Не секрет, что безопасность и комплаенс – концепции, которые часто идут рука об руку. Однако безопасность и соответствие требованиям не взаимозаменяемы.
Что такое безопасность?
Безопасность включает в себя все системы, инструменты и процессы, внедренные для защиты информационных и технологических активов в рамках бизнеса. Сюда входят средства контроля (гарантии или контрмеры) для защиты конфиденциальности, целостности и доступности системы и содержащейся в ней информации.
Специалисты по безопасности ищут способы защитить данные от компрометации. Они также стремятся минимизировать ущерб в случае успешной кибератаки.
Что такое комплаенс в бизнесе?
Соответствие требованиям - это акт выполнения требований безопасности для вашей отрасли или даже для конкретного клиента. Это может включать стандарты, нормативные акты, системы контроля или договорные условия, установленные для защиты сторон и их данных.
Хотя термины "безопасность" и "соответствие требованиям" иногда заменяют друг друга, понимание различий является ключом к созданию действительно эффективных программ соблюдения требований и обеспечению безопасности информации. Вот четыре способа, которыми эти инициативы отличаются друг от друга.
1. Подход к комплаенсу и подход к безопасности
Организации часто рассматривают аудиты и соблюдение нормативных требований как необходимый аспект ведения бизнеса. Однако они хотят идти по пути наименьшего сопротивления, что приводит к апатии всех вовлеченных сторон и гонке за выполнением минимальных требований для “прохождения” аудита или получения сертификации. Это создает сценарии, в которых организации менее защищены, чем могли бы быть.
Зрелые организации с надежной программой обеспечения безопасности будут стремиться превзойти минимальные требования к соответствию и сертификации. Организации, ориентированные на безопасность, всегда будут искать способы улучшить свою программу обеспечения безопасности - независимо от требований соответствия.
Если люди, управляющие программой обеспечения безопасности, заинтересованы только в улучшениях, обеспечивающих соблюдение требований соответствия, то в долгосрочной перспективе эти улучшения будут несущественными. Такой подход также может привести к тому, что они упустят возможность внедрения средств контроля и инструментов, которые действительно снижают риск для безопасности организации.
2. Способность реагировать на новые угрозы
Угрозы безопасности постоянно меняются, и компании всегда должны стремиться реагировать на них по мере их возникновения.
Рамки соответствия конкретно не предусматривают внедрение средств контроля для обеспечения снижения рисков, связанных с использованием библиотек с открытым исходным кодом. Многие рамки соответствия также не являются подходящими, когда речь заходит о понимании облачной безопасности и модели совместной ответственности.
3. Сфера охвата и подход к оценке рисков
Методы обеспечения безопасности направлены на максимальное устранение потенциальных рисков. Комплаенс не сводится к устранению рисков. Напротив, соблюдение требований показывает способность бизнеса выявлять риски и справляться с ними, когда они оказывают на него влияние.
Безопасность всегда должна охватывать всю организацию. Однако сфера соответствия требованиям может охватывать только определенные части среды организации.
Например, с помощью PCI-DSS многие организации создают среду данных о держателях карт (CDE), которая сегментирована от остальной сети компании. Это позволяет организациям сузить область соответствия требованиям PCI-DSS только до CDE, игнорируя остальную сеть, если она должным образом сегментирована.
4. Требования к технологиям
В требованиях к соответствию не будут указаны конкретные типы инструментов или технологий, необходимых для соответствия. Например, многие системы обеспечения соответствия требованиям требуют обнаружения вредоносных программ и защиты от них, но уровень обнаружения и защиты не указан.
Таким образом, хотя системы обеспечения соответствия требованиям не требуют использования расширенных средств обнаружения конечных точек и реагирования на них (EDR), расширенный инструмент EDR значительно лучше снизит риск безопасности, чем стандартные антивирусные средства.
