Рекомендуется организациям использовать модель контрольной структуры управления с целью эффективного достижения показателей соответствия нормативным требованиям. Использование такой модели позволит внести в контрольную структуру значимые нормативные акты и стандарты. Затем организация сможет более эффективно сосредоточить усилия на внедрении элементов управления ИТ по заданным в структуре требованиям, а не в соответствии с отдельными предписаниями.
Кроме того, с вводом в действие новых нормативных актов и стандартов, затрагивающих организацию, их можно сопоставлять со структурой и затем сосредоточивать усилия на тех ее элементах, в которых изменились требования. Более того, в контрольной структуре можно задать значительное число разнообразных требований, связанных с элементами управления ИТ, таких как требования к безопасности индустрии платежных карт, внутренние политики и т. д.
Рекомендуется использовать контрольную структуру элементов управления ИТ с целью упорядочения мер по обеспечению соответствия нормативным требованиям. Существует несколько базовых платформ, которые можно положить в основу такой структуры. К ним относятся:
контрольные показатели для информационных и связанных с ними технологий, издание 4-е (COBIT 4.0) Института управления ИТ (ITGI);
стандарт ISO 17799: практические правила управления информационной безопасностью 2005 года (ISO 17799);
библиотека по ИТ-инфраструктурам (ITIL) управления государственной коммерческой деятельности министерства финансов Великобритании;
Microsoft Operations Framework (MOF)
концепция трастовых услуг Американского института дипломированных бухгалтеров-ревизоров и Канадского института дипломированных бухгалтеров (AICPA/CICA);
концепция конфиденциальности Американского института дипломированных бухгалтеров-ревизоров и Канадского института дипломированных бухгалтеров (AICPA/CICA);
Сопоставление нормативных актов с технологическими решениями
Этот раздел посвящен сопоставлению нормативных актов с технологическими решениями. В нем представлен разработанный рабочей группой процесс преобразования не содержащих жестких предписаний нормативных актов в конкретные технологии, которые могут быть полезны для достижения соответствия нормативным требованиями в области гарантий конфиденциальности.
В разделе приводятся две таблицы сопоставления элементов управления ИТ. В каждой таблице сопоставления перечислены категории технологических решений. Каждое пересечение сетки указывает, может ли технологическое решение той или иной категории обеспечить соответствие требованиям данного элемента управления ИТ к соблюдению предписаний по охране конфиденциальности. В заключение в разделе приводится прикладной пример и обобщенное описание процедуры.
Раздел включает следующие темы.
Сопоставление нормативных актов с контрольной структурой управления. Здесь приводятся общие сведения о сопоставлении важнейших нормативных актов и стандартов с конкретными категориями технологических решений с помощью примера контрольной структуры.
Технологические решения по обеспечению соблюдения нормативных требований. В рамках этой темы описываются категории технологических решений, имеющие отношение к соблюдению нормативных требований.
Технологические решения для управления ИТ. Здесь демонстрируется, как категории контрольной структуры соотносятся с конкретными технологическими решениями. С помощью таблицы сопоставления руководители ИТ-подразделений могут определить, элементы управления ИТ какого типа им необходимо внедрить.
Прикладной пример. С помощью прикладного примера иллюстрируется, как конкретные нормативные акты обусловливают выбор конкретных технологических решений. Пример основан на сопоставлениях, ранее приведенных в этом разделе.
Заключение суммирует ключевые положения всего раздела руководства.
Сопоставление нормативных актов с контрольной структурой
В этом разделе рассматривается сопоставление важнейших нормативных актов и стандартов, упомянутых в настоящем руководстве, с конкретными категориями технологических решений с помощью примера контрольной структуры управления.
Рабочая группа сопоставила пять нормативных актов и стандартов — SOX, GLBA, HIPAA, EUDPD и ISO 17799. Во всех случаях, когда это было возможно, группа проекта проводила сопоставление с опорой на уже имеющиеся рекомендации и инструкции уполномоченных органов и государственных организаций. Документы с этими рекомендациями и инструкциями, в данном руководстве именуемые связующими документами, получили широкое признание в среде специалистов по аудитам и нормативным предписаниям как приемлемое описание требований к управлению, изложенных в этих нормативных актах и стандартах. При сопоставлении нормативных актов с примером контрольной структуры управления использовались следующие связующие документы.
Закон Сарбейнса-Оксли. Документ ссылка скрыта с изложением контрольных показателей для элементов управления ИТ применительно к этому закону, изданный ITGI и размещенный по адресу: www.itgi.org/Template_ITGI.cfm?Section=ITGI&CONTENTID=9757&TEMPLATE=/ContentManagement/ContentDisplay.cfm.
Закон Грэмма-Лича-Блайли (GLBA). Документ ссылка скрыта с изложением межведомственных инструкций министерства финансов, управления контролера денежного обращения, управления по надзору за сберегательными учреждениями, Федеральной резервной системы и Федеральной корпорации страхования депозитов США по разработке стандартов защиты данных о клиентах, размещенный по адресу: www.ffiec.gov/ffiecinfobase/resources/info_sec/frb-sr-01-15-standards_safeguard_cus_info.pdf.
Закон об унификации и учете в области медицинского страхования. Документ ссылка скрыта с изложением правил упрощения административных процедур, изданный управлением гражданских прав министерства здравоохранения и социального обеспечения США и расположенный по адресу: www.os.dhhs.gov/ocr/AdminSimpRegText.pdf.
Директива ЕС о защите данных. Полный текст директивы ссылка скрыта, опубликованный в официальном бюллетене L 281 от 23.11.1995, стр. 0031 – 0050 и размещенный по адресу: .int/eur-lex/lex/ LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML.
Стандарт ISO 17799: практические правила управления информационной безопасностью 2005 года. Доступен в ссылка скрыта по адресу: c.ch/webstore/webstore.nsf/artnum/034226.
