ГОСТ Р ИСО ТО 13569— 2007
95/46/ЕС [13], определили среду правового и регулятивного риска для мировых поставщиков финансовых
услуг. Политика безопасности организации должна учитывать этот риск.
Сотрудники, ответственные за обеспечение соответствия требованиям политики безопасности, долж
ны работать вместе с руководителем службы обеспечения информационной безопасности организации,
руководителем финансовой службы организации, управляющими делами, лицами, занимающимися ме-
неджме(ггом риска, и аудиторами над тем. чтобы требования информационной безопасности национальных
и международных законов и положений были доведены до работников организации и разъяснены им. От
ветственные сотрудники за оценку соответствия информационной безопасности должны следить за появле
нием новых информационных технологий или методологийоценки информационной безопасности, которые
могутстать объектом регулирования, например, за соответствием новых продуктов информационных техно
логий заранее определенным классам функциональных возможностей по информационной безопасности.
5.2.2 Требования к финансовым учреждениям
5.2.2.1 Обзор
Для учреждений финансового сектора существуют определенные правовые требования и нормы,
оказывающие влияние на безопасность ИТ. которыедолжны соблюдаться. Основная проблема заключает ся
в том, что эти требования в разных странах различны. Хотя ЕС проложил путь к устранению различий в
правовых нормах, все еще остаются национальные правовые нормы, требующие особого отношения.
Далее описываются наиболее важные законы с точки зрения поставщика финансовых услуг, действу
ющего в глобальных условиях. Описание нормативных требований представлено в виде разделов: «Орга
низационное управление», «Защита данных (неприкосновенность частной жизни)» и «Законодательство
финансового сектора», характерное для поставщиков финансовых услуг (например законы, касающиеся
легализаций криминальных доходов). Описание законодательной среды основано на требованиях финан
совой отчетности и рекомендациях, установленных в [10].
5.2.2.2 Правовые требования
5.2.2.2.1 Руководство организации
В последние годы многие национальные и региональные законодательные органы выдвинули зако
ны. касающиеся руководства организации. Среди них известны следующие: закон Сэрбэйис-Оксли (SOX)
в США. закон Kontrolle- und Transparenz Gesetz (KonTraG) в Германии и проект директивы ЕС «О руковод
стве организации». Эти три закона изменили систему правовых рисков, с которыми сталкиваются постав
щики финансовых услуг.
Закон SOX требует, чтобы все компании, ведущие свободную торговлю на фондовых биржах США,
предоставляли свидетельство наличия у них адекватных средств контроля для финансовой отчетности.
Говоря более подробно, закон SOX обязывает руководителя компании и руководителя ее финансовой служ бы
проводить оценку эффективности внутреннейсистемы контроля организации, а также принимать на себя всю
ответственность за ежегодныефинансовыеотчеты организации. В этих целях в отношении ИТ необхо димо
проводить оценку и контроль функционирования критических бизнес-приложений и связанныхс ними
рисков. Весь жизненный цикл бизнес-приложений — от первоначальной разработки до обеспечения непре
рывности бизнеса — должен подвергаться оценке и контролюс целью гарантирования наличия адекватных
защитных мер. Хотя этот закон является национальным, его применяют к любой компании, чьи акции сво
бодно продаются в США.
Немецкий закон KonTraG требуетот организации внедрения внутреннего процесса мониторинга,опре
деляющего внутренние разработки и решения, которые могут представлять высокий уровень риска для
этой организации. Это требование подразумевает, что руководстводолжно внедрять внутреннюю систему
менеджмента риска в масштабе организации. Данный закон также обязывает руководство сообщать об
идентифицированном серьезном риске в своей системе отчетности (представляемой дважды в год и еже
годно). В отношении ИТ в нем рассматривается тот же аспект, что в законе SOX. Однако, поскольку немец кие
компании, ведущие свободную торговлю, имеют двухуровневый совет директоров, требуется более
строгая система отчетности советадиректоров наблюдательномусовету. Несоответствиеданному закону
может приводить к снижению банковского рейтинга организации и, следовательно, оказывать влияние на
процентные ставки за кредиты.
ЕС разрабатывает проектдирективы, который окажет влияние на национальное законодательство ЕС,
и заключается в том. что от всех компаний, чьи акции зарегистрированы на фондовой бирже, требуется
публикация отчета об управлении организации. Данный отчетдолжен содержать подробную информацию о
совете директоров, его решениях, финансовом положении компании и соблюдении законодательства ЕС.
Кроме этого, отчет должен также включать всебя результаты независимыхаудитов. Директива имеет похо-
з-
7