Точный
Статус документа
Статус документа

ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности (с Поправкой)

     5.2 Правовое и нормативное соответствие

     

    5.2.1 Общие положения

Распорядительные органы в основном занимаются вопросами безопасности, устойчивости и соблюдения законов и положений. Одним из элементов безопасности и устойчивости является система защитных мер организации, которая обеспечивает защиту информации от недоступности, несанкционированного изменения, раскрытия и уничтожения. Последние национальные и международные законы, такие как Базель II [10], закон Сэрбэйнс-Оксли (SOX) [11], закон Грэма-Лича-Блили (GLB) [12] и Европейская директива 95/46/ЕС [13], определили среду правового и регулятивного риска для мировых поставщиков финансовых услуг. Политика безопасности организации должна учитывать этот риск.

Сотрудники, ответственные за обеспечение соответствия требованиям политики безопасности, должны работать вместе с руководителем службы обеспечения информационной безопасности организации, руководителем финансовой службы организации, управляющими делами, лицами, занимающимися менеджментом риска, и аудиторами над тем, чтобы требования информационной безопасности национальных и международных законов и положений были доведены до работников организации и разъяснены им. Ответственные сотрудники за оценку соответствия информационной безопасности должны следить за появлением новых информационных технологий или методологий оценки информационной безопасности, которые могут стать объектом регулирования, например, за соответствием новых продуктов информационных технологий заранее определенным классам функциональных возможностей по информационной безопасности.

    5.2.2 Требования к финансовым учреждениям

5.2.2.1 Обзор

Для учреждений финансового сектора существуют определенные правовые требования и нормы, оказывающие влияние на безопасность ИТ, которые должны соблюдаться. Основная проблема заключается в том, что эти требования в разных странах различны. Хотя ЕС проложил путь к устранению различий в правовых нормах, все еще остаются национальные правовые нормы, требующие особого отношения.

Далее описываются наиболее важные законы с точки зрения поставщика финансовых услуг, действующего в глобальных условиях. Описание нормативных требований представлено в виде разделов: "Организационное управление", "Защита данных (неприкосновенность частной жизни)" и "Законодательство финансового сектора", характерное для поставщиков финансовых услуг (например законы, касающиеся легализаций криминальных доходов). Описание законодательной среды основано на требованиях финансовой отчетности и рекомендациях, установленных в [10].

5.2.2.2 Правовые требования

5.2.2.2.1 Руководство организации

В последние годы многие национальные и региональные законодательные органы выдвинули законы, касающиеся руководства организации. Среди них известны следующие: закон Сэрбэйнс-Оксли (SOX) в США, закон Kontrolle- und Transparenz Gesetz (KonTraG) в Германии и проект директивы ЕС "О руководстве организации". Эти три закона изменили систему правовых рисков, с которыми сталкиваются поставщики финансовых услуг.

Закон SOX требует, чтобы все компании, ведущие свободную торговлю на фондовых биржах США, предоставляли свидетельство наличия у них адекватных средств контроля для финансовой отчетности. Говоря более подробно, закон SOX обязывает руководителя компании и руководителя ее финансовой службы проводить оценку эффективности внутренней системы контроля организации, а также принимать на себя всю ответственность за ежегодные финансовые отчеты организации. В этих целях в отношении ИТ необходимо проводить оценку и контроль функционирования критических бизнес-приложений и связанных с ними рисков. Весь жизненный цикл бизнес-приложений - от первоначальной разработки до обеспечения непрерывности бизнеса - должен подвергаться оценке и контролю с целью гарантирования наличия адекватных защитных мер. Хотя этот закон является национальным, его применяют к любой компании, чьи акции свободно продаются в США.

