RSA готовит крупные предприятия к новой эре нормативно-правового соответствия

В отчете, озаглавленном "Новая эра нормативно-правового соответствия: более высокая  планка для организаций во всем мире", описывается то огромное влияние, которое новая волна законодательных и правовых обязательств оказывает на бизнес, привлекая повышенное внимание директоров компаний и вынуждая искать более эффективные  стратегии. Члены Совета указывают на сочетание четырех важных новых тенденций, заставляющих организации гораздо серьезнее относиться к соблюдению правовых норм: 1) усиление контроля, 2) глобальное распространение законов об уведомлении о случаях утечки данных, 3) ужесточение норм и 4) усиление требований со стороны бизнес-партнеров.

"Регулирующие органы отказываются от мягких мер и переходят к более интервенционистскому регулированию, — говорит Стюарт Рум (Stewart Room), сотрудник Partner, Privacy and Information Law Group компании Field Fisher Waterhouse LLP, специалист по защите данных, который принимал участие в подготовке отчета. — Это очевидная тенденция во всех сферах общественной жизни и экономики, так что неудивительно, что регулирование ужесточается и в сфере защиты данных. Как я вижу, закон здесь движется только в одну сторону — к более частому вмешательству регулирующих органов и  увеличению числа конфликтов, споров и судебных  тяжб".

Изменения требуют перехода программ нормативно-правового соответствия на более высокий уровень

Отчет "Новая эра нормативно-правового соответствия: более высокая планка для организаций во всем мире" рисует картину, в которой высоко мотивированные законодатели наращивают требования к защите информации, что обусловлено постоянным потоком случаев массовой утечки данных, вызывающих возмущение в обществе. Контроль за соблюдением существующих правил ужесточается, и это находит выражение  в  расширенных полномочиях, повышенных штрафах и решительных мерах правоохранительных органов. Организации, работающие в Европе, стоят перед необходимостью серьезного пересмотра Директивы ЕС о защите данных, в которую должны быть включены требования не только к усилению контроля, но и к обязательному уведомлению о случаях утечки данных.

"Правил вводится все больше, и они становятся все более директивными, — говорит Арт Ковиелло (Art Coviello), исполнительный вице-президент EMC и президент RSA, подразделения безопасности EMC. — Регулирующие органы дают понять, что вы обязаны гарантировать защиту своих данных в любое время, даже когда они обрабатываются поставщиком услуг. Впредь будет невозможно скрыть упущения в сфере информационной безопасности, так как законодатели требуют прозрачности, и раскрытие случаев утечки данных становится глобальным принципом".

Новая эра нормативно-правового соответствия ставит более сложные задачи перед подразделениями информационной безопасности. В своем отчете Совет дает рекомендации, которые помогут организациям привести свои программы в соответствие с повышенными требованиями нового времени. Вот некоторые из этих рекомендаций и стратегий.

1) Внедрение методов нормативно-правового соответствия на базе оценки рисков: создание эффективной программы предприятия, которая предоставляет каждому участнику цепочки — от сотрудников, ответственных за отдельные бизнес-процессы, до совета директоров — всю многогранную информацию, необходимую для принятия решений с учетом рисков.

2) Создание на предприятии инфраструктуры контроля: формирование согласованной структуры подразделений контроля в масштабах предприятия в соответствии с нормативными требованиями и потребностями производства.

3) Установка/настройка порога уровня мер по контролю: определение "правильного" уровня мер по контролю безопасности и определение преобладающего отраслевого стандарта, соответствующего законодательным требованиям  к "разумным и необходимым" мерам безопасности.

4) Оптимизация и автоматизация процессов нормативно-правового соответствия: формирование стратегии корпоративного управления, управления рисками и соответствия (Enterprise Governance, Risk and Compliance, eGRC), которая консолидирует всю необходимую информацию по всей организации для управления рисками и соответствием и обеспечения прозрачности деятельности контролирующих  подразделений.

5) Усиление контроля за рисками третьих лиц: отказ от "шаблонных" соглашений по вопросам безопасности и переход к всеобъемлющей стратегии контроля за третьими лицами, направленной на диверсификацию, должную осмотрительность, строгие контрактные требования, смягчение последствий и управление.

6) Объединение нормативно-правового соответствия с бизнес-задачами: "операционализация" нормативно-правового соответствия и разработка организационной структуры, необходимой для полного внедрения соответствия в бизнес и его согласования с наиболее приоритетными целями организации.

7) Обучение регулирующих органов и организаций по стандартизации и влияние на них: обучение законодателей и конструктивное влияние на регулирующие  органы, с тем чтобы избежать чрезмерно жестких правил, которые могут повредить бизнесу.

Сведения о Совете по инновациям в сфере корпоративной безопасности

Совет по инновациям в сфере корпоративной безопасности – это группа очень успешных руководителей подразделений безопасности компаний из перечня Global 1000, которые готовы поделиться своими идеями и опытом, чтобы помочь организациям во всем мире укрепить свою безопасность.

В состав Совета входят: Аниш Бхимани (Anish Bhimani), директор по информационным рискам, JP Morgan Chase; Билл Бони (Bill Boni), вице-президент по информационной безопасности, T-Mobile USA; Роланд Клутье (Roland Cloutier), вице-президент, директор по безопасности, Automatic Data Processing, Inc.; Дэйв Каллинейн (Dave Cullinane), директор по информационной безопасности и вице-президент, eBay; д-р Мартин Деккер (Martijn Dekker), старший вице-президент и директор по информационной безопасности, ABN Amro; проф. Пол Дори (Paul Dorey), учредитель и директор, CSO Confidential, и бывший начальник службы безопасности информации, BP; Рене Гутманн (Renee Guttmann), вице-президент по информационной безопасности и конфиденциальности, Time Warner; Дэвид Кент (David Kent), вице-президент по глобальным рискам и бизнес-ресурсам, Genzyme; Петри Куивала (Petri Kuivala), директор по информационной безопасности, Nokia; Дейв Мартин (Dave Martin), начальник службы безопасности, корпорация EMC; Феликс Мохан (Felix Mohan), старший вице-президент, CISO и главный архитектор Bharti Airtel Ltd; д-р Клаудиа Натансон (Claudia Natanson), директор по информационной безопасности, Diageo; Висхал Салви (Vishal Salvi), директор по информационной безопасности и старший вице-президент, HDFC Bank Limited; Крейг Шумард (Craig Shumard), директор по информационной безопасности, Cigna, Corporation и Дениз Вуд (Denise Wood), директор по информационной безопасности и корпоративный вице-президент, FedEx Corporation. Вклад в подготовку отчета Совета внес также Стюарт Рум, Partner, Privacy and Information Group, Field Fisher Waterhouse LLP.

Опубликованный отчет стал седьмым в цикле, и в течение ближайших месяцев RSA планирует опубликовать новые отчеты Совета.