Информационная безопасность как сервис

Сompliance

15.06.2015

Динамичное развитие сферы информационных технологий неизбежно ведет к усилению государственного регулирования отрасли, в том числе с точки зрения обеспечения безопасности информации. Многочисленные федеральные законы и постановления правительства РФ, распорядительные акты уполномоченных органов устанавливают определенные наборы требований как для государственных, так и для частных компаний. Корректное выполнение этих требований является направлением профессиональной деятельности, которое в последние годы в нашей стране стали активно называть словом Compliance.

Термин Сompliance (англ. compliance – согласие, соответствие) получил широкое распространение с приходом на российский рынок западных финансовых компаний, которые в своей структуре имеют подразделение, отвечающее за Сompliance, или, иными словами, осуществляющее Сompliance-контроль. В общем смысле, под Сompliance понимается комплекс мероприятий, направленных на обеспечение соответствия деятельности компании каким-либо нормам, в частности, определенным законодательством страны нахождения компании. Это направление зародилось в финансовой сфере (например, законодательство о противодействии легализации доходов, полученных преступным путем, и финансированию терроризма), но теперь находит свое отражение и в других сферах, обеспечивающих нормальное функционирование компании, в том числе в информационной безопасности.

Сompliance в информационной безопасности обеспечивает решение следующих задач:
  • выполнение законодательных требований организационного и технического характера, в том числе требований различных регуляторов в отрасли (ФСТЭК России, ФСБ России, Роскомнадзор, Банк России). Наиболее актуальными направлениями Сompliance являются организация обработки и защиты персональных данных, защита информации при осуществлении переводов денежных средств, соответствие Стандарту Банка России по информационной безопасности СТО БР ИББС, соответствие международным стандартам (PCI DSS, ISO/IEC 27001:2005), введение режима коммерческой тайны, соблюдение законодательства об электронной подписи;

  • формализация процессов информационной безопасности компании на основании методик и с учетом мер, описанных в нормативно-правовых актах, а также документах регуляторов. В ходе выполнения задач, поставленных перед Сompliance, компания может столкнуться с рядом проблем, для решения которых может потребоваться привлечение квалифицированных специалистов, разбирающихся не только в технических вопросах защиты информации, но и в ее правовых аспектах. К таким проблемам могут относиться:

  • толкование норм законодательства. Ни для кого не секрет, что многие законы несовершенны: некоторые положения тех или иных нормативно-правовых актов зачастую вызывают споры и двоякое понимание требуемых от компании действий. Официальная позиция регулирующих органов не всегда понятна, и также стоит принимать во внимание, что регулятор не имеет полномочий по разъяснению норм законов. До момента, когда в нормативно-правовой акт вносятся уточняющие правки, проходит немало времени, а компания при этом обязана выполнять указанные в нем требования, невыполнение требований влечет за собой соответствующую ответственность.

  • постоянный рост числа нормативных документов, их динамическое изменение, и, как следствие, увеличение требований по информационной безопасности и даже их частичное наложение. Для одной компании требования могут устанавливаться как федеральным законодательством, так и несколькими регуляторами одновременно, для одних и тех же или разных типов защищаемых информационных активов, в рамках параллельных бизнес-процессов. Многие требования дублируются или имеют схожий смысл, соответственно их раздельная реализация может привести к нерациональному использованию ресурсов компании.

  • отсутствие в компании четкого понимания общей концепции информационной безопасности, ее последовательного развития. Формальное исполнение норм законов, без взаимосвязи с текущими процессами информационной безопасности, не принесет какой-либо реальной пользы для деятельности компании, а, возможно, будет только мешать.

Что делать?

Для достижения достаточного уровня соответствия требованиям законодательства по информационной безопасности компании в первую очередь необходимо провести анализ и систематизацию бизнес-процессов и связанных с ними процессов обеспечения информационной безопасности. Указанные процессы следует соотнести с набором требований, которые определены для компании в соответствии с ее сферой деятельности и защищаемыми информационными активами. По итогам проведенного анализа формируется конечный состав мероприятий организационного и технического характера, планируются порядок и сроки их реализации, назначаются ответственные лица. Мероприятия всегда подразумевают разработку (доработку) большого объема внутренних организационно-распорядительных документов, описывающих процессы обеспечения информационной безопасности. Помимо этого, компании может потребоваться внедрение дополнительных технических средств защиты информации, проведение аттестации автоматизированных систем, обучение сотрудников вопросам информационной безопасности.

Чем же грозит для компании проявление недостаточного внимания к вопросам Сompliance? Невыполнение требований законодательства может привести к реализации Сompliance-риска (регуляторного риска), то есть риска применения правовых санкций или санкций регулирующих органов вплоть до приостановления деятельности компании, возникновения существенных финансовых убытков, потери репутации. Увеличение числа нормативных документов и содержащихся в них требований неизбежно влечет за собой ужесточение мер наказания за их нарушения. Например, существует законопроект, предполагающий увеличение штрафов за нарушение требований в отношении обработки и защиты персональных данных до 1 млн рублей. Кроме того, контролирующие органы уделяют все большее внимание плановым и особенно внеплановым проверкам компаний, более основательно подходят к самому порядку проведения проверок. В этих условиях снижение Сompliance-рисков и выполнение работ по повышению уровня соответствия информационной безопасности требованиям законодательства является одной из важнейших задач в деятельности любой компании. При правильной организации Сompliance-контроля с привлечением компетентных специалистов компания может не только избежать прямых финансовых потерь от санкций, но и улучшить эффективность деятельности через оптимизацию процессов, а также повысить инвестиционную привлекательность своего бизнеса.

Отправить заявку
Вы не представились
некорректный адрес
поле не заполнено