Немецкий закон KonTraG требует от организации внедрения внутреннего процесса мониторинга, определяющего внутренние разработки и решения, которые могут представлять высокий уровень риска для этой организации. Это требование подразумевает, что руководство должно внедрять внутреннюю систему менеджмента риска в масштабе организации. Данный закон также обязывает руководство сообщать об идентифицированном серьезном риске в своей системе отчетности (представляемой дважды в год и ежегодно). В отношении ИТ в нем рассматривается тот же аспект, что в законе SOX. Однако, поскольку немецкие компании, ведущие свободную торговлю, имеют двухуровневый совет директоров, требуется более строгая система отчетности совета директоров наблюдательному совету. Несоответствие данному закону может приводить к снижению банковского рейтинга организации и, следовательно, оказывать влияние на процентные ставки за кредиты.

ЕС разрабатывает проект директивы, который окажет влияние на национальное законодательство ЕС, и заключается в том, что от всех компаний, чьи акции зарегистрированы на фондовой бирже, требуется публикация отчета об управлении организации. Данный отчет должен содержать подробную информацию о совете директоров, его решениях, финансовом положении компании и соблюдении законодательства ЕС. Кроме этого, отчет должен также включать в себя результаты независимых аудитов. Директива имеет похожие следствия для ИТ, что и законы SOX и KonTraG. Существуют и другие национальные законы, но ни один из них не является настолько строгим, чтобы оказывать влияние на директиву ЕС.

5.2.2.2.2 Защита данных (неприкосновенность частной жизни)

Вопрос защиты данных привлекает все больше и больше внимания, что обусловлено различными законами регионального, федерального и государственного уровней. Появление этих законов определено тем, что использование Интернета создает дополнительные риски, касающиеся злоупотребления в этой сфере, и люди, использующие этот носитель информации, нуждаются в соответствующей защите.

Для защиты информации потребителей, хранимой в финансовых учреждениях, предназначен закон GLB [12]. Он требует, чтобы эти учреждения предоставляли своим клиентам уведомление о гарантии неприкосновенности частной жизни, объясняющее практические приемы (практику) учреждений в отношении коллективного использования информации. В свою очередь потребители имеют право на коллективное использование своей информации. Закон также требует, чтобы финансовые учреждения защищали информацию, собранную об отдельных лицах; но не относится к информации, собранной в ходе коммерческой или бизнес-деятельности. Федеральная торговая комиссия (ФТК) опубликовала комплекс стандартов, который должен применяться для обеспечения соответствия закону GLB.

Совместное усилие по достижению неприкосновенности частной жизни для всех стран-участниц на высоком уровне представляет собой [13]. Данная директива защищает информацию о физических лицах во время всего жизненного цикла, проще говоря требует, чтобы любое учреждение запрашивало разрешение в случае использования информации образом, отличным от официального (и утвержденного). Директива также ограничивает передачу персональных данных тем странам, где обеспечивается их неадекватная защита. Физические лица должны давать недвусмысленное разрешение на последующую обработку своей персональной информации. Требования, установленные в директиве, отличаются от процедур в США, где физических лиц не запрашивают о разрешении о запрещении дальнейшей обработки персональной информации. Европейская директива внедряется в национальное законодательство всех стран - членов ЕС.

Швейцарский закон о защите данных [14] идентичен законам других европейских стран. Данный закон упоминается здесь по двум причинам: Швейцария не является частью ЕС. С другой стороны, швейцарский закон запрещает передачу персональных данных в другие страны при отсутствии адекватной защиты и требует от передающей организации информировать о ее передаче орган, отвечающий за защиту персональных данных. Другим важным законом, связанным с финансовыми учреждениями, является закон о тайне вкладов клиентов швейцарского банка (Schweizer Bankkundengeheimnis) [15], обеспечивающий безусловную защиту информации о клиентах, хранимой банками.

5.2.2.2.3 Легализация криминальных доходов

Почти во всех странах имеются законы по борьбе с легализацией криминальных доходов, которые обычно предписывают, чтобы все переводы денег, превышающие определенную сумму, подвергались расследованию с целью проверки их источников и адресата. Еще в 90-х годах такие законы не имели явного отношения к безопасности, так как они применялись на практике без учета решения проблем безопасности.

