях. А в днешно време, ако не можеш да възстановиш информацията в рамките на седем дни, шансовете да възобновиш бизнеса си рязко намаляват", обяснява Юлиан Узунов, президент на консултантската фирма Top Management Advisors. И припомня, че изтичането на лични данни и информация за кредитни карти например вече е довело до щети за милиарди долари.

В света има около 4500 фирми, които са въвели ISO 27001. В България са само две - печатницата на БНБ и "Оптикс" - Панагюрище, която е доставчик за военната промишленост. "Мнозина не си дават сметка, че информацията е актив, който добавя стойност и следователно трябва да бъде защитен", обяснява слабия интерес към стандарта инж. Иван Лазаров, консултант за въвеждането на ISO 27001 в "Оптикс". Юлиан Узунов коментира, че въпросът за информационната сигурност все още не е на дневен ред в България. "Името на стандарта звучи екзотично. Много мениджъри смятат, че с информационна сигурност трябва да се занимават само хората, които отговарят за компютърната мрежа", казва Узунов. И подчертава, че ISO 27001 означава много повече. "Стандартът включва физическа защита на офиса и обектите на фирмата, защита на интелектуалната собственост (патенти, търговски марки, ноу-хау), както и мерките, които трябва да вземе компанията, за да се предпази от собствените си нелоялни служители."

Какво представлява стандартът

Според специалисти ISO 27001 е един от малкото стандарти, които са разработени подробно. Към него има и допълнителен стандарт - ISO 27002, който съдържа указания за прилагане на ISO 27001. Стандартът обхваща цялата дейност, свързана с обработката на информацията във фирмата. Внедряването му започва с преглед на организацията на тази дейност - органи, длъжности, отговорности, комуникация, обяснява инж. Иван Лазаров. Следващ елемент е работата с хората - например предписания какво да се направи, преди да се приеме човек на работа в компанията, след като се наеме, ако напусне. Тук се включват обучение, квалификация, повишаване разбирането на знанията за информационната сигурност. Част от стандарта е и физическата сигурност - например влизането на хора, пропуски, помещения за сървъра и др. Елемент на ISO 27001 е осигуряването на достъпа до информационните системи - технически въпроси, свързани с осигуряването на информационните мрежи, работата с интернет, изискванията към софтуера, контрол на достъп, работата с пароли, съхранение на пароли и др. Стандартът изисква да се осигури непрекъснатост на бизнеса, т.е. възможността на предприятието да реагира на инциденти по информационната сигурност и на неочаквани ситуации като природни бедствия, терористични актове и пр.

Всички тези дейности се документират. Необходимо е да се поддържа непрекъсната обратна връзка между различните звена за контрол, анализ и намеса при нужда. Част от стандарта са и вътрешните проверки (поне веднъж годишно) на системата, за да бъде усъвършенствана, ако е необходимо. Освен това ISO 27001 изисква стриктно спазване на съответните законови и договорни задължения по отношение на информационната сигурност. След като консултантите подготвят и проверят компанията, трета независима страна одитира фирмата и издава сертификат за въвеждане на стандарта.

Време и цени

Срокът за въвеждане на ISO 27001 обикновено варира от шест до 12 месеца и зависи от размера и предмета на дейност на компанията, от нейната структура и териториално разпределение, от състоянието и ресурсите й. "Почти няма търсене за внедряването на ISO 27001. А щом няма пазар, няма и цени", казва Юлиан Узунов. Според него въвеждането на стандарта излиза между 5000 и 20 000 лв. "Ако фирмата поддържа система за управление на качеството по ISO 9001:2000 и има системи за наблюдение и охрана например, внедряването е по-евтино, защото част от изискванията на стандарта вече са изпълнени." Според Стоян Йотов, управител на сертифициращата организация "Тюф Норд България", която в края на декември, връчи сертификата на "Оптикс" - Панагюрище, цената за сертифициране на вече въведена система за информационна сигурност зависи от броя на дните за одит на място. И уточнява, че за ISO 27001 одиторите се нуждаят от повече време, защото проверяват физическата сигурност на сградите и анализират риска - откъде може да изтече или да бъде открадната информация. "Ако във фирмата работят 100 души, сертификацията излиза около 2000 - 3000 евро. По-евтино е във фирми с по-ниски нива на риск, по-скъпо е във високотехнологичните фирми", уточнява Йотов.

