В современных организациях проблема обеспечения совместимости с нормативными актами уже превратилась в угрозу эффективному функционированию компании. Причиной тому постоянное изменение, ужесточение и расширение государственного и отраслевого регулирования, в результате чего бизнес порой не поспевает за предъявляемыми к нему требованиями. Таким образом, возникает понятие «нормативные риски», которые согласно опросу организации Economist Intelligence Unit являются самой неприятной проблемой менеджеров по управлению рисками во всем мире (диаграмма 1).

Диаграмма 1. Барометр категорий риска

Природа нормативных рисков довольно сложна. Она, прежде всего, проявляется в штрафах, напрямую назначаемых регулирующим органом за невыполнение определенных требований. Однако чаще всего дело до этого не доходит. Компаниям все же приходится отвлекать ценные ресурсы с наиболее важных направлений, чтобы реализовать проекты по обеспечению совместимости с нормативными актами. Здесь в первую очередь страдают бюджеты научных исследований, инновационных и инвестиционных проектов. К тому же в законопослушных странах бизнес может стать менее конкурентоспособным из-за слишком тяжелого нормативного бремени. Другими словами, у высших исполнительных лиц есть серьезные основания беспокоиться о том, чтобы компания действительно повысила свою конкурентоспособность, реализуя положения нормативных актов, а не оказалась в менее выгодных условиях по сравнению с конкурентами, которые по географическим или иным причинам могут проигнорировать требования регулирующих органов (диаграмма 2).

Диаграмма 2. Отрицательные последствия нормативных рисков

Несмотря на чрезвычайную актуальность проблем обеспечения совместимости с государственными и отраслевыми актами во всем мире, Россия считается страной с довольно мягким нормативным бременем. Тем не менее государство и регулирующие органы оказывают все более сильное влияние на различные аспекты IT-безопасности и IT-инфраструктуры организаций. Во-первых, в Россию приходят международные требования таких соглашений, как Basel II. Во-вторых, федеральные институты принимают собственные нормативные акты. Например, стандарт по IT-безопасности от Центробанка или законопроект «О персональных данных» в Госдуме. В-третьих, многие российские компании сами выходят на международные рынки (к примеру, путем IPO - первичного размещения ценных бумаг на фондовом рынке) и сталкиваются с Актом Сарбаниса - Оксли и Директивами Евросоюза. Рассмотрим эти нормативные акты подробнее.

Одним из наиболее важных интернациональных законов является соглашение Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы»), которое предъявляет целый ряд требований к национальным банковским системам и самим кредитно-финансовым организациям. Именно этот закон в качестве «больной мозоли» упоминали практически все респонденты исследования Economist Intelligence Unit, представлявшие банковский сектор.

Соглашение Basel II вступит в силу в большинстве стран, входящих в состав ОЭСР (Организации экономического сотрудничества и развития), к концу 2006 года. Россия же намерена присоединиться к этому закону в 2009 году.

Данный нормативный акт требует от финансовых институтов рассчитать кредитные, рыночные и операционные риски с целью обеспечения резервного капитала, достаточного для покрытия таких рисков. Хотя в соглашении напрямую не говорится о мерах обеспечения IT-безопасности и вообще об IT-инфраструктуре банков, операционный риск определяется документом как «прямые или косвенные убытки вследствие неадекватных или неудовлетворительных внутренних процессов, действий персонала и систем, либо внешних событий». Таким образом, угрозы IT-безопасности входят в состав операционных рисков, а внутренние атаки (кража конфиденциальных данных, халатность сотрудников) четко указаны в законе. Кроме того, в соглашении Basel II особое внимание уделяется рискам, связанным с потерей репутации, что является прямым следствием успешной утечки информации.

У российского банковского сектора есть три-четыре года, чтобы успеть подготовиться к вступлению в силу международного закона, а также перейти на комплексное управление рисками, учитывающее не только стандартные для индустрии кредитные и рыночные риски, но и операционные, в которых предусмотрены угрозы IT-безопасности.

В Европейском союзе существуют законы, ограничивающие бизнес при построении корпоративной IT-инфраструктуры. Основным нормативным актом является Директива о защите данных (Data Protection Directive), принятая в 1995 году и определяющая основные принципы защиты персональной идентифицируемой информации (Personal Identifiable Information). Эта директива расширяет нормы по защите частной информации, которые действуют в ОЭСР с 1980 года и распространяются на государства-члены Евросоюза. К числу наиболее значимых положений относится «Принцип обеспечения безопасности № 11», требующий, чтобы «персональные данные были защищены разумными средствами безопасности от таких угроз, как несанкционированный доступ, потеря, уничтожение, использование, изменение и разглашение данных». Директива о защите данных также различает несколько типов персональной информации, например медицинские или финансовые сведения. Для них, ввиду особой важности, вводятся дополнительные меры безопасности.

