Views
1 year ago

IT Professional Security - ΤΕΥΧΟΣ 46

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

T4608-10.2016 Issue IT Compliance - Ανάλυση και υλοποίηση της Συμμόρφωσης Πληροφορικής στις εταιρείες Ο κύριος σκοπός της εταιρικής συμμόρφωσης (corporate compliance) είναι να επιβεβαιώσει ότι η εταιρεία αποφεύγει τις παραβιάσεις της νομοθεσίας (αστικής, ποινικής), των κανονιστικών διατάξεων ρυθμιστικών αρχών, των συμβατικών υποχρεώσεων, καθώς και των απαιτήσεων ίναι γεγονός ότι στην πληροφορική, και με δεδομένη την τεχνολογική πολυπλοκότητα και E τους διάφορους νόμους και διατάξεις, απαιτούνται συγκεκριμένα μέτρα συμμόρφωσης. Αυτά τα μέτρα εταιρικής συμμόρφωσης θα προστατεύσουν την εταιρεία σας από τα πρόστιμα που θα επιβληθούν από τις παραβιάσεις νόμων και διατάξεων πληροφορικής (όπως του νόμου περί προστασίας προσωπικών δεδομένων, κ.λπ.), και από τα προβλήματα δυσφήμησης, πτώσης εργασιών, δυσκολίας πρόσληψης στελεχών, κ.λπ. Τι είναι εταιρική συμμόρφωση και που χρειάζεται Σε γενικές γραμμές, ‘συμμόρφωση’ σημαίνει συμφωνία με κανόνες, όπως προδιαγραφές, πολιτικές, διαδικασίες, ηθική, πρότυπα ή νομικές διατάξεις. Στο πλαίσιο επιχειρήσεων και οργανισμών, ‘εταιρική συμμόρφωση’ περιλαμβάνει την τήρηση των νομικών και επιχειρησιακών διατάξεων σχετικά με τη νόμιμη, ηθική και υπεύθυνη συμπεριφορά από την ηγεσία, τη διοίκηση, τα εποπτικά όργανα, και τους εργαζόμενους της εταιρείας. Τα μέτρα εταιρικής συμμόρφωσης προστατεύουν την εταιρία σας από τις νομικές και κανονιστικές παραβάσεις με τον πιο δυνατό τρόπο. Ο κύριος σκοπός της εταιρικής συμμόρφωσης (corporate compliance) είναι να επιβεβαιώσει ότι η εταιρεία αποφεύγει τις παραβιάσεις της νομοθεσίας (αστικής, ποινικής), των κανονιστικών διατάξεων ρυθμιστικών αρχών, των συμβατικών υποχρεώσεων, καθώς και των απαιτήσεων ποιότητας, υγιεινής της εργασίας, ασφάλειας, κ.λπ. Τα μέτρα εταιρικής συμμόρφωσης που αναφέρονται στα θέματα πληροφορικής περιγράφονται σε 3 φάσεις στη συνέχεια: 36 security

