RSA готовит крупные предприятия к новой эре нормативно-правового соответствия


Собственный материал Издания

Hits: 21290

Радикальные изменения в сфере соблюдения нормативных требований знаменуют собой конец ведения бизнеса по старинке; руководители служб безопасности предлагают стратегии эпохи усиливающегося контроля.

Компания RSA, подразделение безопасности EMC, выпустила отчет об исследовании Совета по инновациям в сфере корпоративной безопасности, важный источник сведений и рекомендаций для руководителей служб безопасности. Исследование глубоко проникает в сложную сеть новых правил защиты информации, требований к отчетности и обязанностей третьих лиц, которые существенно усложняют жизнь организациям во всем мире. Вооружая руководителей рекомендациями, как действовать с учетом этих изменений, Совет предлагает стратегии, которые помогут предприятиям согласовать программы нормативно-правового соответствия с требованиями новой эпохи.

Мультимедийная версия пресс-релиза находится по адресу: http://www.rsa.com/go/press/RSATheSecurityDivisionofEMCNewsRelease_101110.html.

В отчете, озаглавленном "Новая эра нормативно-правового соответствия: более высокая планка для организаций во всем мире", описывается то огромное влияние, которое новая волна законодательных и правовых обязательств оказывает на бизнес, привлекая повышенное внимание директоров компаний и вынуждая искать более эффективные стратегии. Члены Совета указывают на сочетание четырех важных новых тенденций, заставляющих организации гораздо серьезнее относиться к соблюдению правовых норм: 1) усиление контроля, 2) глобальное распространение законов об уведомлении о случаях утечки данных, 3) ужесточение норм и 4) усиление требований со стороны бизнес-партнеров.

"Регулирующие органы отказываются от мягких мер и переходят к более интервенционистскому регулированию, — говорит Стюарт Рум (Stewart Room), сотрудник Partner, Privacy and Information Law Group компании Field Fisher Waterhouse LLP, специалист по защите данных, который принимал участие в подготовке отчета. — Это очевидная тенденция во всех сферах общественной жизни и экономики, так что неудивительно, что регулирование ужесточается и в сфере защиты данных. Как я вижу, закон здесь движется только в одну сторону — к более частому вмешательству регулирующих органов и увеличению числа конфликтов, споров и судебных тяжб".


Изменения требуют перехода программ нормативно-правового соответствия на более высокий уровень

Отчет "Новая эра нормативно-правового соответствия: более высокая планка для организаций во всем мире" рисует картину, в которой высоко мотивированные законодатели наращивают требования к защите информации, что обусловлено постоянным потоком случаев массовой утечки данных, вызывающих возмущение в обществе. Контроль за соблюдением существующих правил ужесточается, и это находит выражение в расширенных полномочиях, повышенных штрафах и решительных мерах правоохранительных органов. Организации, работающие в Европе, стоят перед необходимостью серьезного пересмотра Директивы ЕС о защите данных, в которую должны быть включены требования не только к усилению контроля, но и к обязательному уведомлению о случаях утечки данных.

"Правил вводится все больше, и они становятся все более директивными, — говорит Арт Ковиелло (Art Coviello), исполнительный вице-президент EMC и президент RSA, подразделения безопасности EMC. — Регулирующие органы дают понять, что вы обязаны гарантировать защиту своих данных в любое время, даже когда они обрабатываются поставщиком услуг. Впредь будет невозможно скрыть упущения в сфере информационной безопасности, так как законодатели требуют прозрачности, и раскрытие случаев утечки данных становится глобальным принципом".

Новая эра нормативно-правового соответствия ставит более сложные задачи перед подразделениями информационной безопасности. В своем отчете Совет дает рекомендации, которые помогут организациям привести свои программы в соответствие с повышенными требованиями нового времени. Вот некоторые из этих рекомендаций и стратегий.

1) Внедрение методов нормативно-правового соответствия на базе оценки рисков: создание эффективной программы предприятия, которая предоставляет каждому участнику цепочки — от сотрудников, ответственных за отдельные бизнес-процессы, до совета директоров — всю многогранную информацию, необходимую для принятия решений с учетом рисков.

