Ассоциация АБИСС объявила о выходе на новый уровень в развитии своей Системы добровольной сертификации (СДС АБИСС), которая призвана удостоверять качество и безопасность услуг в области защиты информации. После официальной регистрации системы и старта программы для специалистов по ИБ ассоциация начинает сертифицировать компании.
За минувший год СДС АБИСС прошла важные этапы становления: от регистрации в Росстандарте и подготовки экзаменов для экспертов по информационной безопасности до формирования процедуры независимой оценки компаний, предоставляющих ИБ-услуги. Эта система выступает инструментом саморегулирования рынка информационной безопасности, не вступая в противоречие, а органично дополняя государственное регулирование со стороны профильных органов.
Первым направлением, получившим сертификацию, стала оценка соответствия стандартам защиты данных в финансовом секторе (ГОСТ Р 57580.1-2 и сопутствующие указания Банка России). Далее планируется создать процедуру сертификации в сфере обеспечения операционной устойчивости (ГОСТ Р 57580.4-5). Наличие сертификата СДС АБИСС служит весомым показателем качества проводимых аудитов, что помогает финансовым организациям выбирать исполнителей, а регуляторам — использовать результаты проверок в рамках надзорной деятельности.
Председатель АБИСС Анастасия Харыбина отметила: «Параллельно с развитием СДС АБИСС наша ассоциация совместно с Банком России активно участвует в создании нового национального стандарта, который установит требования к проведению оценочных проверок. В настоящее время в Техническом комитете 122 завершено первое обсуждение проекта ГОСТ Р 57580.Х, и мы ожидаем его регистрации до конца года. Принятие этого стандарта сформирует на рынке ИБ спрос на значительное число аттестованных организаций и специалистов. Именно поэтому мы уже сейчас запускаем сертификацию компаний, для чего разработали внутренний стандарт АБИСС (СТО АБИСС), чьи требования согласованы с проектом будущего национального стандарта».
Суть сертификации заключается не в простом формальном соответствии аудиторов нормативным правилам, а в создании независимого проверочного механизма, помогающего заказчикам находить и привлекать надежных поставщиков. В свою очередь, подтверждение компетенции в рамках СДС АБИСС открывает перед ИБ-компаниями доступ к проектам, где требуется независимая аттестация исполнителей. Таким образом, запуск сертификации организаций и специалистов на базе СДС АБИСС формирует целостную систему доверия, нацеленную на гарантию качества и безопасности услуг в сфере ИБ, включая услуги по оценке соответствия требованиям Банка России в области информационной безопасности.
В процессе создания СДС АБИСС Ассоциация привлекла специалистов, имеющих значительный практический стаж в области сертификации, ориентированной не только на нормы отечественного законодательства, но и на положения международных стандартов информационной безопасности. Такой подход дал возможность интегрировать передовой мировой опыт и детально отразить особенности национальных нормативов при формировании СДС АБИСС.
