Rambler's Top100
Все новости Новости отрасли

Правоохранители закручивают гайки

22 октября 2010

Радикальные изменения в сфере соблюдения нормативных требований знаменуют собой конец ведения бизнеса по старинке. Для того чтобы справиться с усиливающимся давлением в области хранения данных и информационной безопасности, которое компании испытывают со стороны правоохранительных органов, необходимо изменить взгляд на ведение бизнеса и совместными усилиями выработать новые правила.

Компания RSA, подразделение безопасности EMC, выпустила отчет об исследовании Совета по инновациям в сфере корпоративной безопасности.

В отчете, озаглавленном «Новая эра нормативно-правового соответствия: более высокая  планка для организаций во всем мире», описывается то огромное влияние, которое новая волна законодательных и правовых обязательств оказывает на бизнес, привлекая повышенное внимание директоров компаний и вынуждая искать более эффективные  стратегии. Члены Совета указывают на сочетание четырех важных новых тенденций, заставляющих организации гораздо серьезнее относиться к соблюдению правовых норм:

  • усиление контроля,
  • глобальное распространение законов об уведомлении о случаях утечки данных,
  • ужесточение норм
  • усиление требований со стороны бизнес-партнеров.

«Регулирующие органы отказываются от мягких мер и переходят к более интервенционистскому регулированию, — говорит Стюарт Рум (Stewart Room), сотрудник Partner, Privacy and Information Law Group компании Field Fisher Waterhouse LLP, специалист по защите данных, который принимал участие в подготовке отчета. — Это очевидная тенденция во всех сферах общественной жизни и экономики, так что неудивительно, что регулирование ужесточается и в сфере защиты данных. Как я вижу, закон здесь движется только в одну сторону — к более частому вмешательству регулирующих органов и  увеличению числа конфликтов, споров и судебных  тяжб».

Законодатели наращивают требования к защите информации, что обусловлено постоянным потоком случаев массовой утечки данных, вызывающих возмущение в обществе. Контроль за соблюдением существующих правил ужесточается, и это находит выражение  в  расширенных полномочиях соответствующих инстанций, повышенных штрафах и решительных мерах правоохранительных органов. Организации, работающие в Европе, стоят перед необходимостью серьезного пересмотра Директивы ЕС о защите данных, в которую должны быть включены требования не только к усилению контроля, но и к обязательному уведомлению о случаях утечки данных.

«Правил вводится все больше, и они становятся все более директивными, — говорит Арт Ковиелло (Art Coviello), исполнительный вице-президент EMC и президент RSA, подразделения безопасности EMC. — Регулирующие органы дают понять, что вы обязаны гарантировать защиту своих данных в любое время, даже когда они обрабатываются поставщиком услуг. Впредь будет невозможно скрыть упущения в сфере информационной безопасности, так как законодатели требуют прозрачности, и раскрытие случаев утечки данных становится глобальным принципом».

Новая эра нормативно-правового соответствия ставит более сложные задачи перед подразделениями информационной безопасности. В отчете даны рекомендации, которые помогут организациям привести свои программы в соответствие с повышенными требованиями нового времени. Вот некоторые из этих рекомендаций и стратегий:

  • Внедрение методов нормативно-правового соответствия на базе оценки рисков: создание эффективной программы предприятия, которая предоставляет каждому участнику цепочки — от сотрудников, ответственных за отдельные бизнес-процессы, до совета директоров — всю многогранную информацию, необходимую для принятия решений с учетом рисков.
  • Создание на предприятии инфраструктуры контроля: формирование согласованной структуры подразделений контроля в масштабах предприятия в соответствии с нормативными требованиями и потребностями производства.
  • Установка/настройка порога уровня мер по контролю: определение "правильного" уровня мер по контролю безопасности и определение преобладающего отраслевого стандарта, соответствующего законодательным требованиям  к "разумным и необходимым" мерам безопасности.
  • Оптимизация и автоматизация процессов нормативно-правового соответствия: формирование стратегии корпоративного управления, управления рисками и соответствия (Enterprise Governance, Risk and Compliance, eGRC), которая консолидирует всю необходимую информацию по всей организации для управления рисками и соответствием и обеспечения прозрачности деятельности контролирующих  подразделений.
  • Усиление контроля за рисками третьих лиц: отказ от "шаблонных" соглашений по вопросам безопасности и переход к всеобъемлющей стратегии контроля за третьими лицами, направленной на диверсификацию, должную осмотрительность, строгие контрактные требования, смягчение последствий и управление.
  • Объединение нормативно-правового соответствия с бизнес-задачами: "операционализация" нормативно-правового соответствия и разработка организационной структуры, необходимой для полного внедрения соответствия в бизнес и его согласования с наиболее приоритетными целями организации.
  • Обучение законодателей и конструктивное влияние на регулирующие  органы, с тем чтобы избежать чрезмерно жестких правил, которые могут повредить бизнесу.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.