Ползите

"Оптикс" - Панагюрище, е иновативна фирма, имаме много сериозно ноу-хау и собствени патенти. Освен това сме доставчици за военната промишленост. Всичко това изисква да съхраним и защитим информацията, с която разполагаме", обяснява инж. Мария Барова, упълномощен представител на ръководството по интегрираната система за управление. Според нея въвеждането на ISO 27001 изисква усилията на целия екип, изостря вниманието на хората и ги прави по-ангажирани към проблемите на сигурността. Освен това наличието на ISO 27001 дава 100% доверие на партньорите на фирмата, че информацията, която предоставят - договорени цени, доставки и пр., ще бъде надеждно защитена. "Наясно сме какво представлява информацията като продукт. Когато имаш информация, която управляваш и съхраняваш правилно, това означава, че си крачка пред другите. И това е условие за твоята конкурентоспособност", казва инж. Барова.

Българското предприятие произвежда оптични компоненти, възли, изделия и наблюдателни уреди. То вече е въвело стандарти за управление на качеството (ISO 9001), на околната среда (ISO 14001), на здравето и безопасността при работа (OHSAS 18001). Тъй като изпълнява договори за доставка на военна и специална продукция, компанията притежава и сертификат за управление на качеството по изискванията на НАТО (AQAP 2110).

"Въвеждането на стандарта ISO 27001 дава вътрешна сигурност, че предприятието е защитено", преценява инж. Иван Лазаров. Според него сертификацията носи имидж за компанията, защото показва, че трета независима страна е проверила и доказала наличието на този стандарт. Проф. Марин Тодоров от консултантската фирма "Булекопроект" твърди, че след въвеждането на стандарта цялата система от информационни технологии се управлява по-ефективно. "Осигурява се не само сигурност на информацията, но и по-компетентно управление на информационните носители и здравословни условия за ползване на компютърна техника", смята той.

Какво е общото между урагана Катрина през 2005 г. и консултантския бизнес? След опустошителната му сила консултантските фирми отчитат нараснал интерес към стандарта за информационна сигурност ISO 27001, което увеличи работата и приходите им.

"Ураганът обезглави хиляди компании, защото наводни офисите и унищожи информацията в тях. А в днешно време, ако не можеш да възстановиш информацията в рамките на седем дни, шансовете да възобновиш бизнеса си рязко намаляват", обяснява Юлиан Узунов, президент на консултантската фирма Top Management Advisors. И припомня, че изтичането на лични данни и информация за кредитни карти например вече е довело до щети за милиарди долари.

Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

4 коментара
  • 1
    Avatar :-|
    h

    много добра статия, хареса ми!

  • 2
    Avatar :-|
    Много Печен

    Дали има публични онлайн услуги, сертифицирани по ISO 27001 ?

  • 3
    Avatar :-?
    ИТ-чо

    Като работещ в сферата на продукти за информационна защита мога само да адмирирам сертифицаренето по 27001; смело и иновативно решение за въпросната фирма, имайки превдид колко малко внимание се отделя в БГ на подобни въпроси.
    Проблемът на подобни сертификации обаче е малко завишеното ниво на самоувереност и измамно спокойствие които дават, процесите трябва да се наблюдават постоянно, RTP да се преоценяава; човешкият фактор за съжаление е крайно решаващ,еххх, ако всичко беше само компютри... :)

  • 4
    Avatar :-|
    Бонго Бонго

    Много правилно - най-добрата сигурност за информацията е информационното затъмнение. А за "по-здравословвните условия на ползване на компютърната техника" да не говорим - компютърът по начало е едно от най-вредните човешки изобретения.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

Още от Капитал

Оригами бизнес

Оригами бизнес

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK