19 октября 2010 г.
Компания RSA, подразделение безопасности EMC, выпустила отчет об исследовании Совета по инновациям в сфере корпоративной безопасности, важный источник сведений и рекомендаций для руководителей служб безопасности.Исследование глубоко проникает в сложную сеть новых правил защиты информации, требований к отчетности и обязанностей третьих лиц, которые существенно усложняют жизнь организациям во всем мире. Вооружая руководителей рекомендациями, как действовать с учетом этих изменений, Совет предлагает стратегии, которые помогут предприятиям согласовать программы нормативно-правового соответствия с требованиями новой эпохи.
В отчете, озаглавленном «Новая эра нормативно-правового соответствия: более высокая планка для организаций во всем мире», описывается то огромное влияние, которое новая волна законодательных и правовых обязательств оказывает на бизнес, привлекая повышенное внимание директоров компаний и вынуждая искать более эффективные стратегии.
Члены Совета указывают на сочетание четырех важных новых тенденций, заставляющих организации гораздо серьезнее относиться к соблюдению правовых норм: 1) усиление контроля, 2) глобальное распространение законов об уведомлении о случаях утечки данных, 3) ужесточение норм и 4) усиление требований со стороны бизнес-партнеров.
«Регулирующие органы отказываются от мягких мер и переходят к более интервенционистскому регулированию, — говорит Стюарт Рум (Stewart Room), сотрудник Partner, Privacy and Information Law Group компании Field Fisher Waterhouse LLP, специалист по защите данных, который принимал участие в подготовке отчета. — Это очевидная тенденция во всех сферах общественной жизни и экономики, так что неудивительно, что регулирование ужесточается и в сфере защиты данных. Как я вижу, закон здесь движется только в одну сторону — к более частому вмешательству регулирующих органов и увеличению числа конфликтов, споров и судебных тяжб».
Изменения требуют перехода программ нормативно-правового соответствия на более высокий уровень. Отчет «Новая эра нормативно-правового соответствия: более высокая планка для организаций во всем мире» рисует картину, в которой высоко мотивированные законодатели наращивают требования к защите информации, что обусловлено постоянным потоком случаев массовой утечки данных, вызывающих возмущение в обществе. Контроль над соблюдением существующих правил ужесточается, и это находит выражение в расширенных полномочиях, повышенных штрафах и решительных мерах правоохранительных органов. Организации, работающие в Европе, стоят перед необходимостью серьезного пересмотра Директивы ЕС о защите данных, в которую должны быть включены требования не только к усилению контроля, но и к обязательному уведомлению о случаях утечки данных.
«Правил вводится все больше, и они становятся все более директивными, — говорит Арт Ковиелло (Art Coviello), исполнительный вице-президент EMC и президент RSA, подразделения безопасности EMC. — Регулирующие органы дают понять, что вы обязаны гарантировать защиту своих данных в любое время, даже когда они обрабатываются поставщиком услуг. Впредь будет невозможно скрыть упущения в сфере информационной безопасности, так как законодатели требуют прозрачности, и раскрытие случаев утечки данных становится глобальным принципом».
Новая эра нормативно-правового соответствия ставит более сложные задачи перед подразделениями информационной безопасности. В своем отчете Совет дает рекомендации, которые помогут организациям привести свои программы в соответствие с повышенными требованиями нового времени.
Вот некоторые из этих рекомендаций и стратегий.
1) Внедрение методов нормативно-правового соответствия на базе оценки рисков: создание эффективной программы предприятия, которая предоставляет каждому участнику цепочки — от сотрудников, ответственных за отдельные бизнес-процессы, до совета директоров — всю многогранную информацию, необходимую для принятия решений с учетом рисков.
2) Создание на предприятии инфраструктуры контроля: формирование согласованной структуры подразделений контроля в масштабах предприятия в соответствии с нормативными требованиями и потребностями производства.
3) Установка/настройка порога уровня мер по контролю: определение "правильного" уровня мер по контролю безопасности и определение преобладающего отраслевого стандарта, соответствующего законодательным требованиям к "разумным и необходимым" мерам безопасности.
4) Оптимизация и автоматизация процессов нормативно-правового соответствия: формирование стратегии корпоративного управления, управления рисками и соответствия (Enterprise Governance, Risk and Compliance, eGRC), которая консолидирует всю необходимую информацию по всей организации для управления рисками и соответствием и обеспечения прозрачности деятельности контролирующих подразделений.
5) Усиление контроля за рисками третьих лиц: отказ от «шаблонных» соглашений по вопросам безопасности и переход к всеобъемлющей стратегии контроля за третьими лицами, направленной на диверсификацию, должную осмотрительность, строгие контрактные требования, смягчение последствий и управление.
6) Объединение нормативно-правового соответствия с бизнес-задачами: «операционализация» нормативно-правового соответствия и разработка организационной структуры, необходимой для полного внедрения соответствия в бизнес и его согласования с наиболее приоритетными целями организации.
7) Обучение регулирующих органов и организаций по стандартизации и влияние на них: обучение законодателей и конструктивное влияние на регулирующие органы, с тем чтобы избежать чрезмерно жестких правил, которые могут повредить бизнесу.
Источник: Пресс-служба компании EMC
