Когда из-за несоблюдения новых законов и директив в области ИТ ущерб терпят третьи лица или когда по тем же причинам не соблюдаются права акционеров и государства, менеджеры ИТ и управляющие предприятием уже находятся одной ногой за решеткой. Внешние провайдеры услуг могут помочь во многих отношениях, но не в правовых вопросах. Кроме того, ответственность не передается другим лицам.
Времена, когда корпоративные бюджеты на ИТ распределялись исключительно на основе оценок или планов директоров по ИТ, по всей видимости, канули в Лету. Уже сейчас законодателям принадлежит едва ли не решающее слово в том, как должна выглядеть адекватная инфраструктура ИТ и как должны быть организованы определенные (ИТ-)процессы. Неизбежным следствием этого являются огромные расходы, размеры которых часто недооцениваются местными администраторами ИТ и руководством.
По данным последнего исследования компании Pricewaterhousecoopers под названием Management Barometer Survey, больше половины многонациональных компаний в США и Европе будут вынуждены увеличить свои затраты на хранение данных на 23% в течение ближайших 12—24 месяцев, дабы соблюсти требования закона. Тем не менее зачастую ответственные менеджеры утверждают, что в их организациях отсутствует четкая стратегия «соблюдения правовых норм». Почти 90% предприятий в ближайшие год-два планирует активизировать свои усилия в этом направлении, скорректировать бюджеты и разработать четкую стратегию.
Американские компании, как показывает еще один результат исследования, больше инвестируют в соблюдение правовых норм (это вызвано главным образом давлением извне), чем европейские, которые тратят деньги преимущественно на реализацию внутренней политики и отраслевых документов. В США движущей силой инвестиций с целью соблюдения законодательных норм, очевидно, является Sarbanes-Oxley Act (SOA), в Германии же такими документами служит Закон о доступе к данным и проверямости цифровых документов и Закон о ведении бухгалтерии на основе вычислительных систем. Все большее распространение здесь получают Basel II и Kontrag (см. врезку «Законы и директивы, относящиеся к ИТ»).
Многочисленные производители, прежде всего из области систем хранения данных, безопасности и управления ИТ, предлагают помощь в реализации норм, как того требует закон. Главный недостаток заключается в том, что ни один поставщик не дает гарантий на свой продукт в отношении соблюдения правовых норм и не возьмет ответственность за ущерб в случае его неправильной работы. Кроме того, неясно, что именно должна предпринять конкретная компания, чтобы ее информационная система соответствовала правовым нормам.
Задачи обеспечения безопасности ИТ — зона особой ответственности для всех предприятий. Любое происшествие из-за непринятия адекватных мер может отрицательно повлиять на деятельность каждого из них. Кроме того, по причине ужесточения правовых предписаний такие случаи, как правило, влекут за собой серьезные последствия. Так, управляющий компанией или ответственный за ИТ рискует скомпрометировать и самого себя, и все предприятие. Чтобы свести риски к минимуму, в последнее время руководители все чаще прибегают к помощи консультантов и внешних провайдеров. Однако ситуация не столь проста, как в случае «традиционных» услуг ИТ, поскольку ни внутренний отдел ИТ, ни провайдеры услуг ИТ, как правило, не являются экспертами в правовых вопросах.
ОТПРАВНАЯ ТОЧКА ДЛЯ ПОСТАВЩИКОВ УСЛУГ
Стремясь помочь своим клиентам в соблюдении закона, поставщики услуг предлагают консультации, касающиеся необходимых организационных и технических мер. «И этим поставщику услуг следует ограничиться, — считает Вольфганг Штрассер, генеральный директор компании At-Yet. — Профессиональный совет в отношении соблюдения законов может дать только юрист, специализирующийся в данной области. В противном случае нет твердой гарантии, что закон не будет нарушен. К примеру, если вдруг данные клиента по недосмотру станут доступными для посторонних людей, то он вправе потребовать возмещения материального и морального ущерба».
Вот популярный сценарий из практики: часто данные клиента хранятся в незашифрованном виде в электронном почтовом ящике. Если вирусная атака провоцирует их неконтролируемую рассылку и они становятся достоянием общественности, то налицо так называемый состав преступления. Однако одних только упоминающихся в них имен для иска недостаточно: электронные письма должны содержать конфиденциальную информацию, поскольку штрафы угрожают лишь при тяжелом нарушении прав личности.
