10 февраля телегруппа 1+1 media получила Международный сертификат информационной безопасности ISO 27001. Такой сертификат во всем мире используют компании из сферы услуг – банки, финансовые компании, а также разработчики программного обеспечения или инновационных продуктов. Среди медиакомпаний сертификат ISO на всем постсоветском пространстве пока не получал никто. «Телекритика» побывала на церемонии вручения и расспросила, что именно это дает телегруппе.
По факту получением сертификата 1+1 media засвидетельствовала соответствие международным стандартам ISO своей системы конфиденциальности данных пользователей ее сайтов. Стандарт ISO 27001 устанавливает некие требования к управлению информационной безопасностью, а также предусматривает методологию сохранения и доступности данных внутри компании. Для пользователей это значит, что данные карточек, пароли, возраст или пол надежно сохранены от кибератак кодами шифрования и тому подобным.
Как уже сообщалось, эти сертификаты покрывают веб-сайты и интернет-площадки, входящие в 1+1 media, а именно: сайты новостных порталов TSN.ua, «УНИАН», «Главред», сайт VOD-платформы 1+1 video и сервисы защиты авторских прав на контент SUDUM.
В получении сертификата группа ориентировалась на международную практику защиты данных, а также потенциальных клиентов, разъясняет Анна Ткаченко, руководитель 1+1 Digital и Инновации. «С каждым годом медиа все больше работают с данными. Мы решили сделать все для того, чтобы нам доверяли и наши рекламодатели, и наши пользователи. Современный мир digital привносит новые вызовы. Во-первых, ─ GDPR (General Data Protection Regulation ─ европейский генеральный регламент по защите персональных данных, который радикально меняет правила обработки и использования персональных данных, вступил в силу 25 мая 2018-го – ред.) и регулирование законодательства. Во-вторых, – развитие платных подписок, которые мы все больше и больше развиваем, собирая ряд данных от пользователей. В-третьих, 2 года тому назад мы не получили достаточно крупный контракт в digital, потому что не имели такого сертификата. Это был международный бренд, их центральный офис выпустил директиву, где было прописано, что проекты в digital, которые требуют сбора данных, не могут быть реализованы, если у подрядчика нет такого сертификата. Сегодняшний результат возник с опыта ошибки, фейла. Речь шла о специфическом спецпроекте, который требовал, чтобы пользователи оставляли ряд данных о себе. Мы не заполучили клиента и задали себе вопрос «почему?». После чего начали разбираться в вопросе, прогнозировать будущее, рассматривать перспективу и думать над тем, что может быть, если мы ничего не будем делать в этом плане. Наша команда всегда смотрит на тренды – если ты сегодня потерял один контракт, то через 10 лет – таких будет гораздо больше. Мы решили, что лучше мы будем первыми в получении сертификата. Зато нам будет спокойно за данные наших пользователей и клиентов».
Сертифицировал холдинг «Плюсов» ─ украинский офис BUREAU VERITAS. В Украине BUREAU VERITAS работает с 1993 года, сертификаты ISO предоставляет с 1997 года. Если главными клиентами бюро изначально были компании, продукция и услуги которых экспортируется на рынки Европы, то сегодня их круг значительно расширился с систем различных сфер качества, экологии и охраны труда до систем информационной безопасности.
«Стандартом ISO 27001 заинтересованы, в первую очередь, банки, которые владеют большими массивами информации, и IТ-компании. Также в числе наших клиентов были компании, которые занимаются страховым бизнесом. С момента возникновения GDPR в Европе, рынок несколько изменился. Если 1+1 media стала первой сертифицированной медийной компанией, то совсем недавно мы сертифицировали первую фармацевтическую компанию. Их целью было защитить рецептуру лекарственных средств», ─ сообщил Анатолий Звон, генеральный директор «Бюро Веритас Сертификейшен Украина».
Процедура прохождения сертификации предусматривала независимый двухэтапный аудит группой, состоящей из иностранных и украинских аудиторов компании BUREAU VERITAS, оценивалась системность процессов контроля над рисками информационной безопасности, продолжает Анатолий Звон: «Сертификат ISO 27001 очень актуален в связи с современными требованиями, когда нужно обезопасить себя от различных вирусов, несанкционированных доступов; обеспечить сохранение определенных данных. Здесь очень важно иметь систему для того, чтобы предоставить безопасность клиентам. Процесс аудита занял достаточно много времени как по меркам нашей компании. Очень детально было исследовано, как в компании выполняются требования по информационной безопасности в соответствии с ISO 27001. Систему информационной безопасности, которую разработала группа профессионалов 1+1 media, мы подтвердили соответствующими сертификатами, которые имеет аккредитацию UKAS (Великобритания). 1+1 media стал первым медиахолдингом, который получил сертификаты ISO 27001», ─ отметил гендиректор BUREAU VERITAS.