Атаки террористов, совершенные в США 11 сентября 2001 г., ясно показали важность законов, направленных против легализации криминальных доходов и связанных с ними мер защиты. Эти атаки стимулировали осознание важности сотрудничества в сфере борьбы с легализацией криминальных доходов по всему миру. Это осознание оживило международное сотрудничество и привело к значительным изменениям законов, направленных против легализации криминальных доходов и вносящих свой вклад в способность мирового сообщества отслеживать денежные средства тех, кто финансирует международный терроризм.

С 2001 года США продолжают проводить активную межведомственную международную обучающую программу по борьбе с легализацией криминальных доходов с целью повышения международных усилий по борьбе с легализацией криминальных доходов и финансовыми преступлениями. Правительства США и других стран, а также международные организации тоже усилили свои программы, направленные против легализации криминальных доходов. Европейский Союз расширил свою директиву по борьбе с легализацией криминальных доходов и возложил обязанности противодействия легализации криминальных доходов на "сторожей", профессионалов, таких, как юристы и бухгалтеры, которые должны препятствовать вовлечению криминальных доходов в финансовые системы государств. Продолжают эффективно работать региональные организации по борьбе с легализацией криминальных доходов в Европе, Азии и странах Карибского бассейна и начинают действовать зарождающиеся региональные организации по борьбе с легализацией криминальных доходов в странах Южной Америки и Африки.

Основное внимание в сфере борьбы с легализацией криминальных доходов в 2005 г. сосредоточилось на работе Финансовой оперативной группы (FATF), всемирно признанной международной организации по борьбе с легализацией криминальных доходов, которая продолжила свою работу со странами и территориями, которые не входят в состав международной организации. После 11 сентября 2001 г. FATF быстро отреагировала и созвала чрезвычайное пленарное заседание по вопросу борьбы с финансированием терроризма, принявшее решение расширить свою задачу за рамки борьбы с легализацией криминальных доходов и сосредоточить свою энергию и опыт на мировых усилиях по борьбе с финансированием терроризма. С этого времени FATF приняла восемь специальных рекомендаций по вопросу противодействия финансирования терроризма.

Атаки террористов послужили сильным импульсом для многих стран к внесению изменений и усилению законов по борьбе с легализацией криминальных доходов. В США закон об объединении и укреплении США обеспечением соответствующих средств, необходимых для противодействия терроризму от 2001 года внес значительные изменения в систему борьбы с легализацией криминальных доходов. Новые широкие полномочия, предоставленные этим законом, окажут существенное влияние на взаимоотношения между финансовыми учреждениями США и их индивидуальными клиентами и клиентами на уровне учреждений.

Программа менеджмента информационной безопасности может помочь финансовым учреждениям разрушить схемы легализации криминальных доходов. И, что более важно, эти программы могут использоваться для демонстрации регулирующим органам и организациям того, что конкретное финансовое учреждение соблюдает законодательство и предоставляет документацию о принятии систематических и активных мер для соблюдения законодательства.

5.2.2.2.4 Законы, относящиеся к финансовым рынкам

Большинство законов, регулирующих финансовый сектор, в основном определяет обязанности финансового учреждения, что включает в себя обязательство по предоставлению квалифицированных услуг. Некоторые органы власти государства интерпретируют это обязательство так, что оно распространяется на всю полноту используемых услуг ИТ. На конкретные вопросы безопасности ИТ указывают следующие законы различных государств.

По аргентинскому банковскому законодательству, финансовые учреждения должны иметь в своем составе руководителя службы обеспечения информационной безопасности (ИСО), который предоставляет ежегодный отчет центральному банку Аргентины. В отчете содержатся требования к осуществлению и поддерживанию внутренних мер защиты финансового учреждения для обеспечения надлежащих услуг.