Отчет: Акт Сарбанеса-Оксли может навредить безопасности

Многомиллиардные расходы, связанные с выполнением требований Акта Сарбанеса-Оксли, ослабляют внимание компаний по отношению к соблюдению других мер безопасности, утверждают авторы нового отчета.

Многомиллиардные расходы, связанные с выполнением требований Акта Сарбанеса-Оксли, ослабляют внимание компаний по отношению к соблюдению других мер безопасности, утверждают авторы нового отчета.

В понедельник международная секьюрити-ассоциация Information Security Forum (ISF) заявила, что по ее подсчетам, многие из членов этой организации, чтобы выполнить требования Акта Сарбанеса-Оксли (SOX), израсходуют на системы информационной безопасности свыше $10 млн. Членами ISF являются MetLife, CitiGroup, Electronic Data Systems и Safeway.

Консультант ISF Энди Джоунс говорит, что хотя SOX нацелен на повышение качества корпоративного управления и учета, этот закон оказался трудным для понимания специалистами по информационной безопасности. «Так как ни в самом законодательном акте, ни в официальных разъяснениях к нему не присутствует выражение „информационная безопасность”, роль, которую этот документ играет в политике безопасности, и необходимые для его исполнения средства защиты приходится определять самим организациям в контексте собственного бизнеса», — поясняет он.

ISF предупреждает, что SOX игнорирует чрезвычайно важные проблемы безопасности, связанные с риском потери информации, такие как непрерывность бизнеса и послеаварийное восстановление. Поэтому важно соответствовать более широкому набору требований ИТ-безопасности и стратегии корпоративного управления.

Джоунс предупредил также, что SOX может отвлекать внимание от более серьезных рисков для безопасности: «Для тех организаций, бизнес которых напрямую не связан с финансами, например, промышленных предприятий или сферы услуг, отвлечение внимания на обеспечение соответствия SOX в ущерб другим областям информационной безопасности может привести к пренебрежению серьезными бизнес-рисками».

«Важно, что Акт Сарбанеса-Оксли не способствует тому, чтобы организации следовали комплексному подходу, а не подходу оценки отдельных рисков, который может навредить информационной безопасности», — заключает Джоунс.

Источник:ZDNet.ru


или введите имя

CAPTCHA