|
|
Обзор Защита информации и бизнеса от инсайдеров подготовлен У российского бизнеса меньше стимулов для архивирования электронной корреспонденции, чем в Европе и СШАВ ЕС и США бизнес и госструктуры обязаны создавать централизованные архивы в соответствии с требованиями соответствующих нормативных актов. В России бремя регулирования значительно мягче, хотя некоторые законы и стандарты в сфере сбора и хранения сообщений все-таки существуют. Стимулами для организации централизованных архивов корпоративной корреспонденции являются, в частности, Стандарт ЦБ по ИТ-безопасности, ФЗ «Об архивном деле в РФ», законы SOX и HIPAA. Традиционно выделяют 5 основных причин, по которым организации применяют специализированные решения для сбора и хранения электронных сообщений. Во-первых, некоторые организации попадают под требования соответствующих стандартов и законов о создании и хранении почтовых архивов. К таковым относятся, например, стандарт Банка России по ИТ-безопасности (СТО БР ИББС-1.0–2006), российский закон «Об архивном деле в РФ», американские законы SOX (Sarbanes-Oxley Act of 2002) и HIPAA (Health Insurance Portability and Accountability Act), и т.д. Во-вторых, анализ всех входящих и исходящих сообщений является эффективным методом расследования любых корпоративных инцидентов, особенно в сфере ИТ-безопасности и финансового мошенничества. В-третьих, существует возможность интегрировать централизованное хранилище с комплексной системой защиты от утечек конфиденциальной информации и, тем самым, повысить эффективности этой системы. Кроме того, централизованный почтовый архив решает проблему резервного копирования электронных сообщений, которую в противном случае каждый сотрудник должен решать самостоятельно. В конце-концов, в случае возникновения юридических претензий к компании и после проведения внешнего независимого аудита аутентичные письма из корпоративного архива могут служить доказательством в суде. При желании таких причин можно указать гораздо больше — например, возможность делать специфические выборки из хранилища корреспонденции позволяет решать многие деловые задачи в области маркетинга, продаж и т.д. В странах Евросоюза и США бизнес и госструктуры просто обязаны создавать централизованные архивы, так как этого требуют соответствующие законодательные или нормативные акты. В России ситуация несколько иная — бремя регулирования значительно мягче, хотя некоторые законы и стандарты в сфере сбора и хранения сообщений все-таки существуют. Законы и нормативные акты в сфере сбора и хранения корпоративной корреспонденции
Источник: CNews Analytics, 2006 Таким образом, нормативное бремя российских организаций невелико: госструктуры подчиняются ФЗ «Об архивном деле в РФ», финансовые компании — соглашению Basel II и стандарту ЦБ, а все остальные организации сталкиваются с иностранными законами только при совершении международных операций, например, IPO, открытие филиалов в ЕС и т.д. Соглашение Basel II Одним из наиболее важных нормативов является соглашение Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы»), которое предъявляет ряд требований к национальным банковским системам и самим кредитно-финансовым организациям. Положения Basel II вступают в силу в 2006 году в большинстве стран, входящих в состав ОЭСР (Организации экономического сотрудничества и развития). Россия намерена присоединиться к этому соглашению в 2009 году. Данный нормативный акт требует от всех финансовых компаний рассчитать кредитные, рыночные и операционные риски с целью обеспечения резервного капитала, достаточного для покрытия таких рисков. Хотя в соглашении напрямую не говорится о мерах обеспечения ИТ-безопасности и вообще об ИТ-инфраструктуре банков, операционный риск определяется документом как «прямые или косвенные убытки вследствие неадекватных или неудовлетворительных внутренних процессов, действий персонала и систем, либо внешних событий». Таким образом, угрозы ИТ-безопасности и корректное функционирование ИТ-инфраструктуры входят в число операционных рисков. Между тем, об эффективной системе защиты от внутренних угроз не может идти речи, если компания не собирает и не сохраняет все входящие и исходящие сообщения. Другими словами, соглашение Basel II опосредованно требует от кредитно-финансовых компаний создавать архивы корпоративной корреспонденции. Таким образом, у российских банков есть несколько лет, чтобы успеть подготовиться к вступлению международного закона в силу и модернизировать соответствующим образом свою ИТ-инфраструктуру, обеспечив, в частности, централизованное хранение электронных писем. Стандарт ИТ-безопасности от Центробанка Требования соглашения Basel II вступят в силу в России лишь в 2009 году, однако уже сейчас отечественным банкам приходится иметь дело со стандартом «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0–2006). Это уже вторая версия данного нормативного акта, которая была принята и введена в действие 26 января 2006 года Банком России. Стандарт Центробанка объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Свое отражение в стандарте ЦБ нашли технологии оценки угроз и уязвимостей, а также подход к управлению рисками OCTAVE. Вдобавок, данный нормативный акт заимствует некоторые положения британской методологии оценки информационных рисков CRAMM. Особый интерес представляет пункт 8.2.6.4 стандарта Банка России: «Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение информационной безопасности. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен». Таким образом, стандарт ЦБ требует от финансовых организаций не только создавать корпоративные архивы, но и обеспечивать аутентичность всей сохраняемой корреспонденции. Следует отметить, что, несмотря на всю жесткость стандарта Банка России по многим аспектам обеспечения ИТ-безопасности, данный нормативный акт носит все-таки рекомендательный характер. «Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным правовым актом Банка России или условиями договора», — гласит стандарт ЦБ. Другими словами, отечественные банки не обязаны реализовывать требования Центробанка и проходить соответствующую сертификацию. Несмотря на это, есть все основания полагать, что характер стандарта легко может измениться в самое ближайшее время. В частности сам документ содержит прямое указание на то, что это может случиться, да и стратегия Центробанка неминуемо приведет к обязательной реализации положений стандарта на практике. «Настоящий стандарт может быть введен в действие организаций БС РФ в качестве обязательного к исполнению в случае, если такая необходимость существует», — предупреждают авторы стандарта. Вдобавок, передовые российские банки уже обеспечили свою совместимость со многими требованиями стандарта ЦБ, а некоторые успешно прошли процедуру сертификации. Такая инициативность позволяет повысить привлекательность финансовой компании в глазах инвесторов и клиентов, минимизировать риски ИТ-безопасности и построить эффективно управляемую ИТ-инфраструктуру. ФЗ «Об архивном деле в Российской Федерации» Данный закон был подписан 22 октября 2004 года Президентом РФ. Согласно его положениям, государственные органы, органы местного самоуправления муниципального района и городского округа обязаны создавать архивы для хранения, комплектования, учета и использования архивных документов, образовавшихся в процессе их деятельности. Более того, владелец архивных документов, к числу которых относятся входящие и исходящие электронные сообщения, обязан обеспечить финансовые, материально-технические и иные условия, необходимые для комплектования, хранения, учета и использования архивных документов. Он также должен ограничить доступ к архивным документам, независимо от их форм собственности, содержащим сведения, составляющие государственную и иную охраняемую законодательством Российской Федерации тайну. Таким образом, ИТ-инфраструктура государственной организации должна обязательно соответствовать требованиям федерального закона «Об архивном деле в Российской Федерации». Другими словами, должны быть внедрены соответствующие технические решения, позволяющие создавать архивы корреспонденции и контролировать доступ к ним.
Директива Евросоюза о сохранении данных Данный нормативный акт был утвержден в конце 2005 года на волне борьбы с терроризмом. Закон требует от телекоммуникационных компаний, занимающихся бизнесом на территории Европы, архивировать и хранить в течение минимум одного года все данные, передаваемые по электронным каналам связи. Под действие закона попадают переговоры через мобильные и проводные телефоны, обмен документами по факсу, а также любой обмен информацией в интернете. Авторы директивы особо отмечают необходимость создания архивов электронной корреспонденции в связи с распространенностью этого способа коммуникаций. Таким образом, если российская телекоммуникационная компания планирует выход на европейский рынок или уже присутствует на нем, она просто обязана удовлетворить требованиям директивы о сохранении данных и организовать централизованное хранение электронной корреспонденции. Закон SOX В США основным документом, регламентирующим жизненный цикл используемой в рамках компании корреспонденции и финансовой отчетности, является закон SOX. Этот закон был принят в 2002 году после череды скандалов, разорений и корпоративных мошенничеств. В соответствии с параграфом 802 этого нормативного документа каждая публичная компания, представленная на фондовой бирже США, обязана сохранять, как минимум на семь лет, всю используемую корреспонденцию и все финансовые отчеты для возможности проведения ретроспективного анализа и аудита в будущем. В рамках закона SOX был создан Комитет по надзору за отчетностью открытых акционерных компаний (PCAOB — Public Company Accounting Oversight Board), который совместно с Комиссией по ценным бумагам и биржам (SEC — Securities and Exchange Commission) следит за выполнением положений закона. Заметим, что ответственность за реализацию требований закона SOX несут напрямую высшие исполнительные лица компании. При этом закон предусматривает очень строгое наказание за нарушение основных положений: штрафы в размере до 25 млн долл. и лишение свободы на срок до 20 лет. Например, в