Рубрикатор |
Все новости | Новости отрасли |
Правоохранители закручивают гайки
22 октября 2010 |
Радикальные изменения в сфере соблюдения нормативных требований знаменуют собой конец ведения бизнеса по старинке. Для того чтобы справиться с усиливающимся давлением в области хранения данных и информационной безопасности, которое компании испытывают со стороны правоохранительных органов, необходимо изменить взгляд на ведение бизнеса и совместными усилиями выработать новые правила.
Компания RSA, подразделение безопасности EMC, выпустила отчет об исследовании Совета по инновациям в сфере корпоративной безопасности.
В отчете, озаглавленном «Новая эра нормативно-правового соответствия: более высокая планка для организаций во всем мире», описывается то огромное влияние, которое новая волна законодательных и правовых обязательств оказывает на бизнес, привлекая повышенное внимание директоров компаний и вынуждая искать более эффективные стратегии. Члены Совета указывают на сочетание четырех важных новых тенденций, заставляющих организации гораздо серьезнее относиться к соблюдению правовых норм:
- усиление контроля,
- глобальное распространение законов об уведомлении о случаях утечки данных,
- ужесточение норм
- усиление требований со стороны бизнес-партнеров.
«Регулирующие органы отказываются от мягких мер и переходят к более интервенционистскому регулированию, — говорит Стюарт Рум (Stewart Room), сотрудник Partner, Privacy and Information Law Group компании Field Fisher Waterhouse LLP, специалист по защите данных, который принимал участие в подготовке отчета. — Это очевидная тенденция во всех сферах общественной жизни и экономики, так что неудивительно, что регулирование ужесточается и в сфере защиты данных. Как я вижу, закон здесь движется только в одну сторону — к более частому вмешательству регулирующих органов и увеличению числа конфликтов, споров и судебных тяжб».
Законодатели наращивают требования к защите информации, что обусловлено постоянным потоком случаев массовой утечки данных, вызывающих возмущение в обществе. Контроль за соблюдением существующих правил ужесточается, и это находит выражение в расширенных полномочиях соответствующих инстанций, повышенных штрафах и решительных мерах правоохранительных органов. Организации, работающие в Европе, стоят перед необходимостью серьезного пересмотра Директивы ЕС о защите данных, в которую должны быть включены требования не только к усилению контроля, но и к обязательному уведомлению о случаях утечки данных.
«Правил вводится все больше, и они становятся все более директивными, — говорит Арт Ковиелло (Art Coviello), исполнительный вице-президент EMC и президент RSA, подразделения безопасности EMC. — Регулирующие органы дают понять, что вы обязаны гарантировать защиту своих данных в любое время, даже когда они обрабатываются поставщиком услуг. Впредь будет невозможно скрыть упущения в сфере информационной безопасности, так как законодатели требуют прозрачности, и раскрытие случаев утечки данных становится глобальным принципом».
Новая эра нормативно-правового соответствия ставит более сложные задачи перед подразделениями информационной безопасности. В отчете даны рекомендации, которые помогут организациям привести свои программы в соответствие с повышенными требованиями нового времени. Вот некоторые из этих рекомендаций и стратегий:
- Внедрение методов нормативно-правового соответствия на базе оценки рисков: создание эффективной программы предприятия, которая предоставляет каждому участнику цепочки — от сотрудников, ответственных за отдельные бизнес-процессы, до совета директоров — всю многогранную информацию, необходимую для принятия решений с учетом рисков.
- Создание на предприятии инфраструктуры контроля: формирование согласованной структуры подразделений контроля в масштабах предприятия в соответствии с нормативными требованиями и потребностями производства.
- Установка/настройка порога уровня мер по контролю: определение "правильного" уровня мер по контролю безопасности и определение преобладающего отраслевого стандарта, соответствующего законодательным требованиям к "разумным и необходимым" мерам безопасности.
- Оптимизация и автоматизация процессов нормативно-правового соответствия: формирование стратегии корпоративного управления, управления рисками и соответствия (Enterprise Governance, Risk and Compliance, eGRC), которая консолидирует всю необходимую информацию по всей организации для управления рисками и соответствием и обеспечения прозрачности деятельности контролирующих подразделений.
- Усиление контроля за рисками третьих лиц: отказ от "шаблонных" соглашений по вопросам безопасности и переход к всеобъемлющей стратегии контроля за третьими лицами, направленной на диверсификацию, должную осмотрительность, строгие контрактные требования, смягчение последствий и управление.
- Объединение нормативно-правового соответствия с бизнес-задачами: "операционализация" нормативно-правового соответствия и разработка организационной структуры, необходимой для полного внедрения соответствия в бизнес и его согласования с наиболее приоритетными целями организации.
- Обучение законодателей и конструктивное влияние на регулирующие органы, с тем чтобы избежать чрезмерно жестких правил, которые могут повредить бизнесу.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.