Еще одним нормативным актом, требующим инвестиций со стороны бизнеса, является Директива о сохранении данных (Data Retention Directive), утвержденная в конце 2005 года. В соответствии с Директивой все компании (в основном в секторе телекоммуникаций) должны архивировать и хранить в течение одного года все данные, передаваемые по электронным каналам связи. Под действие закона попадают переговоры по мобильным и проводным телефонам, обмен документами по факсу, а также любой обмен информацией в Интернете (прежде всего, электронные письма).

Таким образом, если российская компания планирует выход на европейский рынок, ей помимо всего прочего следует оценить объем дополнительных инвестиций, необходимых для обеспечения совместимости с указанными директивами.

Самым известным корпоративным законом в США является Акт Сарбаниса - Оксли (Sarbanes - Oxley Act), принятый в 2002 году в связи с крупными скандалами, самым громким из которых явился крах энергетической компании Enron. Данный нормативный акт определяет требования к финансовому управлению компаний, представленных на фондовой бирже США. Основная задача Акта - обеспечить точность и целостность финансовой отчетности, а также предотвратить бухгалтерские ошибки и правонарушения, которые могли бы нанести вред акционерам компании и обществу в целом. Особая роль в достижении этой цели отводится регулярному внешнему и независимому аудиту.

Несмотря на такой, казалось бы, чисто финансовый вектор, закон содержит секцию 404, не без оснований именуемую «ночным кошмаром» американских директоров. Она описывает ответственность руководства компании за установление «внутреннего контроля над ведением финансовой отчетности», что на практике приводит к целому ряду процессов и процедур IT-безопасности, которые должны быть реализованы в IT-инфраструктуре компании.

В рамках своей ответственности исполнительные и финансовые директора фирмы обязаны «обеспечить разумные гарантии предотвращения или своевременного обнаружения случаев несанкционированного приобретения, использования или перемещения активов зарегистрированного лица, которые могут существенно повлиять на финансовую отчетность». Широкая категория, определяемая термином «активы», включает информационные активы: исходные коды, профессиональные тайны, сведения о слияниях и поглощениях, медицинские карты, а также иную важную информацию, несанкционированное разглашение которой может оказать негативное влияние на стоимость акций или финансовую деятельность компании.

Акт Сарбаниса - Оксли имеет репутацию самого жесткого нормативного регулирования в сфере корпоративного менеджмента. Так, секция 302 обязывает высшее руководство включать свои отчеты в протоколы ревизии (аудита) для того, чтобы удостоверить правильность информации, содержащейся в данных протоколах. Руководители, намеренно представляющие фальшивые отчеты, подвергаются серьезному наказанию - штрафам в размере до $25 млн и лишению свободы на срок до 20 лет.

В таблице 1 приведены основные положения Акта Сарбаниса - Оксли, регламентирующие те или иные аспекты IT-безопасности и вызывающие наибольшие трудности при реализации требований закона на практике.

Помимо Акта Сарбаниса - Оксли многим американским публичным компаниям, а также всем иностранным фирмам, занимающимся бизнесом в США, приходится иметь дело и с другими нормативными документами. Среди них стоит отметить закон о преемственности страхования и отчетности в здравоохранении (HIPAA - Health Insurance Portability and Accountability Act), принятый в 1996 году и регулирующий деятельность учреждений здравоохранения. Закон четко определяет административные, физические и технические меры безопасности для целого ряда объектов, в том числе нормы сохранения конфиденциальности электронной медицинской информации. Эти нормы включают несколько требований, имеющих непосредственное отношение к IT-безопасности: контроль доступа к цифровым медицинским записям; оповещение о попытках вторжения; отслеживание поступления и перемещения информации внутри и за пределами организации; обеспечение безопасности медицинских сведений при передаче их по каналам связи.

Еще одним известным законом является Акт Грэмма - Лича - Блайли (GLBA - Gramm - Leach - Bliley Act), охватывающий работу всех финансовых компаний. Он призван защитить информацию о клиентах, используемую банками и страховыми фирмами, от утечки, несанкционированного доступа или злоупотребления. Положение закона, касающееся безопасности (GLBA Safeguard Rule), требует от всех финансовых учреждений «подготовить, утвердить в письменной форме и осуществлять исчерпывающую программу обеспечения безопасности информации, включающую административные, технические и физические меры» защиты «закрытой информации» о клиенте (например, номера счетов и сведения о финансовых операциях, номера карточек социального страхования, номера кредитных карт). Закон устанавливает различные требования к защите закрытой информации, в том числе организацию контроля доступа к информационным системам, где хранятся закрытые сведения; шифрование электронных записей; мониторинг систем с целью обнаружения попыток вторжения и атак.

Итак, любым компаниям, представленным на рынке США или только желающим на него выйти, приходится обеспечить соответствие своей IT-инфраструктуры ряду нормативных положений.

Россия в отличие от США и многих государств Евросоюза регулирует различные аспекты IT-безопасности не так жестко. Однако и в нашей стране есть немало нормативных актов, ограничивающих свободу компаний при построении своей IT-инфраструктуры.

Прежде всего, следует отметить уже упомянутое соглашение Basel II. Международный характер этого закона заставляет банки всего мира реализовать одни и те же положения по управлению рисками, в том числе и рисками IT-безопасности. При этом российским финансовым фирмам уже сейчас приходится иметь дело еще с одним нормативным документом - стандартом «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2006), вторая версия которого принята в конце января 2006 года Центробанком.

Стандарт Банка России объединяет основные положения стандартов по управлению IT-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки IT-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Следует особо отметить использованные в стандарте ЦБ технологии оценки угроз и уязвимостей, а также подход к управлению рисками OCTAVE. Кроме того, стандарт заимствует некоторые положения британской методологии оценки информационных рисков CRAMM.

Сравнивая данный нормативный акт с Актом Сарбаниса - Оксли и законом Грэмма - Лича - Блайли (GLBA), можно найти много общего: банки обязаны хранить архивы корпоративной корреспонденции; обеспечивать всесторонний контроль над обращением чувствительной информации; записывать в автоматическом режиме все осуществляемые с классифицированными данными операции; реализовывать надежные механизмы по защите от инсайдеров. Тем не менее стандарт Центробанка является намного более жестким, чем оба упомянутых американских закона. Правда, в отличие от них российский нормативный акт носит лишь рекомендательный характер. Другими словами, отечественные банки не обязаны реализовывать требования Банка России и проходить соответствующую сертификацию.

Несмотря на это, есть все основания полагать, что характер стандарта легко может измениться в самое ближайшее время. В частности, сам документ содержит прямое указание на то, что это может случиться, да и стратегия Центробанка неминуемо приведет к обязательной реализации положений стандарта на практике. Кстати, передовые российские банки уже обеспечили свою совместимость со многими требованиями стандарта ЦБ, а некоторые успешно прошли процедуру сертификации. Инвестиции в проекты такого рода позволяет повысить привлекательность финансовой компании в глазах инвесторов и клиентов, действительно минимизировать риски IT-безопасности и построить эффективно управляемую IT-инфраструктуру.

В то время как кредитно-финансовый сектор занимается регулированием нормативных вопросов, телекоммуникационным и многим другим компаниям придется серьезно переосмыслить свой подход к IT-безопасности уже в самом ближайшем будущем. Причиной тому является законопроект «О персональных данных», который в 2006 году имеет все шансы превратиться в федеральный закон.

В рамках этого нормативного документа закрепляются унифицированные требования к сбору и обработке приватных записей населения. Так, компания-оператор вправе получать от субъекта персональных данных только ту информацию, которая необходима для достижения цели ее обработки. При этом фирма должна обеспечить конфиденциальность полученной информации, а сами сведения становятся общедоступными лишь в том случае, если субъект персональных данных дал соответствующее согласие.

Законопроект оставляет за органами государственной власти (например, правоохранительными) получить персональные данные о лицах, совершивших преступление или административное правонарушение. Однако передача личных данных третьим лицам допускается только с согласия субъекта этих данных. Лицо может возражать против обработки своих персональных данных, если оператор использует их для политической агитации или рекламных целях.

Более того, закон обязывает компанию зарегистрировать информационную систему персональных данных в соответствующем органе. Также устанавливается обязанность фирмы гарантировать сохранность данных. Таким образом, предприятие может столкнуться с серьезными проблемами в случае, если не сможет обеспечить безопасность чувствительных сведений своих клиентов. Среди рычагов, которыми регулирующий орган сможет воздействовать на бизнес, предусмотрены штрафы различных размеров и отзыв лицензии.

Российский бизнес постепенно становится все более регулируемым. Пока компании сталкиваются лишь с несколькими отечественными нормативными актами, а некоторые фирмы, представленные на международной арене, вынуждены удовлетворять еще и национальным законам и директивам тех стран, в которых они работают.

Для того чтобы эффективно управлять нормативными рисками и достичь совместимости с регулирующими требованиями без снижения конкурентоспособности организации, необходимо придерживаться определенной стратегии.

Прежде всего, по мнению экспертов компании Gartner, предприятиям надо внедрять те информационные решения, которые позволяют удовлетворить требованиям сразу нескольких законов и покрыть сразу несколько подразделений компании. При этом фирме не следует делать ставку на «продукты-затычки», позволяющие удовлетворить какому-то узкому набору требований единственного нормативного акта. В противном случае Gartner прогнозирует, что уже к 2007 году расходы на обеспечение совместимости для компании, сделавшей ставку на такие «проекты-затычки», могут возрасти в 10 раз.

Иногда жесткие сроки действительно подталкивают руководителей к реализации подобных проектов, однако в этом случае, очевидно, предприятие теряет все долгосрочные бонусы, которые можно было бы получить при внедрении стратегически разумных решений. Другими словами, компаниям, которые в самом начале процесса достижения совместимости с нормативными актами не думают о будущем, через три-четыре года придется расплачиваться за свое легкомыслие.

Следующим ключевым элементом эффективной стратегии управления нормативными рисками, по мнению Economist Intelligence Unit, является заблаговременная реакция на изменение законодательства. Компании должны, во-первых, вести постоянный диалог с регулирующими органами, чтобы лучше понимать требования существующих актов и заранее представлять себе, в каком направлении законодатели планируют расширять и ужесточать регулирование. Во-вторых, предприятия могут существенно сэкономить, если воспользуются передовым опытом и внедрят последние методики в свою IT-инфраструктуру, не дожидаясь, пока они будут закреплены законодательно. В результате регулирующий орган не станет возводить новые требования в ранг обязательной нормы и, следовательно, лишится возможности наложить штраф в случае нарушений.

Таким образом, организациям следует обдуманно подходить к вопросу управления нормативными рисками. Государство и регулирующие органы постепенно «закручивают гайки», принимая новые законы и акты, регламентирующие те или иные аспекты IT-безопасности. Причем все указывает на то, что взятый курс на расширение и ужесточение нормативных требований сохранится. В этих условиях повысить свою конкурентоспособность смогут только компании, которые следуют эффективной стратегии.

Мнение 1.
Денис Зенкин,
директор по маркетингу компании InfoWatch

Создание единой платформы для управления нормативными рисками является первоочередной задачей каждой фирмы, сталкивающейся с несколькими нормативными актами одновременно. С точки зрения стратегии это дает огромное преимущество, так как позволяет на одном и том же плацдарме обеспечить совместимость, например, с Актом Сарбаниса-Оксли, соглашением Basel II и стандартом ИТ-безопасности от Центробанка РФ. Вдобавок единая нормативная платформа практически гарантирует, что компания будет готова к новым версиям законодательных актов, которые часто оказывают жестче и шире предыдущих. Более того, попутно организация может решить такие вопросы, как повышение эффективности управления своей ИТ-инфраструктурой, обеспечение внутренней и внешней ИТ-безопасности и защиты информационных активов. В качестве самой нормативной платформы должно выступать комплексное информационное решение, ядро которого автоматически реализует самые сложные и распространенные нормативные требования (хранение корпоративной корреспонденции, ведение расширенных журналов для аудита, защита финансовых и других записей от искажения, фальсификации, кражи и т.д.). При этом дополнительные модули и сопроводительные услуги помогают легко подстроить это решение под некоторые специфические особенности конкретного законодательного акта.

Мнение 2.
Дмитрий Огородников,
директор департамента решений по информационной безопасности компании «Энвижн Груп»

С международными и иностранными законодательными актами российские компании сталкиваются, когда выходят на заграничные рынки. Опыт реализации проектов по обеспечению совместимости с различными нормами показывает, что бизнес часто выигрывает в результате таких проектов. Например, соответствие Акту Сарбаниса-Оксли позволяет сделать организацию более конкурентоспособной за счет повышения прозрачности всех внутренних операций, принятия более эффективных решений на основе гарантированно достоверной информации, а также предотвращения корпоративных мошенничеств. Помимо этого набора бонусов фирма получает серьезный плюс в сфере отношения с инвесторами, клиентами и партнерами, так как иметь дело с прозрачной и эффективно управляемой организацией намного приятнее, чем с закрытой и непонятно как функционирующей фирмой. Другими словами, в крупных компаниях корпорациях имеет смысл реализовывать положения иностранных, например, американских законодательных актов не потому, что это вынужденная мера, а потому, что это выгодно самой компании. Это в определенной степени соответствует эффективной стратегии, подразумевающей использование передового опыта и последних методик заблаговременно. Думаю, именно из-за этого такие законы, как Акт Сарбаниса-Оксли, выходят далеко за рамки своей страны и реализуются в компаниях по всему миру.

• Арена сражений – Всемирная паутина. Записки по истории информационных войн
• Безопасность поисковых систем в корпоративной среде