InfoWatch комментирует законодательные инициативы в области стандартизации информационной безопасности
Акт Сарбаниса-Оксли является тем законом, который оказал наибольшее влияние на корпоративное руководство, прозрачность финансовой отчетности и практику публичного аудита. Вступив в действие в 2002 году, закон прославился тем, что возложил персональную ответственность за точность финансовой отчетности на исполнительных и финансовых директоров в компаниях.
Однако спустя три года после того, как Акт Сарбаниса-Оксли стал действующим законом в США, более 70% британских ИТ-специалистов так и не знакомы с его требованиями или требованиями его потенциальных аналогов в Европе. Согласно исследованию, проведенному организациями HDIE (Help Desk Institute Europe) и Axios Systems, едва ли каждый пятый ИТ-профессионал осведомлен о положениях Акта Сарбаниса-Оксли или его европейских аналогов. Таким образом, готовность Великобритании внедрять положения этого акта на практике находится под большим вопросом.
Нельзя обойти вниманием тот факт, что требования законодательных норм оказывают существенное влияние на развитие сектора ИТ, так как именно от информационных систем сегодня зависит точность финансовой документации и средства контроля над ней. Таким образом, если исключить ИТ-инфраструктуру из объектов аудита, компаниям не удастся пройти соответствующую сертификацию и достичь совместимости с положениями Акта Сарбаниса-Оксли или его аналогами.
Очевидно, что большие штрафы и персональная ответственность высших исполнительных лиц все равно заставят европейские предприятия внедрять положения законодательных норм в своих компаниях. Однако выгоднее обеспечить свою совместимость с требованиями регулирующих актов уже сейчас. Так, по мнению компании InfoWatch, реализация правил Акта Сарбаниса-Оксли в компании неизбежно приводит к повышению ее конкурентоспособности, вследствие целого ряда причин. Во-первых, гарантированные прозрачность, точность и доступность финансовой отчетности позволяют корпоративному руководству принимать более эффективные решения, базирующиеся на достоверных исходных данных. Во-вторых, инвестиционная привлекательность компании, внедрившей положения Акта Сарбаниса-Оксли и регулярно проходящей через внешний аудит, несоизмеримо выше, чем любого предприятия, сэкономившего на этих мероприятиях. Таким образом, бизнесу действительно выгодно удовлетворить требованиям существующих или потенциальных регулирующих норм уже сейчас.
Довольно интересно ситуация складывается в России. Прежде всего, в России уже давно предусмотрена ответственность генеральных и финансовых директоров за фальсификацию, искажение и уничтожение отчетных документов, которые необходимы для проведения финансового аудита и других проверок. Другими словами, Уголовный Кодекс РФ воплотил те положения об ответственности Акта Сарбаниса-Оксли, которые так потрясли американский бизнес в 2002 году, намного раньше. Тем не менее, сегодня законодательное регулирование США опережает российское, так как Акт Сарбаниса-Оксли описывает конкретные процедуры и процессы, которые должны быть реализованы в компании, например, для обеспечения прозрачности и точности финансовой отчетности. То есть, он предлагает руководство к действию, а не только ответственность за бездействие.
Между тем, некоторые положения Акта Сарбаниса-Оксли уже проникают в Россию, правда, под видом официальных стандартов. Например, стандарт "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", утвержденный и введенный в действие председателем Центрального Банка РФ 1 декабря 2004 года, можно считать еще более жестким, чем Акт Сарбаниса-Оксли, так как российский стандарт связан еще и с Актом Грэма-Лича-Блилей (GLBA), стандартами по управлению ИТ-безопасности ISO 17799 и 13335, а также стандартами, описывающими жизненный цикл программных средств и критерии оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 15408-1-2-3). Хотя стандарт ЦБ РФ рекомендован к применению во всех организациях кредитно-финансовой сферы, порядок проведения сертификации и сертификационные органы еще не определены.
"Однако, это лишь вопрос времени", - считает Денис Зенкин, директор по маркетингу компании InfoWatch. "Более того, в области применения стандарта присутствуют фразы о том, что конкретные положения стандарта могут быть применены нормативно-правовыми актами Банка России, условиями договора и т. п. Следовательно, рекомендательный характер стандарта может достаточно легко трансформироваться в обязательный", - добавляет он.
Таким образом, Россия и Европа отстают от США в плане наличия регулирующих норм типа Акта Сарбаниса-Оксли и сейчас решают примерно одни и те же проблемы. Следовательно, не только европейским компаниям, но и российскому бизнесу следует запланировать мероприятия по обеспечению совместимости с требованиями Акта Сарбаниса-Оксли уже сейчас, не дожидаясь пока эти требования "спустят сверху". В заключение хотелось бы еще раз отметить, что реализация положений подобных законов на практике выгодна самому предприятию, так как повышает его конкурентоспособность.
