10.01.2013  Экспертиза, Безопасность, Сети и телекоммуникации, Финансы, страхование, недвижимость

Часто говорят, что достичь стопроцентной ИТ-безопасности и при этом сделать так, чтобы информационные технологии выполняли свои функции в полном объеме, практически невозможно. Тем не менее это достижимо, несмотря на определённые риски, которые конечно же необходимо закрывать. Для обеспечения ИТ-безопасности существует целый ряд отраслевых, государственных и корпоративных стандартов и процедур. Своим опытом в этой области поделился руководитель департамента информационных технологий страховой компании AIG (до ноября 2012 года Chartis) Андрей Давыдов. Intelligent Enterprise: Какие нормативные акты регламентируют ситуацию с информационной безопасностью у вас в компании? Как контролируется их соблюдение? Насколько глубокие изменения приходится вносить в работу систем при изменении самих документов? Велико ли противоречие между корпоративными требованиями и требованиями российских регуляторов? Андрей Давыдов: AIG является крупнейшей страховой компанией в мире. Её головной офис находится в Нью-Йорке, где устанавливаются базовые стандарты информационной безопасности. Все подразделения в других странах, в том числе и в России, должны им соответствовать, но требования локального законодательства при этом также должны соблюдаться. Не секрет, что зачастую корпоративные стандарты для финансовых организаций более жесткие, чем требования многих государственных нормативных актов, включая американский акт Сарбейнса — Оксли, которому должны соответствовать все публичные компании в ... читать далее.