Часто отправной точкой для провайдера услуг является разработка и реализация всеобъемлющей политики безопасности. Необходимо активно обучать сотрудников, добиваясь осознанного соблюдения мер безопасности на всех уровнях предприятия. Насколько это важно, показывает исследование Meta Group «ИТ-безопасность в 2003 г.»: хотя уже 48% предприятий в Германии обладает регламентированной политикой безопасности, лишь треть опрошенных уверена, что действительно все пользователи компьютеров знакомы с ней. Поэтому технической стороне безопасности следует уделять большее внимание, а это — классическая сфера деятельности специализированных провайдеров услуг. С растущей открытостью инфраструктуры ИТ для поставщиков, партнеров или мобильных сотрудников опасность только увеличивается. По крайней мере, такой аспект соблюдения правовых норм, как безопасность, гарантируется сертификацией на соответствие ISO 9001.
ЗАЩИТА БИЗНЕС-ПРОЦЕССОВ ПРИ ПОМОЩИ ПОЛИТИКИ БЕЗОПАСНОСТИ
В хорошей политике безопасности ставка делается на технические и организационные структуры, но — главное — она должна защищать деловые процессы. Провайдер услуг вместе с предприятием анализирует процессы в отношении их надежности, готовности и целостности, чтобы определить потребность в защите. Документирование корпоративных структур и процессов призвано облегчить управление рисками безопасности. Тем самым провайдер услуг помогает при разработке базы для управления непрерывностью бизнеса.
Еще один пункт — проверка соответствия предприятия критериям стандарта British Standard 7799 (его аналог — ISO 17799). Такая сертификация позволяет укрепить позиции компании при аттестации на соответствие требований Basel II или SOA. Составляемый список недостатков помогает понять, какие меры необходимо принять для успешной сертификации по BS/ISO. Обсуждению могут подлежать, к примеру, разделение сети, реализация карантинной зоны ИТ и построение инфраструктуры с открытыми ключами (Public Key Infrastructure, PKI). Сертификацию по BS/ISO предлагает ряд провайдеров услуг.
ВЫБОР ПОДХОДЯЩЕГО ПРОВАЙДЕРА
Выбирая провайдера, деятельность которого соответствовала бы требованиям правовых норм, приходится, как правило, пользоваться рекомендациями: никакого аналога «государственного сертифицированного адвоката в вопросах ИТ» не существует. Не менее сложно оценить, насколько сведущ провайдер в правовых вопросах либо насколько близки его контакты с компетентными юридическими консультантами. При отсутствии рекомендаций стоит поинтересоваться принципом работы провайдера, его реализованными проектами и результатами (см. врезку «Вычислительным центрам нужна нормированная безопасность»).
Предприятиям с высокими потенциальными рисками эксперты советуют нанять второго провайдера в качестве наблюдателя; он станет проверять работу первого, в особенности в отношении следования законодательным нормам и обеспечения безопасности. В отношении безопасности можно предложить, к примеру, проведение тестов на проникновение, а в том, что касается соблюдения законов, полезно снова обратиться к юристам. Юристы второго провайдера проведут «правовые испытания на проникновение» для идентификации возможных юридических несоответствий. «Периодическая смена второго провайдера не помешает, поскольку это позволит предотвратить некритичное отношение к недостаткам первого и проводить испытания с разных перспектив», — рекомендует Штрассер.
При составлении контракта с провайдером главное — составить ясный свод правил, где описывается, как стороны будут взаимодействовать друг с другом. Его формулировки должны выверяться при участии компетентных консультантов. «Однако даже если предприятие передает свою инфраструктуру безопасности в чужие руки, это не означает, что руководитель или другое наделенное соответствующими правами лицо полностью освобождается от обязанности отвечать за свои действия, — предупреждает Штрассер. — Аутсорсинг ответственности невозможен». Впрочем, если предприятие, сославшись на детальный договор, сможет доказать, что выполнило все относящиеся к безопасности и правовым вопросам пункты, наказания, как правило, удается избежать. Подчеркнем: после заключения контракта крайне важно поддерживать контакт с провайдером и осведомляться о положении вещей.