2) Создание на предприятии инфраструктуры контроля: формирование согласованной структуры подразделений контроля в масштабах предприятия в соответствии с нормативными требованиями и потребностями производства.

3) Установка/настройка порога уровня мер по контролю: определение "правильного" уровня мер по контролю безопасности и определение преобладающего отраслевого стандарта, соответствующего законодательным требованиям к "разумным и необходимым" мерам безопасности.

4) Оптимизация и автоматизация процессов нормативно-правового соответствия: формирование стратегии корпоративного управления, управления рисками и соответствия (Enterprise Governance, Risk and Compliance, eGRC), которая консолидирует всю необходимую информацию по всей организации для управления рисками и соответствием и обеспечения прозрачности деятельности контролирующих подразделений.

5) Усиление контроля за рисками третьих лиц: отказ от "шаблонных" соглашений по вопросам безопасности и переход к всеобъемлющей стратегии контроля за третьими лицами, направленной на диверсификацию, должную осмотрительность, строгие контрактные требования, смягчение последствий и управление.

6) Объединение нормативно-правового соответствия с бизнес-задачами: "операционализация" нормативно-правового соответствия и разработка организационной структуры, необходимой для полного внедрения соответствия в бизнес и его согласования с наиболее приоритетными целями организации.

7) Обучение регулирующих органов и организаций по стандартизации и влияние на них: обучение законодателей и конструктивное влияние на регулирующие органы, с тем чтобы избежать чрезмерно жестких правил, которые могут повредить бизнесу.

Сведения о Совете по инновациям в сфере корпоративной безопасности

Совет по инновациям в сфере корпоративной безопасности – это группа очень успешных руководителей подразделений безопасности компаний из перечня Global 1000, которые готовы поделиться своими идеями и опытом, чтобы помочь организациям во всем мире укрепить свою безопасность.

В состав Совета входят: Аниш Бхимани (Anish Bhimani), директор по информационным рискам, JP Morgan Chase; Билл Бони (Bill Boni), вице-президент по информационной безопасности, T-Mobile USA; Роланд Клутье (Roland Cloutier), вице-президент, директор по безопасности, Automatic Data Processing, Inc.; Дэйв Каллинейн (Dave Cullinane), директор по информационной безопасности и вице-президент, eBay; д-р Мартин Деккер (Martijn Dekker), старший вице-президент и директор по информационной безопасности, ABN Amro; проф. Пол Дори (Paul Dorey), учредитель и директор, CSO Confidential, и бывший начальник службы безопасности информации, BP; Рене Гутманн (Renee Guttmann), вице-президент по информационной безопасности и конфиденциальности, Time Warner; Дэвид Кент (David Kent), вице-президент по глобальным рискам и бизнес-ресурсам, Genzyme; Петри Куивала (Petri Kuivala), директор по информационной безопасности, Nokia; Дейв Мартин (Dave Martin), начальник службы безопасности, корпорация EMC; Феликс Мохан (Felix Mohan), старший вице-президент, CISO и главный архитектор Bharti Airtel Ltd; д-р Клаудиа Натансон (Claudia Natanson), директор по информационной безопасности, Diageo; Висхал Салви (Vishal Salvi), директор по информационной безопасности и старший вице-президент, HDFC Bank Limited; Крейг Шумард (Craig Shumard), директор по информационной безопасности, Cigna, Corporation и Дениз Вуд (Denise Wood), директор по информационной безопасности и корпоративный вице-президент, FedEx Corporation. Вклад в подготовку отчета Совета внес также Стюарт Рум, Partner, Privacy and Information Group, Field Fisher Waterhouse LLP.

Опубликованный отчет стал седьмым в цикле, и в течение ближайших месяцев RSA планирует опубликовать новые отчеты Совета. За дополнительной информацией об отчетах Совета по инновациям в области безопасности бизнеса обращайтесь на Web-сайт RSA Thought Leadership http://www.RSA.com/securityforinnovation/.


Комментарии (0):

Добавить комментарий

 
Ваше имя:
Ваш комментарий:
Решите задачку (ответ напишите цифрами):
Три + Семь =

 
 
 
Наверх