Статья только в электронной версии журнала
ТЕХНИЧЕСКИЙ ИНСТРУКТАЖ
Новый законопроект имеет недостатки, но стоит того, чтобы его приняли
Постоянные читатели моей рубрики, вероятно, уже знают, что я не особый сторонник решать технологические проблемы с помощью законов. Будь то защита авторских прав или борьба со спамом, я все же думаю, что в этих сферах правительственные билли приносят больше вреда, чем пользы.
Однако сейчас готовится законопроект, который я бы одобрил. Конгрессмен Адам Путнам от штата Флорида в ближайшем будущем намерен внести билль под названием Corporate Information Security Accountability Act of 2003 (Закон о корпоративной ответственности в сфере информационной безопасности). Его черновой вариант опубликован по адресу www.bmck.com/ecommerce/Draft-LegDuty-to-Disclose.pdf.
Главная цель предлагаемого закона - потребовать от компаний, чьи акции обращаются на открытом рынке, осуществлять аудит своей ИТ-безопасности и сообщать его результаты в ежегодных отчетах и документации, представляемой по закону Sarbanes-Oxley. Законопроект, кроме того, требует, чтобы инфраструктура предприятий соответствовала некоторым минимальным стандартам безопасности, принятым в корпоративной практике.
Почему я поддержал бы этот билль, хотя он и обременяет бизнес дополнительными обязательствами? Да потому, что многие уклоняются от ответственности за обеспечение безопасности своих ИС. Дело не только в незащищенности данных, но и в том, что их системы можно превратить в зомби для активизации атак на другие компании.
Поскольку 2003 год уже стал одним из худших по числу вирусов, червей и проблем с безопасностью, ясно, что дальше ситуация будет только ухудшаться. Хотя часть вины лежит на взломщиках, вирусописателях и софтверных фирмах, выпускающих дефектные коды, ясно, что большую долю ответственности должен принять на себя весь корпоративный мир.
Закон заставит компании обратить внимание на безопасность и быть готовыми к неприятным вопросам о незащищенности их инфраструктуры. |
В последние годы при сокращениях бюджетов одними из первых очень часто шли "под топор" специалисты по безопасности. В итоге ИТ-безопасность становилась еще одним бременем перегруженных работников ИТ-департаментов, не имеющих должной спецподготовки для обеспечения и поддержания защиты многокомпонентных информационных систем. Масса компаний видит в ИТ-безопасности лишние затраты без осязаемой отдачи, а многие предпочитают заниматься проблемами, когда они приходят к ним в дом, ничего не делая для их предотвращения.
Corporate Information Security Accountability Act of 2003 призван постепенно изменить эту ситуацию. Меры по защите ИТ-инфраструктуры должны найти отражение в ежегодных отчетах организаций. Акционеры и правительство будут знать, что та или иная компания не выполняет базовых требований к ИТ-безопасности. Это заставит многих из них усилить защиту своих систем.
Идеален ли законопроект? Разумеется, нет. Там есть много моментов, которые в нынешней форме мне не очень нравятся. Например, предлагается поручить аудит внешним фирмам, специализирующимся на безопасности, что конечно же будет замечательно для их бизнеса, но, мне кажется, без этого можно обойтись. Ведь требования действующего закона Sarbanes-Oxley удается реализовать внутренними методами аудита, и здесь компании смогут сами контролировать свою инфраструктуру с помощью систем аудита безопасности и оценки уязвимостей.
Кроме того, согласно законопроекту минимальные требования к обеспечению безопасности будет формулировать Комиссия по ценным бумагам и биржам (SEC). По-моему, это не очен ь хорошо. Скорее всего стандарты SEC будут слишком слабы в плане технологий, но зато крайне сложны по требованиям к запрашиваемой документации.
Далеко не прост и сам вопрос о минимальных требованиях. Разумно ли предъявлять одни те же требования к компании, занимающейся э-коммерцией, крайне уязвимой к атакам через Интернет, и к производственному предприятию, имеющему открытый контакт с Интернетом через ограниченное число систем? Такой минимальный набор почти неизбежно будет слишком слаб. Но несмотря на подобные неувязки, все, что усиливает бдительность и требования к корпоративной безопасности, пойдет на пользу дела.
Именно это и есть основная причина, по которой я поддерживаю билль. Сегодня огромное число предприятий слишком мало или вовсе не заботится об ИТ-безопасности. Закон заставит их обратить на нее внимание, а также подготовиться к неприятным вопросам со стороны инвесторов и аналитиков относительно незащищенности инфраструктуры. И если эти компании станут жертвами атаки, будет сразу же ясно, кто виноват: хакер или их собственная неподготовленность к самозащите.
Не хотелось бы верить, что дела с ИТ-безопасностью пойдут еще хуже. И я приветствую любую инициативу, которая может их улучшить.