През последните няколко години концепцията на информационната сигурност придоби друго измерение. Не толкова отдавна организациите пазеха само финансовата информация свързана с техните главни акционери и бе достатъчно архивите да са под ключ, а компютрите да не бъдат свързани в мрежа. Глобализацията, широкото навлизане на интернет и мобилните комуникации станаха част от ежедневието ни, като това мащабно разрастване породи различни по характер и величина рискове. Практически всички съвременни компании ползват интернет и мобилни средства за комуникация, като ръководителите искат достъп до вътрешно фирмени бази данни от всяка точка на света. Тези удобства имат и друга страна - все повече фирми стават жертви на "индустриален шпионаж" или злоумишлени действия, а органите на реда успяват да установят извършителите в много малка част от случаите. Макар и да имат желанието да опазят информацията фирмите много често просто не са в със-тояние да го сторят. Независимо от подписването на договор за опазване на информацията (non disclosure agreement) по-крупните клиенти се страхуват да предоставят своето ноу-хау и технологии на новите си контрагенти защото вече са се убедили, че защитата на информацията е въпрос на система и организация, а не на конкретни мероприятия за даден договор или поръчка Законодателството на различните страни поставя изисквания към опазването на чувствителна информация под управлението на съответните организации. В Европейския съюз има много сериозни изисквания към институциите, боравещи с чувствителна или лична информация - данни за доходите, платени данъци, придобити имоти и не на последно място данни за здравословното състояние на гражданите. Законът за администриране на личните данни в България е първа стъпка в тази насока. Всички регулативни изисквания обаче поставят изисквания без да укажат как точно следва да се борави с чувствителната информация, така че да се избегне нейното разкриване или подправяне. Първите опити за решение на проблема се поставят през 2000 г., когато международната стандартизационна организация (ISO) публикува сборник от добри практики за управление на информация и инфраструктура, постигаща баланс между трите основни компонента на информационната сигурност - конфиденциалност, достъпност и интегритет. През 2002 г. Великобритания приема стандарт BS 7799:2, който поставя първите системни изисквания към информационната сигурност и управлението на информацията, като потвърждава, че управлението на информационната сигурност е управленски, а не технически проблем. Разработен като постоянно самоусъвършенстващ се модел с обратна връзка и цикъл на Деминг, стандартът поставя изисквания към изграждането и експлоатацията на такива системи и периодична оценка на риска. По-просто казано, стандартът изисква да се разработят вътрешно-фирмени правила за управление на информацията, обхващащи допуск до сградата и офисите (пропусквателен режим), проучване на персонала, техническа защита на места с концентрирана информация, инсталация на криптиращ софтуер при необходимост, регулярно обучение във всички нива на организацията по отношение на личните пароли за достъп, изисквания за вътрешни проверки на достъпа до информационни ресурси (log-screening), правене на архиви и много други. Стандартът предоставя около 200 контролни механизма, чрез които фирмите могат да решат един или друг проблем при подсигуряване на информацията. Стандартът е изключително гъвкав и дава възможност на организациите сами да определят степента на риск и да подберат най-удачната защита. Системите за управление на информационната сигурност (СУИС или ISMS на англ. език) обикновено се интегрират със системите за фирмено управление на основата на стандарта ISO 9001 поради наличието на множество общи компоненти (вътрешни проверки, управление на документи и записи, фирмена политика и др.). Внедряването на система за управление на информационната сигурност е икономически изгодно, защото тези системи не елиминират рисковете, а ги свеждат до приемливо за ръководството ниво Ефикасно функциониращата система може да оси-гури сигурността на вътрешно-фирмената информация и да изпълнява приложимите законови изисквания. Тя минимизира възможностите за нерегламентиран допуск, случайно разкриване, унищожавне или подправяне на информацията. Базираните на ISO 17799/BS 7799 системи имат превантивен характер и чрез серия от проактивни действия водят към формиране на фирмена кул-тура за информационната сигурност, която е гаранция за устойчивост и просперитет. За да може да се докаже, че дадена организация успешно е внедрила система за информационна сигурност всяка фирма може да прибегне до услугите на международно признати сертификационни органи, като се сертифицира по стандарта BS 7799. Сертификатът по този стандарт безспорно доказва способността на фирмата да управлява ефикасно вътрешно-фирмената информация и гарантира на контрагентите, че доверената информация се управлява по контролиран и регламентиран начин. Единствената валидна акредитация по стандарта BS 7799 е тази на UKAS (Великобритния). В България има представени само три сертификационни органа, акредитирани да сертифицират по този стандарт - BVQI, LRQA и SGS.
Калин Панев е завършил Техническия Университет във Варна, специалност "Информационни технологии". Получава магистърска степен в същата специалност от университета "Кингстън", Великобритания. Специализира в BVQI Лондон и от 2002 г. е директор на "BVQI България". Международно регистриран водещ одитор в сферите на качеството и сигурността. Един от тридесетте корпоративни одитора на IBM.
Г-н Панев, какво кара фирмите да се сертифицират по стандарта за информационна сигурност BS 7799 ? - Сертификатът е обективно доказателство пред контрагенти или държавни институции за способността на фирмата успешно да борави с предоставена информация, като я опази от разкриване, подмяна или унищожение. От друга страна, организациите искат да получат независимо експертно мнение за тяхната система и инфраструктира. Трети използват одитите, за да подобряват дейността си и да минимизират рисковете. Четвърти искат просто "да си сверят часовника". За пети е въпрос на имидж, реклама и мощно маркетингово средство. Според Вас в кои сектори има нужда да се внедри такава система? - Безспорно това е сферата на услугите, където се борави с чужда информация на клиентите - банки, застрахователни дружества, адвокатски и счетоводни кантори, фирми за софтуерна и хардуерна поддръжка, болници и държавни ведомства, като данъчни служби и регистри. Рано или късно наличието на такава система ще бъде изискана чрез нормативен акт, както стана със системите за анализ на опасностите и критичните контролни точки (HACCP - Hazard Analysis and Critical Control Points) и Закона за храните. За финансовия сектор и поддръжката причините са ясни. Бихте ли разяснили основните причини за болниците? - Има лекарска тайна. Тя съществува и без сертификацията по стандарта за информационна сигурност. Диагнозите на пациентите обаче се пазят в медицински картони, книги и регистри. В повечето болници достъпът до тези данни не е регламентиран добре и те биха могли да се използват за злоумишлени цели. Информацията, че ключова фигура в една корпорация е болна от неизлечима болест, може да доведе до паника на борсата. Съществуват и редица законови изисквания за опазване на данните, касаещи здравословното състояние на пациентите. Може ли фирма да се сертифицира по стандарта за информационна сигурност без да има компютърна мрежа? - Може, разбира се. Стандартът е насочен към информационната сигурност въобще - хора, достъп до помещения, досиета, документи от различен характер и други. Например една адвокатска кантора, която не ползва компютри, а само пишещи машини, може напълно успешно да се сертифицира. Всяка фирма може да се сертифицира, стига наистина да го желае и да положи необходимите усилия за това при подготовката си и внедряването на системата. Колко фирми има сертифицирани в България по този стандарт? - Аз лично знам за две. И двете са сертифицирани от BVQI по силата на договор между нашите две централи - това са IBM и KPMG. Те имат сертификати на BVQI под акредитацията на UKAS (Великобритания).