Полезный документ выпустил Федеральный союз по информационной экономике, телекоммуникациям и новым средствам информации: «Матрица рисков ответственности» перечисляет наиболее важные обязанности и нормативные требования в отношении безопасности ИТ (готовность, целостность, надежность, аутентичность). С брошюрой можно ознакомиться по адресу: http://www.bitkom.org.
ЗАКЛЮЧЕНИЕ
Слепо доверять провайдеру услуг не следует. Основательная подготовка важна для обеих договаривающихся сторон — это гарантирует, что в процессе выбора предприятие разберется с проектом в достаточной степени. Нереальные ожидания в отношении передачи ответственности можно таким образом предотвратить, и обе стороны будут удовлетворены сотрудничеством.
Штефан Мучлер — шеф-корреспондент LANline. С ним можно связаться по адресу: sm@lanline.awi.de.
? AWi Verlag
Законы и директивы, относящиеся к ИТ
Sarbanes-Oxley
Принятый в 2002 г. Sarbanes-Oxley Act (SOA) призван улучшить отчетность предприятий, пользующихся услугами кредитного рынка США. Это касается не только американских, но и зарубежных компаний, зарегистрированных Комиссией по ценным бумагам (Security and Exchange Commission, SEC), а также их дочерних предприятий. Главным требованием вводимых в SOA правил является создание соответствующей внутренней системы контроля для всех данных, имеющих отношение к отчетности. Среди прочего предполагается введение программного инструментария для документирования и оценки внутренних процессов и проверок. Поддержку при выборе и внедрении инструментария способны оказать консалтинговые компании, специализирующиеся в области управления.
Basel II
Basel II представляет собой свод предписаний для частного капитала и предложен Базельской комиссией по надзору над банками в июне 1999 г. Все банки во время принятия решения о выдаче кредита должны учитывать «операционные риски» заемщика. Это касается «опасностей убытков, наступающих в результате несоответствия или непригодности внутренних методов, людей или систем, а также вследствие внешних событий». (Источник: «Международная унификация измерения капитала и требований к частному капиталу»; http://www.bundesbank.de). Использование ИТ и является таким «операционным риском». Если свести сказанное к общему знаменателю, недостаточно отлаженные системы ИТ могут стать поводом для назначения высоких процентов по кредиту и даже для отказа в кредитовании. Хотя эти правила вступят в силу в Евросоюзе лишь в конце года, они уже находят широкое применение в повседневной практике.
Kontrag
Закон о контроле и прозрачности корпоративной сферы считается немецким аналогом американского SOA. В соответствии с Kontrag, предприятие берет на себя обязательства по управлению рисками ИТ и созданию надежной инфраструктуры ИТ. Более строгими становятся меры по укреплению инфраструктурой ИТ в отношении аудита (постоянного контроля) и необходимости оповещения правовых структур. Без такого управления рисками за все случившееся персонально отвечают члены правления акционерных обществ и руководители обществ с ограниченной ответственностью.
Дополнительные директивы и стандарты
- Свод законов Федерального агентства по безопасности информационных технологий: издателем базового варианта является Федеральное агентство по безопасности информационных технологий.
- Стандарт British Standard 7799 (ISO 17799): стандарты по безопасности ИТ, следование которым предприятия могут подтвердить после прохождения соответствующей сертификации. Сертификат, в свою очередь, учитывается как положительный фактор при оценке на соответствие требованиям Basel II и SOA.
- Помимо перечисленных существует множество специфичных для каждой конкретной отрасли правил и предписаний.
Вычислительным центрам нужна нормированная безопасность
Вычислительные центры (ВЦ), как правило, защищены со всех сторон, в особенности, когда они поддерживают приложения и/или услуги для третьих лиц. ВЦ компании T-Systems (см. Рисунок), к примеру, отвечают всем актуальным нормам ISO 900Х в отношении управления качеством. Кроме того, управление безопасностью сертифицировано по британскому стандарту BS 7799. Соответствие правовым нормам особенно востребовано в вопросах хранения и архивирования данных. Все предоставленные клиенту серверы, системы хранения и приложения требуют защиты в соответствии с текущим состоянием техники как от опасностей снаружи, так и от «атак» изнутри — в том числе вследствие старения носителей данных, поскольку сроки хранения информации определяются законодательством.