|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Нормативное регулирование вопросов в сфере информационных технологийФундаментом для развития законодательства в сфере ИТ является Конституция РФ, содержащая более 30 нормативных правил, устанавливающих основные права и обязанности участников информационных правоотношений. Так, закрепляются конституционные права на свободу информации (ст. 29), на неприкосновенность частной жизни, включая тайну переписки и сообщений (ст. 23); обязанность органов власти обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы (ст. 24); гарантии свободы творчества и охраны интеллектуальной собственности (ст. 44).
Правовые механизмы и процедуры, обеспечивающие реализацию конституционных норм в сфере информационных отношений, должны быть детализированы в нормах законодательства, включая нормативные правовые акты органов государственной власти. Действующие федеральные законы "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене" Международные нормативные акты
Одним из наиболее важных интернациональных законов является соглашение Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы»), которое предъявляет целый ряд требований к национальным банковским системам и самим кредитно-финансовым организациям. Именно этот закон в качестве «больной мозоли» упоминали практически все респонденты исследования Economist Intelligence Unit, представлявшие банковский сектор.
Соглашение Basel II вступит в силу в большинстве стран, входящих в состав ОЭСР (Организации экономического сотрудничества и развития), к концу 2006 года. Россия же намерена присоединиться к этому закону в 2009 году.
Данный нормативный акт требует от финансовых институтов рассчитать кредитные, рыночные и операционные риски с целью обеспечения резервного капитала, достаточного для покрытия таких рисков. Хотя в соглашении напрямую не говорится о мерах обеспечения IT-безопасности и вообще об IT-инфраструктуре банков, операционный риск определяется документом как «прямые или косвенные убытки вследствие неадекватных или неудовлетворительных внутренних процессов, действий персонала и систем, либо внешних событий». Таким образом, угрозы IT-безопасности входят в состав операционных рисков, а внутренние атаки (кража конфиденциальных данных, халатность сотрудников) четко указаны в законе. Кроме того, в соглашении Basel II особое внимание уделяется рискам, связанным с потерей репутации, что является прямым следствием успешной утечки информации.
У российского банковского сектора есть три-четыре года, чтобы успеть подготовиться к вступлению в силу международного закона, а также перейти на комплексное управление рисками, учитывающее не только стандартные для индустрии кредитные и рыночные риски, но и операционные, в которых предусмотрены угрозы IT-безопасности.
Европейские нормативные акты
В Европейском союзе существуют законы, ограничивающие бизнес при построении корпоративной IT-инфраструктуры. Основным нормативным актом является Директива о защите данных (Data Protection Directive), принятая в 1995 году и определяющая основные принципы защиты персональной идентифицируемой информации (Personal Identifiable Information). Эта директива расширяет нормы по защите частной информации, которые действуют в ОЭСР с 1980 года и распространяются на государства-члены Евросоюза. К числу наиболее значимых положений относится «Принцип обеспечения безопасности № 11», требующий, чтобы «персональные данные были защищены разумными средствами безопасности от таких угроз, как несанкционированный доступ, потеря, уничтожение, использование, изменение и разглашение данных». Директива о защите данных также различает несколько типов персональной информации, например медицинские или финансовые сведения. Для них, ввиду особой важности, вводятся дополнительные меры безопасности.
Еще одним нормативным актом, требующим инвестиций со стороны бизнеса, является Директива о сохранении данных (Data Retention Directive), утвержденная в конце 2005 года. В соответствии с Директивой все компании (в основном в секторе телекоммуникаций) должны архивировать и хранить в течение одного года все данные, передаваемые по электронным каналам связи. Под действие закона попадают переговоры по мобильным и проводным телефонам, обмен документами по факсу, а также любой обмен информацией в Интернете (прежде всего, электронные письма).
Таким образом, если российская компания планирует выход на европейский рынок, ей помимо всего прочего следует оценить объем дополнительных инвестиций, необходимых для обеспечения совместимости с указанными директивами.
