В некоторых странах соблюдение IS0/IEC 17799/BS 7799:2 в ряде отраслей экономики является обязательным (например, в Японии). Регулирующие органы опираются на процесс сертификации по стандарту как на достаточное условие удовлетворения потребностей отрасли в защите информации. Возможно, другие страны последуют этому примеру благодаря тому, что стандарт широко используется как инструмент внедрения безопасности, он понятен, а механизмы его исполнения (сертификация) четко установлены.
3.1.1.9. Что делает Как мы обсуждали ранее, руководство
стандарт хорошим хочет знать, насколько оно «разумно»
действует в области информационной безопасности. Руководство также должно быть в состоянии обеспечить внедрение решений, которые бы отвечали потребностям бизнеса с точки зрения сложности, организации работ и затрат. Многие из законодательных актов, которые необходимо соблюдать, требуют подхода, основанного на оценке рисков, и не предписывают применяемые технологии.
И наоборот, хороший стандарт не должен предписывать ту или иную технологию или конкретные процедуры контроля, он должен быть достаточно гибким, чтобы позволить любой компании соблюдать требования такого стандарта.
|
|
Он должен основываться на оценке риска и ДОЛЖЕН учитывать тот факт, что задача организации — это не обеспечивать безопасность, а вести коммерческую деятельность: в большинстве случаев зарабатывать деньги. Поэтому он должен обеспечивать гибкость руководству в принятии решений, связанных с безопасностью, с учетом требований бизнеса. Потому что не все, что рискованно, должно быть запрещено — просто должно быть больше мер контроля, компенсирующих риски. Следовательно, хороший стандарт должен отражать потребности предприятий в развитии.
Хороший стандарт должен давать способ измерять уровень соответствия ему, а также обеспечивать аудиторов (внутренних и внешних) практичным инструментом оценки безопасности и в результате совершенствовать ее. С0В1Т и серия стандартов 1Б0/1ЕС 2700Х обладают этими чертами, что делает их популярными как в бизнес-сообществе, так и среди специалистов в области безопасности.
Законы продолжают разрабатываться, 3.1.1.10. 1йе мы находимся а регулирующие органы все еще не зна- на сегодняшний момент ют, как контролировать соблюдение тре- и чего мы можем ожидать
бований. Компании тоже не знают, как __________________ в будущем
определить, выполняют ли они требования или нет, и поэтому они обращаются к стандартам как способу доказать, что они действуют надлежащим образом. Мы наблюдаем постоянный рост сертификации по КО/1 ЕС 27001 / ВБ 7799, и этот процесс будет продолжаться.
|
|
С0В1Т становится привычным термином в лексиконе бизнесменов, а необходимость подхода на основе оценки риска к вопросам безопасности четко осознается высшим руководством. Руководители служб информационной безопасности получают
финансирование, но они должны доказать, что разумно расходуют эти средства, и используют стандарты как способ убедить свое руководство в рациональности данного направления расходования средств.
Есть и другие законодательные акты (в частности, касающиеся преступлений по неосторожности), которые применяются в отношении компаний в части информационной безопасности. Например, если в компании недостаточны меры контроля в области информационной безопасности, вследствие чего ее компьютеры были скомпрометированы и использовались для атаки против третьей стороны, остается вопрос о возможности судебного иска третьей стороны против компании, не уделившей должного внимания вопросам безопасности (не предусмотревшей разумных мер защиты). При этом соответствие стандартам является хорошим способом демонстрации принятия разумных мер защиты.
В конечном счете выполнение стандартов является доказательством того, что организация поступает в соответствии с предъявляемыми законодательством требованиями, хотя большинство законодательных актов не предписывают этого выполнения, а рекомендуют руководствоваться здравым смыслом.
СПМГ: мы помогаем компаниям I достижении стоящих перед ними целей
Управление информационными рисками
Информационные технологии (ИТ) обеспечивают бурный рост и развитие бизнеса во всем мире. Они также являются одним из основных источников рисков для бизнеса.
Члены правления и руководители высшего звена осознают необходимость ИТ, но могут испытывать сложности в их понимании и эффективном управлении. Зачастую руководители компаний и профессионалы в области информационных технологий как будто говорят на разных языках. Подобная пропасть во взглядах может привести к взаимному недопониманию, а также неадекватным ожиданиям и результатам.
Отдел Управления информационными рисками в КПМГ помогает преодолеть эти препятствия во взаимопонимании, используя сочетание технических навыков с опытом в области ведения бизнеса.
Кон мы можем помочь
Мы оказываем следующие услуги: