1. Понять, что представляет собой соответствие. Бизнес- и IT-менеджеры должны понимать, из чего складывается соответствие. Ответ на этот вопрос может, в значительной степени, зависеть отрасли, географического положения, типа клиента, влияния регулирующих органов и иных факторов. Так, расположенный в Нью-Йорке банк, имеющий клиентов в Калифорнии и Лондоне, и страховая компания, действующая только в пределах США, но во всех 50 штатах, будут сталкиваться с различными наборами проблем соответствия. Каждая компания имеет дело с различными мандатами самых разных регулирующих органов, будь Комиссия по ценным бумагам и биржам США (SEC) или  Администрация по контролю за продуктами питания и медикаментами (FDA), законы федерального правительства, такие как Федеральный закон по управлению информационной безопасностью (FISMA ), инициативы штатов, например, Закон о нарушении информационной безопасности Калифорнии (SB1386), международные правила, такие как Уточненное соглашение о подходах к стандарту капитала (Basel II), или даже Стандарты платежных карт (PCI), выдвигаемые крупными компаниями-изготовителями карт оплаты. Каждой компании необходимо понимать контекст, в котором она действует, и определить соответствующие проблемы совместимости.
 
Этот критически важный первый шаг обеспечивает четкость задач, определяет круг центральных вопросов и создает основу для того, чтобы имеющиеся ресурсы были направлены исключительно на необходимые цели. Кроме того, он предоставляет возможность найти пересекающиеся элементы в различных регламентирующих требованиях. Так, практически каждая инициатива по совместимости предусматривает необходимость защиты данных в «ядре» соответствующего бизнес-процесса. Такие пересекающиеся элементы указывают на места, в которых компания может развернуть определенные процессы и технологии для поддержки нескольких режимов соответствия. В рассмотренном нами примере, это предполагает реализацию широких средств управления для утверждения всякого доступа к засекреченным данным, с учетом связанных с этим стратегий, где конкретное содержание отчетов определяется различными потребностями соответствия.
 
2. Понять мотивы соответствия. Часто правила, с которыми компания имеет дело, определены на высоком уровне и не носят предписывающего характера в том, что касается типов средств управления, необходимых для достижения соответствия. Например, Закон Сарбейнса-Оксли (SOX), в центре внимания которого – целостность финансовой отчетности, известен своей неопределенностью и зависит от изменяющихся интерпретаций различных сторон, в то время как стандарт PCI оговаривает исключительно подробно, каким образом компании должны защищать секретные данные клиентов, и что означает соответствие.
 
Компании прилагают немалые усилия, интерпретируя неопределенные правила, а это означает, что участникам мер по обеспечению соответствия приходится полагаться на здравый смысл, стараясь уловить дух правил. Им требуется оценить предназначение правила и круг проблем, с которыми оно имеет дело, а также истолковать его значение и то, как оно может быть применено к конкретным процессам компании. Часто в процессе интерпретации могут оказать помощь консультанты, но правила поведения препятствуют получению таких советов из источника, где они были бы особенно ценными – а именно, от лиц, проводящих аудит соответствия.
 
Столкнувшись с неопределенностью значения правила, стоит рассмотреть его мотивы – это может дать некоторый ориентир, помочь в определении приоритетов связанных с соответствием инициатив и предоставить аудитору некоторое понимание принятого компанией подхода.
 
3. Идентифицировать расхождения между вашим нынешним состоянием и тем, где вам нужно быть. После того как компания определила свой контекст соответствия, следующим шагом должна быть оценка расхождений  между текущим статусом соответствия и состоянием, которого необходимо достичь. Компании не придется делать эту работу на пустом месте: менеджеры по вопросам соответствия могут учесть ранее сказанное аудиторами о системах и процессах компании; сторонние эксперты также могут оказать некоторую помощь. Внешние системные документы, такие как «Цели контроля над информационными и смежными технологиями» (COBIT), могут предоставить полезные указания и ускорить принятие мер.
 
Указанные расхождения в средствах управления компании распространяются как на бизнес-процесс, так и на технологическую составляющую. Партнерство по линии «бизнес-IT» продолжает здесь иметь критическое значение: некоторые расхождения в бизнес-процессах могут быть уменьшены с помощью существующих технологий; в то же время, некоторые технологические расхождения можно преодолеть за счет строгих бизнес-процессов. Определение способов, с помощью которых расхождения можно сократить другими факторами, является существенным во время следующего шага - определения приоритетов.
 
4. Присвоить расхождениям приоритеты в соответствии с их рисками для организации. Следует выделить два важных момента. Во-первых, ни одна компания не располагает временем или ресурсами для того, чтобы заниматься всеми определенными ею расхождениями. Во-вторых, не все расхождения изначально одинаковы. Соответственно, следующий шаг заключается в том, чтобы жестко определить приоритеты идентифицированных расхождений в зависимости от риска, создаваемого ими для организации. Такой анализ охватывает вопросы как технологического, так и делового характера.
 
Например, распространенным предметом риска является доступ привилегированных пользователей к базам данных без каких-либо средств, подтверждающих их поведение. Однако невозможно подходить к сохранности финансовых данных или счетов кредиторов с теми же мерками, что и к сохранности меню в ресторане. Это указывает на необходимость понимать как технологический риск (бесконтрольное манипулирование данными со стороны привилегированных пользователей), так и бизнес-риск (характер данных приложения в определенных базах данных). В нашем случае, особенности бизнеса позволили бы идентифицировать данные, нуждающиеся в усиленном контроле со стороны центра управления данными.
 
5. Идентифицировать изменения в бизнес-процессах и IT-инфраструктуре. Теперь, когда приоритеты расхождений управления определены, организация может определить, как устранить эти расхождения за счет изменений в бизнес-процессе, элементах технологической инфраструктуры (или в обоих этих направлениях). Там, где это возможно, компаниям следует учитывать как горизонтальное, так и вертикальное направления, т.е. использовать процессы и технологии, которые поддерживают соответствие нескольким правилам, в то же время детализируя отчетность для учета специфики каждого отдельного правила. Некоторые технологии могут быть использованы для разнообразных режимов соответствия, при сохранении специализации в отдельных областях, например, PCI. Насколько далеко компания сможет продвинуться, проходя перечень приоритетов, зависит от ее упорства, временных рамок и ресурсов. Придется осторожно балансировать между различными факторами, такими как текущий бюджет, наличие дополнительного бюджета, возможность нанять и обучить персонал, отвечающий за соответствие, время проведения следующего аудита, скорость внедрения технологий и т.п.
 
После того как компания почувствует, что она идентифицировала приемлемое изменение своих процессов и технологий, менеджеры по соответствию и IT-менеджеры должны поговорить с аудиторами и консультантами, чтобы ознакомиться с их взглядами. Такие третьи лица могут предоставить ценную обратную связь, что позволит направить усилия в нужное русло и избежать отрицательных результатов аудита. Благодаря этому, компании смогут более эффективно тратить деньги на системы, применимые в настоящее время в нескольких составляющих организации, и облегчить соответствие новым правилам, которые будут неизбежно появляться в будущем.
 
6. Обучить заинтересованные стороны и реализовать стратегию. После того как команда IT и команда обеспечения соответствия определили стратегию, они обязательно должны обучить основные заинтересованные стороны. К ним относятся отдельные лица, исполняющие бизнес-процессы, оказывающие поддержку и использующие технологии, а также те, кто измеряет эффективность инициатив организации.
 
В приведенном нами примере, вероятно, будет иметь место новый процесс пересмотра всех действий привилегированных пользователей в отношении засекреченных баз данных. В зависимости от сложности развернутой технологии контроля, деятельность, выходящая за пределы стратегии, может быть идентифицирована автоматически или вручную (по причинам эффективности, своевременности, полноты и т.п., причем первое является более предпочтительным). Это может предусматривать новый процесс получения разрешения на действия  привилегированного пользователя, до того как эти действия будут иметь место.
 
Несмотря на то, что такие новые процессы могут быть мелкими, каждый их участник должен быть информирован о том, как нужно действовать в пределах процесса. Большинство людей обладают соответствующим желанием, и все, что им нужно – это четкое руководство. На более высоком уровне, руководитель службы безопасности может быть ответственным за предоставление графических отчетов совету директоров относительно состояния инициатив по защите данных, и ему может требоваться понимание таких графических отчетов. Такой процесс обучения имеет еще одно преимущество: он предусматривает дополнительный обзор предлагаемых изменений, цель которого состоит не в изменении общей стратегии, а в том, чтобы выверить ее отдельные элементы для повышения эффективности и действенности.
 
После того как обучение состоялось, проявлена заинтересованность, и идентифицированы изменения, стратегия может быть развернута. Мы не будем подробно останавливаться на этом аспекте; отметим лишь, что этап реализации обязательно будет проведен в несколько временных этапов, и что между участниками со стороны бизнеса и технологического отдела должно быть тесное взаимодействие: это необходимо для обеспечения необходимой синергии прилагаемых ими усилий.
 
7. Признать, что достижение соответствия не является единовременной процедурой. Соответствие представляет собой продолжающееся состояние; оно - не разовое событие, а постоянные усилия, требующие непрерывного анализа и совершенствования. Это объясняется рядом причин:
 
•         Компании, представляющие высоко регулируемые отрасли (например, финансовые услуги), по существу, находятся в состоянии постоянного аудита. По мере продолжающегося увеличения числа отраслевых правил, аудиторские проверки следуют одна за другой, а иногда аудиты даже накладываются друг на друга.
•         Обеспечение соответствия с каким-либо из множества влияющих на организацию правил не может быть достигнуто в результате одного исторического события: слишком многое требуется сделать.
•         Контекст соответствия изменяется с течением времени. Появляются новые правила, существующие правила получают новую интерпретацию; кроме того, изменяются собственные бизнес и технологии организации. Все это требует повторного изучения и потенциального улучшения действующих средств управления.
 
В продолжение нашего примера, отметим: необходимость реализовать более сильную защиту данных может возникать из множества различных мест, в зависимости от контекста соответствия, существующего в организации. SOX, PCI, а также внутренние требования обнаружения мошенничества – все это приведет к усиленному контролю над привилегированными пользователями и экспертизы баз данных. Организация может принимать меры в отношении такого рода унификации в самых различных режимах соответствия с горизонтально расположенными процессами и технологиями, в сочетании с соответствующей вертикальной специализацией.
 
Вот еще один пример. Рассмотрим задачу обеспечения того, чтобы каждый пользователь обладал только теми правами доступа, которые необходимы для выполнения сотрудником его работы. Так как сотрудники перемещаются и покидают организацию, эта задача не может рассматриваться в качестве разового мероприятия. Как только представители отдела IT создали для какого-либо сотрудника привилегии «избранного пользователя», им нужно позаботиться о том, чтобы указанное лицо обладало соответствующим правами на постоянной основе, а также предусмотреть, что как только это лицо покинет организацию, вышеупомянутые права перестанут действовать в его отношении. Иначе компания окажется под угрозой несанкционированного доступа к конфиденциальной информации, что нарушит соответствие практически всем правилам.
 
8. Закрепить успех новых процессов и технологий. Невозможно просто "наладить соответствие и забыть об этом". Аудиторы и регулирующие органы требуют, чтобы компания фактически пересматривала результаты процессов и технологий, обеспечивающих соответствие, и принимала меры при обнаружении чего-либо подозрительного. Эта практика имеет смысл, так как в противном случае возник бы риск сделать что-нибудь не так, и узнать об этом только тогда, когда будет уже слишком поздно. Такая необходимость в постоянном пересмотре и контроле применима на различных уровнях детализации и обобщения на всех ступенях корпоративной иерархии.
 
Тесно сотрудничая на каждом из перечисленных этапов, команды отделов IT и бизнеса могут занять положение, позволяющее им постоянно решать вопросы соответствия для своих компаний. Как показали некоторые организации, попытки этих команд по отдельности решать вопросы совместимости могут приводить к отсутствию достаточной широты контроля, неэффективному использованию ресурсов, неудовлетворенности заинтересованных сторон и неудачным для компании результатам аудиторских проверок. Работая вместе, IT- и бизнес-команды могут обеспечить более последовательный подход к достижению и поддержанию соответствия, а также развить партнерство, которое будет служить им, по мере того как контекст соответствия неизбежно будет изменяться.

• Ребекка Джекоби: "ИТ как стратегический актив"