В  декабре прошлого года Арэксимбанк-группа Газпромбанка получил официальный статус компании, сертифицированной на соответствие стандарту ISO 27001 (система менеджмента информационной безопасности). Сертификация проводилась со стороны авторитетной аудиторской компании Certification International United Kingdom. Арэксимбанк-группа Газпромбанка стал одним из первых в республике коммерческих банков, получивших подобный сертификат. О том, как данный факт отразится на стабильной деятельности банка, и какие преимущества могут от этого иметь клиенты агентству «АРКА» рассказала начальник Управления информационных технологий ЗАО «Арэксимбанк-группа Газпромбанка» Асмик Нерсесян

«АРКА» - Что дает банку данная сертификация, и в чем ее преимущества как для менеджмента, так и для ваших клиентов?

Нерсесян - Стандарты ISO – это своеобразные знаки качества в той или иной области, которые присваиваются по различным направлениям деятельности. В 2010 году менеджмент нашего банка успешно прошел сертификацию на соответствие международным требованиям ISO 9001.  Сертификат качества менеджмента был  выдан французской аудиторской компанией AB Certification, а в этом году мы получили «знак качества» в области менеджмента информационной безопасности. Не секрет, что обеспечение безопасности является одним из ключевых условий стабильности бизнеса. Внедрение данной системы позволит нам выстроить эффективную интегрированную систему менеджмента, укрепить свои позиции на банковском рынке Армении и подтвердить свой статус зрелой, высокопрофессиональной и надежной компании для наших клиентов. Согласитесь, трудно оспаривать важность глобальной международной аккредитации, которая признана во всех странах мира.

В дополнение к этому хотелось бы сказать пару слов о самом стандарте, потому что без понимания того, что он собой представляет, дальнейший разговор теряет всякий смысл. Данный стандарт описывает требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ). СМИБ   часть общей системы менеджмента, отвечающая за обеспечение информационной безопасности, оценку рисков, непрерывность бизнес- процессов и т.д. в банке.

Задача СМИБ гораздо шире, чем может показаться на первый взгляд, поскольку она призвана обеспечить комплексную безопасность и доступность информационных активов. В список задач входит и управление реестром информационных активов, и создание резервных копий различных документов, и обеспечение физической безопасности оборудования и многое другое. Итак, в чем преимущества компании, прошедшей такого рода сертификацию. Первое, это конечно, имидж. Привлекательность банка в глазах корпоративных клиентов и партнеров, которые внимательно относятся к вопросам обеспечения информационной безопасности, сразу повышается. Второе преимущество прохождения сертификации по ISO 27001 – это улучшение ситуации с обеспечением информационной безопасности в компании. Третьим наиболее значимым преимуществом внедрения ISO 27001 является повышение прозрачности работы подразделений для высшего руководства компании. Это касается и подразделения, отвечающего за информационную безопасность. Для каждого банка преимущества данной системы носят специфический, субъективный характер в зависимости от текущего положения дел в обеспечении информационной безопасности и от того, какие задачи ставит перед собой  подразделение информационной безопасности при прохождении сертификации.

«АРКА» - Какова роль руководителя компании в принятии решения по прохождению сертификации?

Нерсесян - Вопрос актуальный. Зачастую можно встретить непонимание руководителями далеко идущих последствий обеспечения или необеспечения информационной безопасности в своих компаниях. Ну и конечно, материальная сторона дела. Ведь сертификация стоит недешево. Но в перспективе это означает существенную экономию благодаря отсутствию ущерба от инцидентов в сфере информационной безопасности. Руководство нашего банка в полной мере понимало необходимость прохождения данной сертификации. Для контроля и правильной организации подготовительных работ была создана рабочая группа, куда вошли руководители всех заинтересованных подразделений. Естественно, достигнуть этого было бы невозможно без поддержки высшего руководства банка, ведь за сертификатом стоит многомесячный труд целого коллектива. Это тяжелый рабочий процесс, результаты которого необходимо постоянно подтверждать и в будущем.

«АРКА» - Привлекали ли вы внешних помощников, консультантов на подготовительном этапе?

Нерсесян – Приведение бизнес-процессов в соответствие с требованиями стандартов может оказаться менее трудоёмкой задачей, если на помощь приходят признанные специалисты в этой области. Они могут и определить общую степень готовности  компании к прохождению сертификации  и помочь на каждом из этапов. Но сначала нужно определиться с тем, что вы хотите получить в итоге, иначе можно потратится на то, что потом окажется совершенно ненужным. С другой стороны, несмотря на то, что услуги внешних консультантов стоят, как правило, недешево, будет ошибочным думать, что решение справиться собственными силами позволит вашей организации сэкономить. Тем, кто никогда не работал с международными стандартами в области менеджмента, довольно трудно сходу построить систему управления информационной безопасности таким образом, чтобы она смогла бы удовлетворить международные сертифицирующие организации. Мы не стали исключением и прибегли к помощи консалтинговой компании. Был объявлен тендер, по результатам которого  нашим консультантом стала компания «Грант Торнтон», имеющая 15-летний опыт работы на местном рынке аудиторских и консалтинговых услуг. Совместно с «Грант Торнтон» банк провел работу по совершенствованию системы обеспечения информационной безопасности и разработал систему, которая полностью соответствовала бы требованиям международного стандарта ISO 27001. Пользуясь случаем, хочу поблагодарить специалистов компании «Грант Торнтон» за поддержку   и высокий профессионализм, благодаря которому в короткие сроки банк смог качественно  подготовиться к аудиту компании Certification International United Kingdom.

«АРКА» - И последний вопрос. Многие компании думают, что сертифицированная система управления информационной безопасностью будет обходиться им дороже, чем несертифицированная. Так ли это?

Нерсесян - Как известно, скупой платит дважды. Чаще расходы после сертификации, напротив, уменьшаются, благодаря тому, что организация концентрируется на существенных для неё рисках, а не пытается защититься от всего, что в принципе может угрожать в повседневной работе. Тот факт, что система менеджмента нашего банка в области ИТ соответствует  международным стандартам  качества, очень ценен для нас. Это дает нашим клиентам уверенность в высоком качестве оказываемых ИТ-услуг, а руководству компании – дополнительное подтверждение того, что в  банке выстроена эффективная система управления в этой области. Сертификация на соответствие стандарту ISO 27001 стала продолжением нашей постоянной работы по обеспечению информационной безопасности, теперь мы сможем предоставлять  дополнительные гарантии нашей надежности. Все это способствует росту доверия к  банку со стороны его клиентов и партнеров, ведь в современном мире информация является одним из самых ценных ресурсов, и быть готовым сохранить эту ценность для нас очень важно. –0-