Американские нормативные акты
Самым известным корпоративным законом в США является Акт Сарбаниса - Оксли (Sarbanes - Oxley Act), принятый в 2002 году в связи с крупными скандалами, самым громким из которых явился крах энергетической компании Enron. Данный нормативный акт определяет требования к финансовому управлению компаний, представленных на фондовой бирже США. Основная задача Акта - обеспечить точность и целостность финансовой отчетности, а также предотвратить бухгалтерские ошибки и правонарушения, которые могли бы нанести вред акционерам компании и обществу в целом. Особая роль в достижении этой цели отводится регулярному внешнему и независимому аудиту.
Несмотря на такой, казалось бы, чисто финансовый вектор, закон содержит секцию 404, не без оснований именуемую «ночным кошмаром» американских директоров. Она описывает ответственность руководства компании за установление «внутреннего контроля над ведением финансовой отчетности», что на практике приводит к целому ряду процессов и процедур IT-безопасности, которые должны быть реализованы в IT-инфраструктуре компании.
В рамках своей ответственности исполнительные и финансовые директора фирмы обязаны «обеспечить разумные гарантии предотвращения или своевременного обнаружения случаев несанкционированного приобретения, использования или перемещения активов зарегистрированного лица, которые могут существенно повлиять на финансовую отчетность». Широкая категория, определяемая термином «активы», включает информационные активы: исходные коды, профессиональные тайны, сведения о слияниях и поглощениях, медицинские карты, а также иную важную информацию, несанкционированное разглашение которой может оказать негативное влияние на стоимость акций или финансовую деятельность компании.
Акт Сарбаниса - Оксли имеет репутацию самого жесткого нормативного регулирования в сфере корпоративного менеджмента. Так, секция 302 обязывает высшее руководство включать свои отчеты в протоколы ревизии (аудита) для того, чтобы удостоверить правильность информации, содержащейся в данных протоколах. Руководители, намеренно представляющие фальшивые отчеты, подвергаются серьезному наказанию - штрафам в размере до $25 млн и лишению свободы на срок до 20 лет. Помимо Акта Сарбаниса - Оксли многим американским публичным компаниям, а также всем иностранным фирмам, занимающимся бизнесом в США, приходится иметь дело и с другими нормативными документами. Среди них стоит отметить закон о преемственности страхования и отчетности в здравоохранении (HIPAA - Health Insurance Portability and Accountability Act), принятый в 1996 году и регулирующий деятельность учреждений здравоохранения. Закон четко определяет административные, физические и технические меры безопасности для целого ряда объектов, в том числе нормы сохранения конфиденциальности электронной медицинской информации. Эти нормы включают несколько требований, имеющих непосредственное отношение к IT-безопасности: контроль доступа к цифровым медицинским записям; оповещение о попытках вторжения; отслеживание поступления и перемещения информации внутри и за пределами организации; обеспечение безопасности медицинских сведений при передаче их по каналам связи.
Еще одним известным законом является Акт Грэмма - Лича - Блайли (GLBA - Gramm - Leach - Bliley Act), охватывающий работу всех финансовых компаний. Он призван защитить информацию о клиентах, используемую банками и страховыми фирмами, от утечки, несанкционированного доступа или злоупотребления. Положение закона, касающееся безопасности (GLBA Safeguard Rule), требует от всех финансовых учреждений «подготовить, утвердить в письменной форме и осуществлять исчерпывающую программу обеспечения безопасности информации, включающую административные, технические и физические меры» защиты «закрытой информации» о клиенте (например, номера счетов и сведения о финансовых операциях, номера карточек социального страхования, номера кредитных карт). Закон устанавливает различные требования к защите закрытой информации, в том числе организацию контроля доступа к информационным системам, где хранятся закрытые сведения; шифрование электронных записей; мониторинг систем с целью обнаружения попыток вторжения и атак.