Του Ιωάννη Κυριαζόγλου * Φάση Α: Ανάλυση και Σχεδιασμός Δραστηριοτήτων Συμμόρφωσης Δράση 1: Ανάλυση εταιρικής συμμόρφωσης 1. Πραγματοποιείστε μια ανάλυση του τοπίου κανονιστικής συμμόρφωσης της εταιρείας σας και κατανοήστε τους νόμους και κανονισμούς που αφορούν την πλήρη λειτουργία της επιχείρησής σας σε όλες τις χώρες που αυτή δραστηριοποιείται. 2. Δώστε ιδιαίτερη προσοχή στους νόμους και τους κανονισμούς που σχετίζονται με την επιχειρηματική δραστηριότητα σας στις ΗΠΑ και την Ευρώπη: 2.1. Νόμοι των ΗΠΑ: GLBA, FCRA, HIPAA, Sarbanes- Oxley, κανόνας ασφαλείας 17-α 4 του χρηματιστηρίου της Νέας Υόρκης 2.2. Κανόνες Διεθνούς Τράπεζας (BIS / ΒΑΣΙΛΕΙΑ 2/3) 2.3. Πρότυπο ασφαλείας δεδομένων πιστωτικών καρτών (PCI-DSS Πρότυπο) 2.4. Διεθνείς κανονισμοί για τα πνευματικά δικαιώματα και τα διπλώματα ευρεσιτεχνίας 2.5. Νομοθεσία της Ευρωπαϊκής Ένωσης (Οδηγία 2006/46/ EC5 της Ευρωπαϊκής Ένωσης) 2.6. Οδηγίες και κανόνες συμμόρφωσης του Ελληνικού κράτους σε θέματα εταιρικής διακυβέρνησης (Νόμος 3016/20023, Νόμος 3693/20084, Νόμος 3884/2010, Νόμος 3873/2010, Νόμος 2190/19206), φορολογικά, ασφαλιστικά, λογιστικής απεικόνισης και αναφορών, τελωνειακά, εργασιακά, αστικού και ποινικού κώδικα, κ.λπ. 2.7. Κανονισμοί της Τράπεζα της Ελλάδας, κ.λπ. 3. Συλλέξτε όλα τα στοιχεία που σας αφορούν. Δράση 2: Ανάλυση συμμόρφωσης της πληροφορικής 1. Εκτός από τα παραπάνω, θα πρέπει επίσης να κάνετε το ίδιο (διεξαγωγή της ανάλυσης) για τις οδηγίες, τους νόμους και τους κανονισμούς που διέπουν και επηρεάζουν το περιβάλλον πληροφορικής και επικοινωνιών (ITC) στις τοπικές και διεθνείς αγορές που δραστηριοποιείται η εταιρεία σας. 2. Δώστε ιδιαίτερη έμφαση, για παράδειγμα, στο τι διέπει τις υπηρεσίες ηλεκτρονικού εμπορίου (e-commerce), τις ψηφιακές συσκευές, τις υπηρεσίες κοινωνικής δικτύωσης, τα συστήματα και υπηρεσίες πληροφορικής σας, και ότι γενικά έχει σχέση με το τι προσφέρετε που έχει σχέση με την πληροφορική και τις επικοινωνίες (όπως πληροφορίες, δεδομένα, προϊόντα και υπηρεσίες) στην τοπική και διεθνή αγορά. Πρέπει να προσέξετε για παράδειγμα: 2.1. Το νόμο περί προστασίας προσωπικών δεδομένων (ν. 2472/97 και ν. 2774/99, 3471/2006) 2.2. Τις οδηγίες της Τράπεζας της Ελλάδος (ΠΡΑΞΗ ΔΙΟΙΚΗΤΗ ΑΡΙΘ. 2563/19.7.2005, 1. Ενημερωτικά στοιχεία για τον έλεγχο των συστημάτων πληροφορικής και 2. Ενημερωτικά στοιχεία για τη λειτουργία των συστημάτων πληροφορικής) 2.3. Τις οδηγίες της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών 2.4. Το άρθρο 66 του νόμου 2121/93 2.5. Το άρθρο 370 του Ποινικού Κώδικα, κ.λπ. 2.6. Τις οδηγίες του Ευρωπαίου Επόπτης Προστασίας Δεδομένων 2.7. Την Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (Κανονισμός (ΕΚ) αριθ. 1882/2003), κ.λπ. 2.8. Την οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου περί αποκομιδής προϊόντων ηλεκτρονικού εξοπλισμού (της 27ης Ιανουαρίου 2003) σχετικά με τα απόβλητα ειδών ηλεκτρικού και ηλεκτρονικού εξοπλισμού και τα προϊόντα και επιμέρους εξαρτήματα αυτών μετά τη χρήση ή την απαξίωση τους (δεν πρέπει να πετιούνται στα σκουπίδια με τα άλλα οικιακά απορρίμματα, αλλά να επιστρέφονται στο σημείο πώλησης ή σε κατάλληλο σημείο ανακύκλωσης ηλεκτρικού και ηλεκτρονικού εξοπλισμού). Περισσότερες λεπτομέρειες περιέχονται στα εξής: 2.8.1. ΟΔΗΓΊΑ 2011/65/ΕΕ ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟ- ΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ της 8ης Ιουνίου 2011 για τον περιορισμό της χρήσης ορισμένων επικίνδυνων ουσιών σε ηλεκτρικό και ηλεκτρονικό εξοπλισμό (http://eur-lex.europa. eu/legal-content/EL/TXT/HTML/?uri=CELE X:32011L0065&from=EN). 2.8.2. ΟΔΗΓΊΑ 2012/19/ΕΕ ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟ- ΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ της 4ης Ιουλίου 2012 σχετικά με τα απόβλητα ηλεκτρικού και ηλεκτρονικού εξοπλισμού (ΑΗΗΕ) (http://eurlex.europa.eu/legal-content/EL/TXT/HTML/ ?uri=CELEX:32012L0019&from=EN). * Ο Ιωάννης Κυριαζόγλου είναι σύμβουλος επιχειρήσεων και συγγραφέας των βιβλίων: ‘Ασφάλεια Πληροφορικής’ (https://www.scribd.com/doc/294713875/IT- Security-Book-Greek-Version), ‘IT Strategic & Operational Controls’ και ‘Business Management Controls: A Guide’ (http://www.itgovernance.co.uk). security 37