Отчет: Акт Сарбанеса-Оксли может навредить безопасности

Многомиллиардные расходы, связанные с выполнением требований Акта Сарбанеса-Оксли, ослабляют внимание компаний по отношению к соблюдению других мер безопасности, утверждают авторы нового отчета.

В понедельник международная секьюрити-ассоциация Information Security Forum (ISF) заявила, что по ее подсчетам, многие из членов этой организации, чтобы выполнить требования Акта Сарбанеса-Оксли (SOX), израсходуют на системы информационной безопасности свыше $10 млн. Членами ISF являются MetLife, CitiGroup, Electronic Data Systems и Safeway.

Консультант ISF Энди Джоунс говорит, что хотя SOX нацелен на повышение качества корпоративного управления и учета, этот закон оказался трудным для понимания специалистами по информационной безопасности. «Так как ни в самом законодательном акте, ни в официальных разъяснениях к нему не присутствует выражение „информационная безопасность”, роль, которую этот документ играет в политике безопасности, и необходимые для его исполнения средства защиты приходится определять самим организациям в контексте собственного бизнеса», — поясняет он.

ISF предупреждает, что SOX игнорирует чрезвычайно важные проблемы безопасности, связанные с риском потери информации, такие как непрерывность бизнеса и послеаварийное восстановление. Поэтому важно соответствовать более широкому набору требований ИТ-безопасности и стратегии корпоративного управления.

Джоунс предупредил также, что SOX может отвлекать внимание от более серьезных рисков для безопасности: «Для тех организаций, бизнес которых напрямую не связан с финансами, например, промышленных предприятий или сферы услуг, отвлечение внимания на обеспечение соответствия SOX в ущерб другим областям информационной безопасности может привести к пренебрежению серьезными бизнес-рисками».

«Важно, что Акт Сарбанеса-Оксли не способствует тому, чтобы организации следовали комплексному подходу, а не подходу оценки отдельных рисков, который может навредить информационной безопасности», — заключает Джоунс.

Предыдущие публикации:

2005-04-08

Переосмысление DMCA

Обсуждение и комментарии

	Михаил Елашкин - imhoelashkin.com 12 Jul 2005 6:24 PM
Перед прочтением - сжечь!

	нц 12 Jul 2005 8:31 PM
реально.. мутный перевод мутной статьи, причем ссылка на суть дела идет на англ. версию. Подразумевалось что это может породить флейм фразой "навредить безопасности", а получается что нет.

	AT 12 Jul 2005 11:08 PM
Распитие пива в ближайшем пабе тоже отвлекает от проблемм безопасности. Вывод - закрыть все пабы. А вообще это все бред - если тратяться деньги на документацию бардака которые есть, на определение кто к чему должет иметь доступ - то прочих равных условиях безопасность должна только улучшаться.

	Кораблёв Игорь 13 Jul 2005 11:39 AM
А мне понравилось. Суть правильная! Помнится, что к закону SOX впаривается COBIT. ...некто из аудиторов придумывает стандарты для обоснования собстенной необходимости. Толку от этого предприятиям - 0. В выигрыше только аудиторы. Знал реальные случаи, когда в 1С велись две- три бухгалтерии. Ну и... Как связать SOX, IT и 1С ? Если руководство реально требует от IT лажи ? SOX,COBIT, надёжность IT, достоверность информации в базе данных - вещи далёкие друг от друга.

	СЛ 13 Jul 2005 12:20 PM
А кто-нибудь читал этот SOX? По-моему, ребята решили обновить свое законодательство от 1934 года еще раз узаконив, что черное - это черное, а белое - это белое. Ну, нечем им больше заняться. Заплатили за это местным консультантам, а те и разработали закон, чтобы все предприятия строить и бабло побольше и побыстрее стричь.

← июнь 2005

7 8 10 11 12 13 14 15 17

август 2005 →