Курировал проект со стороны 1+1 media Дмитрий Жук, руководитель управления digital-разработок группы. На проект ISO холдинг потратил два года. «Нашими сотрудниками информационной безопасности был заложен очень крепкий фундамент в процессе разработок. Проект также состоялся благодаря ребятам из IТ, которые пошли нам на встречу и помогли понять эти процессы под совершенно другим углом. Мы получили колоссальный опыт. Все заняло около 2 лет, поскольку некоторые вещи мы внедряли «с нуля», некоторые уже были реализованы. Потребовалось изменить майндсеты людей, чтобы их фокус был в первую очередь связан с инфобезом в digital. Мы прокачали скилы во всей компании, все систематизировали и упорядочили».
Команда 1+1 media, которая отвечала за сертификацию: Дмитрий Жук, руководитель управления digital-разработок; Анна Ткаченко, директор 1+1 Digital и инновации; Сергей Дикий, руководитель отдела по информационной та коммерчекой безопасности
Анатолий Звон уверяет, что несоответствий по результатам аудита к телегруппе не было: «Очень редко в нашей практике бывает, чтобы аудиты заканчивались без несоответствий. Ни одного несоответствия в случае с 1+1 media не было, были только области для улучшения – мнение аудитора относительно того, что можно было бы сделать еще лучше».
Наличие сертификата – это сигнал для того, что требования к стандартам деятельности компании выполняются. «Сертификат подтверждает, что система менеджмента информационной безопасности у компании есть и она соответствует международному стандарту 27001. Получение такого сертификата – это подтверждение зрелости компании в сфере информационной безопасности. Есть списки компаний, которые прекратили свою деятельность из-за того, что не уделяли внимание информационной безопасности и ее управлению. Сертификат подтверждает компетенцию в сфере информационной безопасности», ─ добавляет Анатолий Звон.
«Что такое информационная безопасность? По аналогии это то же самое, что и мытье рук перед едой – то есть соблюдение гигиены. Только здесь речь идет об информационной гигиене в деятельности компании, ─ разъясняет Анатолий Звон. – Чтобы то, что компания делает для клиентов, было чистым и прозрачным с точки зрения информационной безопасности. Так, если клиент заказывает некие услуги по размещению рекламы или сопровождению интернет-сайта, информация должна быть конфиденциальной, чтобы не было возможности умышленного или неумышленного распространения для других сторон. Все помнят вирус Petya.A. Информационной гигиене уделялось мало внимания, из-за чего были поражено много компьютеров, стирались данные или можно было провести мошеннические действия по вымоганию денег. ISO строит систему, которая может предотвратить это».
Получение такого сертификата – это подтверждение зрелости компании в сфере информационной безопасности.
Внедрение проекта требовало неких внутренних финансовых затрат 1+1 media для обеспечения информационной безопасности. «Стоимость прохождения процедуры сертификации – это коммерческая тайна. Для 1+1 media она измеряется не только в стоимости контракта сертификации. По затратам на ресурсы, а также количеству сил и энергии, которые были потрачены на внедрение системы – это в несколько раз больше, чем стоимость сертификационного аудита. Сертификат нужен, в том числе для внутренней пользы, чтобы систематизировать деятельность в информбезопасности, подвести процессы под общий знаменатель. Если в компании эти процессы построены по принципу броуновского движения, в будущем может быть много ошибок, неприятных инцидентов и тому подобного», ─ резюмирует Анатолий Звон.
С сертификатом ISO 1+1 media хочет привлекать больше клиентов на сайты группы: «Теперь мы можем делать сложные проекты – проекты, где можно оставлять много данных, работать с ними и хорошо выглядеть в глазах заказчика. Рекламодатели хотят быть уверенными, что их данные защищены, начиная даже от простого брифа. Также и пользователи хотят, чтобы их данные были защищены, потому что обычно виновата площадка, которая оперирует этими данными. Поэтому мы теперь с сертификатом и готовы делать такие проекты в дальнейшем. Надеемся, что рынок это оценит. В работе с коммерцией важна роль сертификата, но нам также важно, чтобы наши площадки действительно обеспечивали безопасность взаимодействующих сторон – и для пользователей, и для рекламодателей. Мы понимаем, что данные защищены, и мы можем быть спокойными», ─ поводит итог Анна Ткаченко.
Фото: 1+1 media
Подписывайтесь на «Телекритику» в Telegram и Facebook!
