Недавно СК «РОСНО» получила сертификат ISO/IEC 27001:2005. Какой путь прошла компания в процессе подготовки к сертификации? С какими проблемами приходилось сталкиваться? Что наличие сертификата будет означать для клиентов компании?
Полученный «РОСНО» сертификат соответствия системы управления информационной безопасностью требованиям ISO/IEC 27001:2005 подтверждает, что уровень безопасности бизнес-процессов у РОСНО отвечает международным критериям. Обладателями подобного сертификата сегодня являются крупнейшие международные финансовые компании, такие как Allianz, Frankfurter Volksbank, Samsung Life Insurance, Citibank, Federal Reserve Bank и др. В СНГ сейчас выдано лишь восемь сертификатов (их владельцы – предприятия, работающие в сфере IT, телекома и в банковском секторе), из них шесть - в России.
В системе ISO существуют различные стандарты, не только в области защиты информации. Приоритетность выбора какой-то группы стандартов зависит, прежде всего, от отрасли, в которой работает компания. Например, сертификация системы качества важна, в первую очередь, для производства продуктов питания и услуг здравоохранения, так как некачественными товарами и услугами может быть причинен вред жизни и здоровью потребителя. Наш выбор именно системы информационной безопасности для прохождения сертификации неслучаен. Для страховой компании безопасность информации – это ключевой инструмент эффективной работы, а персональные данные клиентов являются одним из основных активов страховщика. Капитал «РОСНО» – это не станки и оборудование, а наши клиенты. Они должны быть полностью уверены в своей защищенности, в том, что персональные данные об имуществе, состоянии здоровья, диагнозах и болезнях не будут разглашены по вине компании. Не менее важна информационная безопасность и для юридических лиц. Особенно осторожно относятся к защите сведений о себе крупные корпоративные клиенты. Ведь страховой компании становятся известны их балансовые экономические показатели, данные об имуществе и т.п.
Путь к сертификации занял у нашей компании немало времени. «РОСНО» всегда старалось быть в эпицентре внедрения новых технологий. Впервые необходимость упорядочить систему информационной безопасности озвучивалась еще родоначальниками компании – Евгением Кургиным и Леонидом Меламедом, решившимися не только первыми ввести международную финансовую отчетность, но и внедрять западные подходы в сфере безопасности бизнеса. В конце 90-х, на фоне экономического кризиса и разгула преступности, мы стали собственными силами внедрять технологии противодействия мошенничеству в страховом бизнесе, вводить практику расследования страховых событий, формировать политику экономической безопасности. А вот с вопросами информационной безопасности в одиночку оказалось справиться сложно, поэтому мы пригласили коллег для построения Системы управления информационной безопасностью, которая будет соответствовать требованиям принятого в конце 2005 года международного стандарта ISO/IEC 27001:2005. Партнером и консультантом «РОСНО» по подготовке к аудиту на соответствие требованиям указанного стандарта стала компания «Инфосистемы Джет», сертификационный аудит проводила компания BSI.
На первом этапе был проведен аудит состояния безопасности информационной системы «РОСНО», а также аудит состояния защищенности корпоративной вычислительной сети. Специалисты протестировали нашу информационную систему, проверили возможность проникновения в нее извне, определили существующие угрозы и уязвимые места и наметили пути их ликвидации в интересах защиты данных клиентов. Одной из важных составляющих по обеспечению информационной безопасности явилось разграничение прав доступа к информационным ресурсам «РОСНО» на всех уровнях трудового коллектива - от генерального директора до рядового агента.
В поле деятельности системы управления информационной безопасностью в соответствии с ISO 27001 было включено 18 крупных подразделений, штат которых насчитывает более 1000 человек. Эти люди задействованы в ключевых бизнес-процессах компании: различных этапах взаимодействия с клиентом, процессах урегулирования убытков и управления страховыми резервами, технологиях работы с кадрами, оплате труда сотрудников и т.д. Эти подразделения «увязали» в единую систему, центральная роль в которой отводится Службе безопасности. IT-департамент предоставляет техническую поддержку данному проекту.
В завершающую фазу проект вступил в июне 2006 года. В декабре того же года Система управления информационной безопасностью (СУИБ) в соответствии с требованиями ISO 27001 была выведена в опытную эксплуатацию, по завершении которой специалисты международной компании BSI провели сертификационный аудит. По его результатам СУИБ ОАО «РОСНО» было рекомендовано к регистрации в органе по сертификации с выдачей сертификата соответствия международному стандарту в области информационной безопасности ISO 27001.
Сегодня система включает в себя организационные, процедурные и технические средства, позволяющие минимизировать традиционные для страховой компании риски и угрозы: нарушение конфиденциальности (хищение и утрата информации, в том числе и персональной информации о клиентах), нарушение доступности информации (блокирование и уничтожение), нарушение целостности данных (несанкционированная и неконтролируемая модификация, навязывание ложной информации). Отдельное внимание мы уделили обеспечению непрерывности бизнеса при возможных катастрофических ситуациях: взрывах, землетрясениях, пожарах, а также - перемещениях и переездах компании или филиалов. Мы исходили из того, что клиент должен получить необходимую помощь при любых внештатных событиях, не смотря ни на какие форс-мажорные обстоятельства. Клиенты страховой компании - ее богатство. Чем больше людей верят в безопасность, тем устойчивее бизнес. Сохранность сведений о клиентах влияет на имидж страховой компании и степень доверия к ней потребителя. Построение и функционирование Системы управления информационной безопасностью в соответствии с требованиями международного стандарта ISO 27001 гарантирует всем клиентам, партнерам и инвесторам, что страховщик обеспечивает максимальную степень сохранности и конфиденциальности этих данных. И сертификация – это заключительное мероприятие, окончательно оформившее успех новой системы информационной безопасности.
Компании, организации:
