стратегии управления правилами соответствия регулирующих

С т рат е г и и о б е с п е ч е н и я
безопасности для
успешного
бизнеса
3
стратегии управления правилами
соответствия регулирующих
органов
Соответствовать требованиям регулирующих органов в отношении обеспечения безопасности
становится всё сложнее и сложнее. Сосредоточьтесь на этих трех стратегиях, и вы с легкостью
справитесь с данной задачей.
«Большинство
компаний
подразделяют
данные на
три–пять
категорий: от
общедоступных
до совершенно
секретных»,
— Стэн Блэк,
главный директор
Citrix по обеспечению
информационной
безопасности
Хорошая новость для руководителей по обеспечению безопасности:
если вы разработали разумные правила, жестко контролируете
их соблюдение, а также тщательно отслеживаете эффективность
системы безопасности с ведением отчетности, вы находитесь на
верном пути в деле защиты своей компании от растущего множества
современных, все более страшных угроз. Есть и плохая новость: все
больше аудиторов, контролеров, партнеров и клиентов требуют
аргументированного доказательства этой защиты.
«В целом, существует более 300 стандартов, правил и законов
обеспечения безопасности и защиты данных, а также более 3500
специальных систем контроля, и число их растет, — заявляет Стэн
Блэк, главный директор Citrix по обеспечению информационной
безопасности. — Сотрудникам, ответственным за эти правила, нужны
доказательства того, что вы им следуете».
Неудовлетворенность аудиторов и контролеров может иметь серьезные
последствия. Несоблюдение все более расширяющегося множества
современных требований, связанных с безопасностью, может привести
к штрафам и другим мерам наказания, недовольству клиентов, потере
конфиденциальных данных, учащению проверок контролерами и
дорогостоящему ущербу бренду и репутации компании.
Поэтому неудивительно, что соответствие требованиям
регулирующих органов сегодня представляет большой интерес
для высшего руководства и членов правления компаний. Чтобы
укрепить их уверенность в том, что ваша компания соблюдает все эти
требования и может аргументированно это доказать, используйте
приведенные ниже передовые методы.
1.
Обеспечьте доступ и защиту информации
Комплексный подход для управления пользовательскими
идентификаторами и доступом в сочетании с пристальной
фокусировкой на конфиденциальных данных, адекватными
отчетностью и показателями составляют необходимый баланс.
В правилах необходимо указать детализированные привилегии
доступа к данным в зависимости от местоположения сотрудника
и используемых им сети и устройства, а также дополнительные
средства контроля, соответствующие возможному риску. Например,
доступ следует проверять более тщательно при работе сотрудника
с собственного смартфона через общественную сеть, нежели чем с
корпоративного ноутбука в офисе.
Еще один значимый параметр — занимаемая должность. «Следует
предоставлять доступ только тем сотрудникам, чья должность и
обязанности требуют знания этой информации», — советует Курт
Рёмер, главный специалист Citrix по вопросам стратегии безопасности.
Соответствующее должности обучение и автоматизированный
контроль доступа на основе должности пользователя обеспечат
понимание и соблюдение сотрудниками ваших правил.
Кроме того, вы должны тщательно контролировать соблюдение
ваших правил с помощью надежной архитектуры обеспечения
безопасности. Например, меры безопасности в отношении данных
С т рат е г и и о б е с п е ч е н и я б е з о п ас н о с т и д л я у с п е ш н о го б и з н е с а
помогут защитить данные при их передаче между общественными
и частными сетями, при их хранении в облачном или локальном
хранилище и в процессе работы с ними на устройствах конечных
пользователей. Это также позволяет управлять безопасностью
устройств и других активов, с помощью которых сотрудники
получают доступ к информации, внедрять более жесткие средства
контроля безопасности в корпоративные приложения и сети, а
также управлять этими средствами как централизованно, так и при
распределенных обязанностях управления.
2. Контролируйте конфиденциальные данные
Большинство требований безопасности применяется пре­­
иму­
щественно к информации личного порядка, медицинским записям,
платежным операциям и другим категориям данных. Для соблюдения
всех требований сначала вам необходимо идентифицировать
конфиденциальные данные путем создания классификационной
модели различных видов информации, создаваемой, передаваемой
и хранящейся в вашей компании.
«Большинство компаний подразделяют данные на три–пять
категорий: от общедоступных до совершенно секретных», — говорит
г-н Блэк.
Следующий шаг — распределение данных по категориям и назначение
им первоочередности. Чтобы правильно распределить данные по
категориям, привлеките к процессу широкий ряд представителей
заинтересованных сторон, в том числе представителей ваших
бизнес-групп, юридического и производственного отделов.
3. Проверяйте, оценивайте и демонстрируйте
соблюдение требований
Комплексная отчетность о соблюдении безопасности всегда играет
важную роль, особенно если речь идет о соответствии требованиям
регулирующих органов. «Аудиторы и другие люди хотят ясных
доказательств ваших действий и обещаний», — говорит г-н Блэк.
Удовлетворение этих требований подразумевает систематическое
ведение журналов, отчетности и проведение проверок, достаточно
тщательных, чтобы отследить, когда конкретный пользователь
осуществляет доступ к конкретным приложениям и данным, и
достаточно гибких, чтобы подстраиваться под новые требования
и стандарты. Также следует создать панель отчетности, с помощью
которой ответственные менеджеры смогут следить за последними
целями и результатами в сфере соответствия требованиям
регулирующих органов. «В противном случае вам придется носиться
со сводными таблицами, теряющими актуальность еще до попадания
в нужные руки», — отмечает г-н Блэк.
Если проверка выявила бреши в мерах соблюдения требований,
полностью устраните проблемы, централизованно отслеживая
этот процесс с момента обнаружения бреши и до ее закрытия.
Обращайтесь с теми, кто обнаружил эти проблемы, как с коллегами,
а не как с неприятелями. Внутренние аудиторы могут помочь вам
обозначить риски и подтвердить необходимость в дополнительных
инвестициях в сферу безопасности. Внешние аудиторы могут
оставить ценные и беспристрастные комментарии относительно
вашего режима соблюдения требований.
Теперь вы с готовностью можете внедрять политики и механизмы
контроля за их соблюдением и защищать данные в соответствии
со степенью их конфиденциальности, местом хранения и местом
доступа. Например, вы можете выбрать минимальный контроль
общедоступных данных независимо от пользователя, сети и
устройства, но ограничить доступ к конфиденциальной информации с
собственных и потребительских устройств. Следует всегда назначать
самые строгие средства контроля для наиболее важных и секретных
данных. «Имеет смысл запрещать доступ к конфиденциальным
данным как с устройств, так и через сети, необходимый уровень
безопасности которых подтвердить невозможно», — говорит
г-н Рёмер.
Не менее полезны оказываются советы от коллег. Ваши руководители
могут оказаться не расположенными к открытому диалогу, но
руководители по обеспечению безопасности в других отраслях часто
готовы к обмену полезными идеями при условии предварительного
заключения соглашения о неразглашении информации.
Еще раз напоминаем, что решения для обеспечения безопасности
могут помочь автоматически следить за соблюдением правил на
основе классификации данных.
Следование постоянно меняющимся современным требованиям —
превосходный способ регулярной проверки своей системы защиты и
поддержания ее соответствия требованиям бизнеса к безопасности. n
Подобные возможности ясно дают понять, что при всех связанных
с этим трудностях соответствие требованиям регулирующих
органов может приносить реальный доход. «Честно говоря, причина
появления большинства таких законов и стандартов в том, что
какие-то предприятия постарались понять и предложить передовой
метод», — говорит г-н Блэк.
ОБЕСПЕЧЬТЕ БЕЗОПАСНУЮ МОБИЛЬНОСТЬ С ПОМОЩЬЮ CITRIX
ИТ-отделам необходимо обеспечивать соответствие требованиям регулирующих органов и защищать конфиденциальную информацию вне зависимости от места и
способов ее использования и хранения, даже если на одном мобильном устройстве бок о бок уживаются корпоративные и личные приложения.
Сегодня разработка действительно всеобъемлющей и безопасной стратегии обеспечения мобильности является первостепенной задачей для любой организации.
Для защиты самой важной информации выбирайте модели управления мобильностью и доставки приложений, наиболее рациональные для вашего бизнеса и ваших
сценариев использования мобильных устройств.
Кроме того, разрабатывайте стратегию обеспечения мобильности совместно с пользователями, и вы сможете лучше удовлетворить их потребности, одновременно
регламентируя свои ожидания, автоматизировать результаты, прояснить вопросы ответственности и удостовериться, что сотрудники понимают требования ИТ-отдела
относительно обеспечения соответствия требованиям регулирующих органов. Компания Citrix предлагает комплексное решение для обеспечения безопасной
мобильности предприятия с простотой и удобством работы пользователей, которые необходимы вашим сотрудникам. Используя комплексные технологии MDM,
MAM, контейнеризации, виртуализации десктопов и приложений и обмена данными по сети, это сквозное решение обеспечивает высокую гибкость для поддержки
требований вашей организации к безопасной мобильности.
Чтобы узнать больше, посетите веб-сайт www.citrix.ru/secure