Бизнес в современных условиях неизбежно диктует свои требования к инфраструктуре и ИТ-процессам, происходящим в компаниях. Очень важно, чтобы предоставляемые бизнесу услуги информационных систем соответствовали необходимым уровням по доступности, целостности и конфиденциальности. Описание таких требований можно найти в нескольких стандартах.


Одним из них является разработанная в Великобритании библиотека ITIL (IT Infrastructure Library), которая содержит рекомендации для компаний по оптимальной организации ИТ-процессов. Стандарт CobiT (Control Objectives for Information and Related Technology) описывает, как бизнес опирается на правильно построенные в соответствии с ITIL ИТ-процессы. В отличие от ITIL, это стандарт более высокого уровня, предназначенный для руководящего звена — ИТ, финансовых, исполнительных и других директоров. Нередко CobiT используют в своей деятельности всемирно известные аудиторские компании типа Deloitte & Touсhe, Ernst & Yang, PricewaterhouseCoopers.

Основные аспекты конфиденциальности, доступности и непрерывности информации тоже регулируют разрабатывавшиеся в Великобритании международные стандарты ISO 27001 и ISO 17799. Они содержат несколько десятков страниц текста с требованиями (ISO 27001) и рекомендациями (ISO 17799) по организации системы управления информационной безопасностью, а также ранжированию рисков в организациях, типам документов (“секретно”/”совершенно секретно”) и организации доступа к ним. Еще один стандарт PAS 56 содержит публично доступные спецификации построения и обеспечения непрерывности бизнеса.

Правильно подобранное сочетание элементов перечисленных стандартов позволяет ИТ-директору эффективно решать поставленные перед ним задачи. Стандарты рекомендуют соблюдение целого ряда условий, в противном случае компания рискует не получить разрешение аудитора на ведение интересующей ее деятельности или потерять доверие клиентов. Для многих организаций тема соответствия принципов ведения бизнеса стандартам становится актуальной вследствие стремления выйти на международные рынки.

Постепенно у компаний на постсоветском пространстве начинает проявляться заинтересованность в первичном размещении акций (IPO — Initial Public Offering) на лондонской или нью-йоркской биржах. В различных странах существуют собственные рекомендации и государственные регулирующие акты, в Украине примером руководства к действию для отечественных банков являются требования Национального банка по организации непрерывности бизнеса. Аудиторские компании требуют от организаций, размещающих акции на бирже, чтобы они соответствовали подобным нормативным документам, например, Sarbanes-Oxley Act (SOX). Только в случае внедрения систем Service Desk, резервирования и восстановления данных, ведения прозрачного и четкого учета всех операций, прописанных процессов обеспечения информационной безопасности акции компании получают право котироваться на бирже.

Вкратце процесс подготовки к сертификации можно описать следующим образом. Клиент приглашает независимую аудиторскую компанию с просьбой помочь ему подготовиться к успешному прохождению процедуры сертификации. Длительность консультационного периода определить весьма сложно, поскольку все зависит от специфики решаемых задач и масштабов бизнеса. Опираясь на свои знания, опыт и положения стандартов аудитор совместно с клиентом приводит в соответствие с ними продукты, технические средства, политики, их выполнение, т.е осуществляет подготовительную работу. После наступает этап проверки, в результате которой клиент получает необходимый сертификат соответствия или в случае неудачи исправляет выявленные недочеты и повторно проходит процедуру сертификации.

В России сертификация компаний на соответствие стандартам приобретает национальные масштабы, в то время как в Украине пока реализуются только отдельные проекты. Впрочем, несколько месяцев назад этим направлением заинтересовались некоторые отечественные промышленные предприятия.

Одной из компаний, которая непосредственно оказывает консультационные услуги по подготовке к процедуре сертификации в Украине, является “БМС Консалтинг”. О складывающейся ситуации вокруг этого направления в нашей стране и перспективах ее дальнейшего развития PCWeek/UE беседует с руководителем отдела ИТ-консалтинга компании “БМС Консалтинг” Алексеем Янко.

PCWeek/UE: Учитывая ваш опыт работы с украинскими компаниями, сколько времени отнимает процесс подготовки к сертификации?


Алексей Янко:
В случае таких государственных организаций, как Пенсионный фонд, Служба занятости Украины, “Укрзализныця” этот процесс занимает от полугода до года. Например, в “Укрзализныце”, объединяющей 945 предприятий, пришлось проводить не просто ИТ-аудит, а аудит автоматизации бизнес-процессов. Поэтому время, затрачиваемое на консалтинг, во многом зависит от уровня его детализации. Если представить это в виде параллелепипеда, на одной грани которого находятся технологии, степень их детализации на другой и объем организации на третьей, то площадь поверхности куба составит время реализации проекта.

Невозможно придумать единый подход для консалтинга, его просто не существует. На первом этапе совместного с клиентом аудита консультант идентифицирует проблемы и намечает пути их решения. По результатам аудита консалтинговая компания разрабатывает стратегию развития информационных технологий, бизнес-процессов, реорганизации ИТ-службы. Дальше на основе принятой стратегии создается план ее реализации.

PCWeek/UE: В сотрудничестве с какими компаниями вы участвуете в реализации проектов?

А. Я.:
У нас есть собственная методология, но если проект требует большого количества ресурсов и знаний, которыми обладают международные компании, мы привлекаем их в качестве партнеров. В разное время мы работали с Hewlett-Packard, Microsoft, Symantec, в частности, подразделением Veritas. Иногда сами клиенты требуют от нас взаимодействия с интересующими их партнерами.

PCWeek/UE: С какого рода сложностями приходится сталкиваться?

А. Я.:
Обычно их несколько. Во-первых, у сотрудников компании клиента часто отсутствует понимание, что такое аудит, зачем он нужен — эти технологии достаточно новые для нашей страны. Кроме того, у клиента зачастую нет необходимого финансирования, до сих пор на рынке бытует мнение, будто консалтинг ничего не стоит. Между тем, он требует привлечения человеческих ресурсов, нередко из за рубежа.

PCWeek/UE: Каковы ваши прогнозы развития ситуации в следующем году?

А. Я.:
У нас достаточно амбициозные планы. ИТ давно неразрывно связаны со всеми сферами бизнеса, поэтому проведение аудита и консалтинга по обеспечению непрерывности бизнеса становится актуальной для все большего количества компаний. Бизнес становится реально уязвимым от всевозможных факторов, включая террористические угрозы извне, и ему необходима действенная защита. Думаю, следующий год станет годом проектов по построению ИТ и обеспечения их безопасности.