Итак, любым компаниям, представленным на рынке США или только желающим на него выйти, приходится обеспечить соответствие своей IT-инфраструктуры ряду нормативных положений.
Российские нормативные акты
Россия в отличие от США и многих государств Евросоюза регулирует различные аспекты IT-безопасности не так жестко. Однако и в нашей стране есть немало нормативных актов, ограничивающих свободу компаний при построении своей IT-инфраструктуры.
Прежде всего, следует отметить уже упомянутое соглашение Basel II. Международный характер этого закона заставляет банки всего мира реализовать одни и те же положения по управлению рисками, в том числе и рисками IT-безопасности. При этом российским финансовым фирмам уже сейчас приходится иметь дело еще с одним нормативным документом - стандартом «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2006), вторая версия которого принята в конце января 2006 года Центробанком.
Стандарт Банка России объединяет основные положения стандартов по управлению IT-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки IT-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Следует особо отметить использованные в стандарте ЦБ технологии оценки угроз и уязвимостей, а также подход к управлению рисками OCTAVE. Кроме того, стандарт заимствует некоторые положения британской методологии оценки информационных рисков CRAMM.
Сравнивая данный нормативный акт с Актом Сарбаниса - Оксли и законом Грэмма - Лича - Блайли (GLBA), можно найти много общего: банки обязаны хранить архивы корпоративной корреспонденции; обеспечивать всесторонний контроль над обращением чувствительной информации; записывать в автоматическом режиме все осуществляемые с классифицированными данными операции; реализовывать надежные механизмы по защите от инсайдеров. Тем не менее стандарт Центробанка является намного более жестким, чем оба упомянутых американских закона. Правда, в отличие от них российский нормативный акт носит лишь рекомендательный характер. Другими словами, отечественные банки не обязаны реализовывать требования Банка России и проходить соответствующую сертификацию.
Несмотря на это, есть все основания полагать, что характер стандарта легко может измениться в самое ближайшее время. В частности, сам документ содержит прямое указание на то, что это может случиться, да и стратегия Центробанка неминуемо приведет к обязательной реализации положений стандарта на практике. Кстати, передовые российские банки уже обеспечили свою совместимость со многими требованиями стандарта ЦБ, а некоторые успешно прошли процедуру сертификации. Инвестиции в проекты такого рода позволяет повысить привлекательность финансовой компании в глазах инвесторов и клиентов, действительно минимизировать риски IT-безопасности и построить эффективно управляемую IT-инфраструктуру.
В то время как кредитно-финансовый сектор занимается регулированием нормативных вопросов, телекоммуникационным и многим другим компаниям придется серьезно переосмыслить свой подход к IT-безопасности уже в самом ближайшем будущем. Причиной тому является законопроект «О персональных данных», который в 2006 году имеет все шансы превратиться в федеральный закон.
В рамках этого нормативного документа закрепляются унифицированные требования к сбору и обработке приватных записей населения. Так, компания-оператор вправе получать от субъекта персональных данных только ту информацию, которая необходима для достижения цели ее обработки. При этом фирма должна обеспечить конфиденциальность полученной информации, а сами сведения становятся общедоступными лишь в том случае, если субъект персональных данных дал соответствующее согласие.
Законопроект оставляет за органами государственной власти (например, правоохранительными) получить персональные данные о лицах, совершивших преступление или административное правонарушение. Однако передача личных данных третьим лицам допускается только с согласия субъекта этих данных. Лицо может возражать против обработки своих персональных данных, если оператор использует их для политической агитации или рекламных целях.
Более того, закон обязывает компанию зарегистрировать информационную систему персональных данных в соответствующем органе. Также устанавливается обязанность фирмы гарантировать сохранность данных. Таким образом, предприятие может столкнуться с серьезными проблемами в случае, если не сможет обеспечить безопасность чувствительных сведений своих клиентов. Среди рычагов, которыми регулирующий орган сможет воздействовать на бизнес, предусмотрены штрафы различных размеров и отзыв лицензии.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.) |