начале 2006 года Комиссия по ценным бумагам обязала третью по величине брокерскую фирму на Wall Street — компанию Morgan Stanley — выплатить штраф в размере 15 млн долл. за нарушение процедуры хранения электронных писем в компании, которая должна соответствовать положениям закона SOX. На сегодняшний день это самый большой штраф за несоответствие требованиям по созданию архива корпоративной корреспонденции. Однако представители регулирующего органа — Комиссии по ценным бумагам — особо подчеркнули, что фирмы, нарушающие требования законодательных актов по сохранению электронных писем, могут столкнуться и с еще большими штрафами. Таким образом, представители российского бизнеса, планирующие пройти процедуру IPO в США, обязаны обеспечить свое соответствие требованиям закона SOX и, следовательно, организовать централизованное хранение всех входящих и исходящих электронных сообщений. Правила Комиссии по ценным бумагам США В случае размещения акций на биржах США финансовым компаниям необходимо обратить пристальное внимание на правило 17а-4 (SEC Rule 17a-4). Комиссия по ценным бумагам в 2004 году ужесточила требования закона SOX для компаний, работающих в сфере финансовых услуг. Согласно постановлению SEC Rule 17a-4, все финансовые фирмы обязаны сохранять переписку с клиентами в виде базы данных. Эта база должна соответствовать нормативам по таким параметрам, как поиск и проверка информации, поддержка и архивирование. Компании также должны обеспечить аутентичность электронных сообщений, сохраняемых в базе. Таким образом, российским финансовым компаниям, уже представленным на фондовой бирже США или планирующим разместить там свои ценные бумаги, придется следовать указанным выше правилам Комиссии по ценным бумагам. Закон HIPAA Закон HIPAA (Health Insurance Portability and Accountability Act) был принят в США в 1996 году. В сферу его деятельности попадают абсолютно все американские компании, хранящие или каким-либо образом обрабатывающие приватные медицинские сведения граждан. Это, прежде всего, страховые компании и учреждения здравоохранения, а также любые посредники, также имеющие доступ к приватным медицинским сведениям. В рамках закона HIPAA действует целый ряд обязательных стандартов, среди которых следует отметить Security и Privacy Rule. Согласно требованиям этих стандартов, все медицинские, страховые и финансовые организации, работающие с чувствительной медицинской информацией, обязаны хранить не менее 6 лет с момента создания или последнего использования всю свою электронную документацию. Отметим важность этого требования. За нарушение HIPAA для виновных физических и юридических лиц предусмотрена гражданская и уголовная ответственность. Так, Минздрав США может наложить гражданский штраф на организацию из расчета 100 долларов за одно несоответствие требованиям HIPAA. Кроме того, должностное лицо, которое сознательно нарушает требования закона, может быть приговорено к штрафу в размере 50 тыс. долларов и лишению свободы на срок до 1 года. Следует также обратить внимание на важность HIPAA для российских компаний. На первый взгляд может показаться, что отечественные фирмы могут столкнуться с таким регулированием только при осуществлении операций на территории США. Однако нельзя забывать высокие темпы развития российского законодательства в сфере регулирования области здравоохранения и информатизации медицинской деятельности. Это неминуемо приведет к появлению в России законов и стандартов, требования которых к безопасности медицинских сведений и сохранению корреспонденции будут аналогичны требованиям HIPAA. Архив без защиты опасен Сегодня существует целый ряд законов, так или иначе регулирующих действия коммерческих компаний и государственных организаций по хранению, архивированию, анализу и аудиту всей обрабатываемой корреспонденции. Однако при внедрении требований этих нормативов в своей организации, заказчику необходимо обратить внимание на следующий немаловажный вопрос. Дело в том, что корпоративный архив должен быть обязательно защищен от любых попыток несанкционированного доступа и фальсификации со стороны инсайдеров. Другими словами, все сообщения в архиве должны быть аутентичными. В противном случае внедрение централизованного архива будет как раз тем изменением ИТ-инфраструктуры, которое создаст новые бреши и риски ИТ-безопасности. Чтобы избежать этого, необходимо разбить роли пользователей архива так, чтобы гарантировать аутентичность всех сообщений. Может использоваться подход, который предусматривает выделение трех ролей: администратор, офицер и пользователь. Администратор решения может управлять продуктом и настраивать его, но не может получить доступ к сохраняемым сообщениям. Офицер ИТ-безопасности не может контролировать продукт, но имеет права доступа к самой корреспонденции (для проведения расследований). Обычный пользователь может инициировать аналитическое исследование для решения своих деловых задач. Только такой подход позволяет обеспечить достаточно высокий уровень безопасности хранилища и удовлетворить всем требованиям нормативных актов. Алексей Доля |