11.06.2008  Обзоры, Безопасность, Идеи и практики автоматизации

Речь в статье идет о проблемах и выгодах сочетания соответствия регулятивным требованиям с практикой безопасности ИТ. Жесткие регулятивные требования к ИТ-инфраструктуре заставляют сместить фокус в обеспечении ИТ-безопасности. Даже для решения тех задач, которыми никто не хотел заниматься, теперь находится финансирование, поскольку компании стремятся выполнять все подобные требования. Во многом это позитивная тенденция для ИТ-безопасности, но есть у нее и негативные стороны. Печально, что некоторые компании начали ставить знак равенства между соответствием регулятивным требованиям и ИБ, полагая, что соответствие таким стандартам, как PCI DSS, с такими нормами, как Health Insurance Portability, и правилами отчетности HIPAA, Sarbanes-Oxley Act (SOX) или GLB (Gramm-Leach-Billey act) автоматически обеспечивает достаточную безопасность ИТ-инфраструктуры и хранилищ данных. Но как наверняка скажут “ветераны” безопасности, это далеко не так. “Это совсем не палочка-выручалочка и не волшебная серебряная пуля, это означает лишь то, что, что вы выполнили все правила, а совсем не то, что вы обезопасили себя, — считает Алан Шаймел, директор по стратегическому развитию компании StillSecure, занимающейся безопасностью. — Итак, это хороший старт, но далеко не конец пути”. Шаймел и другие эксперты полагают, что для любой компании крайне важно осознать, что соответствие регулятивным требованиям и ИБ это не одно и то же. Некоторые практики-специалисты в области ИТ-безопасности ... читать далее.