Ш1Р ф элвис-плюс 9 страница

В некоторых странах соблюдение IS0/IEC 17799/BS 7799:2 в ряде отраслей экономики является обязательным (например, в Японии). Регулирующие органы опираются на процесс сертификации по стан­дарту как на достаточное условие удовлетворения потребностей от­расли в защите информации. Возможно, другие страны последуют это­му примеру благодаря тому, что стандарт широко используется как инструмент внедрения безопасности, он понятен, а механизмы его исполнения (сертификация) четко установлены.

3.1.1.9. Что делает Как мы обсуждали ранее, руководство

стандарт хорошим хочет знать, насколько оно «разумно»

действует в области информационной безопасности. Руководство также должно быть в состоянии обеспе­чить внедрение решений, которые бы отвечали потребностям бизне­са с точки зрения сложности, организации работ и затрат. Многие из законодательных актов, которые необходимо соблюдать, требуют подхода, основанного на оценке рисков, и не предписывают приме­няемые технологии.

И наоборот, хороший стандарт не должен предписывать ту или иную технологию или конкретные процедуры контроля, он должен быть достаточно гибким, чтобы позволить любой компании соблю­дать требования такого стандарта.

Он должен основываться на оценке риска и ДОЛЖЕН учитывать тот факт, что задача организации — это не обеспечивать безопас­ность, а вести коммерческую деятельность: в большинстве случаев зарабатывать деньги. Поэтому он должен обеспечивать гибкость ру­ководству в принятии решений, связанных с безопасностью, с уче­том требований бизнеса. Потому что не все, что рискованно, дол­жно быть запрещено — просто должно быть больше мер контроля, компенсирующих риски. Следовательно, хороший стандарт должен отражать потребности предприятий в развитии.

Хороший стандарт должен давать способ измерять уровень со­ответствия ему, а также обеспечивать аудиторов (внутренних и внешних) практичным инструментом оценки безопасности и в ре­зультате совершенствовать ее. С0В1Т и серия стандартов 1Б0/1ЕС 2700Х обладают этими чертами, что делает их популярными как в бизнес-сообществе, так и среди специалистов в области безопас­ности.

Законы продолжают разрабатываться, 3.1.1.10. 1йе мы находимся а регулирующие органы все еще не зна- на сегодняшний момент ют, как контролировать соблюдение тре- и чего мы можем ожидать

бований. Компании тоже не знают, как __________________ в будущем

определить, выполняют ли они требова­ния или нет, и поэтому они обращаются к стандартам как способу доказать, что они действуют надлежащим образом. Мы наблюдаем по­стоянный рост сертификации по КО/1 ЕС 27001 / ВБ 7799, и этот про­цесс будет продолжаться.

С0В1Т становится привычным термином в лексиконе бизнесме­нов, а необходимость подхода на основе оценки риска к вопро­сам безопасности четко осознается высшим руководством. Руко­водители служб информационной безопасности получают

финансирование, но они должны доказать, что разумно расходу­ют эти средства, и используют стандарты как способ убедить свое руководство в рациональности данного направления расходова­ния средств.

Есть и другие законодательные акты (в частности, касающиеся пре­ступлений по неосторожности), которые применяются в отношении компаний в части информационной безопасности. Например, если в компании недостаточны меры контроля в области информационной безопасности, вследствие чего ее компьютеры были скомпрометиро­ваны и использовались для атаки против третьей стороны, остается вопрос о возможности судебного иска третьей стороны против компа­нии, не уделившей должного внимания вопросам безопасности (не предусмотревшей разумных мер защиты). При этом соответствие стан­дартам является хорошим способом демонстрации принятия разумных мер защиты.

В конечном счете выполнение стандартов является доказательством того, что организация поступает в соответствии с предъявляемыми законодательством требованиями, хотя большинство законодательных актов не предписывают этого выполнения, а рекомендуют руковод­ствоваться здравым смыслом.

СПМГ: мы помогаем компаниям I достижении стоящих перед ними целей

Управление информационными рисками

Информационные технологии (ИТ) обеспечивают бурный рост и раз­витие бизнеса во всем мире. Они также являются одним из основ­ных источников рисков для бизнеса.

Члены правления и руководители высшего звена осознают не­обходимость ИТ, но могут испытывать сложности в их понимании и эффективном управлении. Зачастую руководители компаний и профессионалы в области информационных технологий как будто говорят на разных языках. Подобная пропасть во взглядах может привести к взаимному недопониманию, а также неадекватным ожи­даниям и результатам.

Отдел Управления информационными рисками в КПМГ помога­ет преодолеть эти препятствия во взаимопонимании, используя со­четание технических навыков с опытом в области ведения бизнеса.

Кон мы можем помочь

Мы оказываем следующие услуги: