IT-комплаенс определяет принятые правила настройки и эксплуатации цифровых систем в компаниях и общественных организациях. Он формирует требования к ИТ-безопасности, защите данных, доступности и целостности этих данных, которые должна соблюдать компания, чтобы соответствовать применимым стандартам. Эти требования, в свою очередь, вытекают из законодательно определенных норм, внутренних правил и договорных соглашений с клиентами и деловыми партнерами.
Если компании нарушают соответствие требованиям IT, им может грозить наказание в виде крупного штрафа или даже тюремного заключения для ответственных персон.
В чем разница между IT-комплаенсом и IT-безопасностью?
ИТ-комплаенс часто ошибочно определяют как синоним защиты данных и ИТ-безопасности. Однако в то время, как последние два термина касаются конкретного внедрения технологий и операционных процессов для защиты цифровых систем и информации, IT-комплаенс касается соблюдения применимых требований. Хотя требования — будь то законодательные, внутренние или договорные — часто приводят к конкретным требованиям в ИТ-безопасности или защите данных. Кроме того, нормативные требования законодателей часто не формулируются явно, а основываются на принципах.
Каждая организация несет единоличную ответственность за внедрение решений, необходимых для соблюдения предписанных принципов в соответствии со своими потребностями. Индивидуальная реализация остается за самими компаниями.
Популярным примером нормативных требований, основанных на принципах, является Bankaufsichtliche Anforderungen an die IT (BAIT — «Контрольные требования к ИТ в финансовых учреждениях», Германия). В них BaFin, орган финансового надзора, определяет обязательный набор правил для защиты ИТ в финансовой отрасли. Цель состоит в том, чтобы обеспечить безопасный дизайн систем и процессов и создать прозрачное управление.
Внутренние правила соответствия и согласованные в договоре требования к деловым партнерам обычно гораздо более четкие. В этих случаях договаривающиеся стороны определяют необходимые требования к ИТ в индивидуальном контексте.
Кому нужен IT-комплаенс?
Все частные компании, государственный сектор и прочие организации должны соблюдать принципы ИТ-комплаенса. Законодательство и надзорные органы определяют, какие требования каждая компания должна выполнять в своей конкретной отрасли. Требования к ИТ и информационным процессам сильно различаются в зависимости от отрасли, размера компании, количества клиентов и общей значимости для общества. Самые строгие требования соответствия применяются к критической инфраструктуре в секторах:
- энергетики,
- здравоохранения,
- правительства и администрации,
- продуктов питания,
- транспорта и дорожного движения,
- финансов и страхования,
- информационных технологий и телекоммуникаций,
- СМИ и культуры,
- водоснабжения.
Особенно в крупных компаниях требования комплаенс часто оказываются настолько обширными, что для надлежащего выполнения требуется специальный комплаенс IT-отдел. Во многих случаях соблюдение применимых нормативных требований подлежит выборочной проверке со стороны надзорных органов. Некоторые компании даже обязаны регулярно демонстрировать с помощью соответствующих средств, что все требования соответствия ИТ должным образом выполняются, например, с помощью отчетов внешних аудиторов.
ИТ-комплаенс имеет особое значение при аутсорсинге. Это связано с тем, что поставщики услуг обычно должны соответствовать тем же требованиям для аутсорсинговых ИТ-систем и процессов, которые также применяются к компании-подрядчику. Это делает аутсорсинг в строго регулируемых секторах особенно сложным, поскольку такие факторы, как местонахождение поставщика (особенно в случае облачных вычислений) и применимое законодательство, играют важную роль в дополнение к технической пригодности. Соблюдение нормативных требований является обязательным для сторон по договору. В таких контрактах на аутсорсинг клиент обеспечивает определенные права на аудит и контроль и оговаривает возможность привлечения субподрядчиков.
Что еще нужно знать об IT-комплаенсе?
Таким образом, ИТ-комплаенс можно определить как соблюдение применимых требований законодательства, внутренних или договорных положений. Требования касаются мер относительно защиты данных, ИТ-безопасности, доступности и целостности цифровой информации. Управление ИТ-комплаенсом отвечает за выполнение актуальных требований в соответствии с правилами. Именно этот отдел определяет, какие требования предъявляются к компании в первую очередь и как их можно реализовать наилучшим образом.
Кроме того, IT-комплаенс реагирует на изменения в законодательстве, чтобы при необходимости вносить коррективы в сферу ИТ-деятельности фирмы. Конечной целью является обеспечение принятия всех технических, организационных и кадровых мер для соблюдения применимых нормативных требований и предотвращения санкций.