Ссылки по теме:
Законодательные акты Европы и США в сфере ИТ-безопасности здесь
Точная интерпретация акта Сарбаниса-Оксли здесь
InfoWatch
Однако спустя три года после того, как Акт Сарбаниса-Оксли стал действующим законом в США, более 70% британских ИТ-специалистов так и не знакомы с его требованиями или требованиями его потенциальных аналогов в Европе. Согласно исследованию, проведенному организациями HDIE (Help Desk Institute Europe) и Axios Systems, едва ли каждый пятый ИТ-профессионал осведомлен о положениях Акта Сарбаниса-Оксли или его европейских аналогов. Таким образом, готовность Великобритании внедрять положения этого акта на практике находится под большим вопросом.
Нельзя обойти вниманием тот факт, что требования законодательных норм оказывают существенное влияние на развитие сектора ИТ, так как именно от информационных систем сегодня зависит точность финансовой документации и средства контроля над ней. Таким образом, если исключить ИТ-инфраструктуру из объектов аудита, компаниям не удастся пройти соответствующую сертификацию и достичь совместимости с положениями Акта Сарбаниса-Оксли или его аналогами.
Очевидно, что большие штрафы и персональная ответственность высших исполнительных лиц все равно заставят европейские предприятия внедрять положения законодательных норм в своих компаниях. Однако выгоднее обеспечить свою совместимость с требованиями регулирующих актов уже сейчас. Так, по мнению компании InfoWatch, реализация правил Акта Сарбаниса-Оксли в компании неизбежно приводит к повышению ее конкурентоспособности, вследствие целого ряда причин. Во-первых, гарантированные прозрачность, точность и доступность финансовой отчетности позволяют корпоративному руководству принимать более эффективные решения, базирующиеся на достоверных исходных данных. Во-вторых, инвестиционная привлекательность компании, внедрившей положения Акта Сарбаниса-Оксли и регулярно проходящей через внешний аудит, несоизмеримо выше, чем любого предприятия, сэкономившего на этих мероприятиях. Таким образом, бизнесу действительно выгодно удовлетворить требованиям существующих или потенциальных регулирующих норм уже сейчас.
Довольно интересно ситуация складывается в России. Прежде всего, в России уже давно предусмотрена ответственность генеральных и финансовых директоров за фальсификацию, искажение и уничтожение отчетных документов, которые необходимы для проведения финансового аудита и других проверок. Другими словами, Уголовный Кодекс РФ воплотил те положения об ответственности Акта Сарбаниса-Оксли, которые так потрясли американский бизнес в 2002 году, намного раньше. Тем не менее, сегодня законодательное регулирование США опережает российское, так как Акт Сарбаниса-Оксли описывает конкретные процедуры и процессы, которые должны быть реализованы в компании, например, для обеспечения прозрачности и точности финансовой отчетности. То есть, он предлагает руководство к действию, а не только ответственность за бездействие.
Между тем, некоторые положения Акта Сарбаниса-Оксли уже проникают в Россию, правда, под видом официальных стандартов. Например, стандарт "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", утвержденный и введенный в действие председателем Центрального Банка РФ 1 декабря 2004 года, можно считать еще более жестким, чем Акт Сарбаниса-Оксли, так как российский стандарт связан еще и с Актом Грэма-Лича-Блилей (GLBA), стандартами по управлению ИТ-безопасности ISO 17799 и 13335, а также стандартами, описывающими жизненный цикл программных средств и критерии оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 15408-1-2-3). Хотя стандарт ЦБ РФ рекомендован к применению во всех организациях кредитно-финансовой сферы, порядок проведения сертификации и сертификационные органы еще не определены.
"Однако, это лишь вопрос времени", - считает Денис Зенкин, директор по маркетингу компании InfoWatch. "Более того, в области применения стандарта присутствуют фразы о том, что конкретные положения стандарта могут быть применены нормативно-правовыми актами Банка России, условиями договора и т. п. Следовательно, рекомендательный характер стандарта может достаточно легко трансформироваться в обязательный", - добавляет он.
Таким образом, Россия и Европа отстают от США в плане наличия регулирующих норм типа Акта Сарбаниса-Оксли и сейчас решают примерно одни и те же проблемы. Следовательно, не только европейским компаниям, но и российскому бизнесу следует запланировать мероприятия по обеспечению совместимости с требованиями Акта Сарбаниса-Оксли уже сейчас, не дожидаясь пока эти требования "спустят сверху". В заключение хотелось бы еще раз отметить, что реализация положений подобных законов на практике выгодна самому предприятию, так как повышает его конкурентоспособность.
Ссылки по теме:
Законодательные акты Европы и США в сфере ИТ-безопасности здесь
Точная интерпретация акта Сарбаниса-Оксли здесь
InfoWatch