23 Марта 2006 11:03 23 Мар 2006 11:03 |

Поделиться

Корпоративный e-mail-архив: обяжут всех

страницы:   1   |   2    |   3    |  следующая

Сегодня каждая компания использует электронную почту как одно из основных средств коммуникации. При этом на крупных предприятиях ежедневный объем электронной корреспонденции может составлять десятки и сотни гигабайт. Все эти сообщения хранятся в папках персональных почтовых клиентов служащих. Вследствие постоянного обмена письмами личные ящики сотрудников "разбухают", а программа для работы с корреспонденцией начинает "тормозить". Как результат, персонал просто удаляет сообщения, например, полугодовой давности, так что эти письма можно считать безнадежно утраченными.

Считается, что эффективно функционирующая ИТ-инфраструктура должна обязательно включать средство для создания архива корпоративной корреспонденции. Более того, хранение всех входящих и исходящих сообщений является хорошим стилем менеджмента. Причин тому несколько. Так, законодательные или отраслевые стандарты требуют от компаний создавать и хранить почтовые архивы (стандарт по ИТ-безопасности "Центробанка", Basel II, Акт Сарбаниса-Оксли и т.д.). Кроме того, анализ всех входящих и исходящих сообщений является эффективным методом расследования любых корпоративных инцидентов, особенно в сфере ИТ-безопасности и финансового мошенничества. Централизованный почтовый архив решает проблему резервного копирования электронных сообщений, которую в противном случае каждый сотрудник должен решать самостоятельно. В случае возникновения юридических претензий к компании и после проведения внешнего независимого аудита, аутентичные письма из корпоративного архива могут служить доказательством в суде. Наконец, при хранении всей корреспонденции появляется возможность делать специфические выборки и решать многие деловые задачи в области маркетинга, продаж и т.д. Следует рассмотреть подробнее каждую из этих причин, так как далеко не все из них носят рекомендательный характер.

Требования отраслевых и государственных стандартов

Сегодня существует целый ряд законов, так или иначе регулирующих действия коммерческих компаний и государственных организаций по хранению, архивированию, анализу и аудиту всей обрабатываемой корреспонденции. Можно выделить российские, иностранные и международные нормативные акты, со многими из которых отечественным предприятиям приходится иметь дело.

Соглашение Basel II. Одним из наиболее важных законов является соглашение Basel II ("Международная конвергенция измерения капитала и стандартов капитала: новые подходы"), которое предъявляет целый ряд требований к национальным банковским системам и самим кредитно-финансовым организациям. Положения Basel II вступают в силу в 2006 году в большинстве стран, входящих в состав ОЭСР (Организации экономического сотрудничества и развития). Россия намерена присоединиться к этому соглашению в 2009 году.

Данный нормативный акт требует от всех финансовых компаний рассчитать кредитные, рыночные и операционные риски с целью обеспечения резервного капитала, достаточного для покрытия таких рисков. Хотя в соглашении напрямую не говорится о мерах обеспечения ИТ-безопасности и вообще об ИТ-инфраструктуре банков, операционный риск определяется документом как "прямые или косвенные убытки вследствие неадекватных или неудовлетворительных внутренних процессов, действий персонала и систем, либо внешних событий". Таким образом, угрозы ИТ-безопасности и корректное функционирование ИТ-инфраструктуры входят в состав операционных рисков. Помимо этого, соглашение Basel II явно требует от кредитно-финансовых компаний создавать архивы корпоративной корреспонденции. Таким образом, у российских банков есть несколько лет, чтобы успеть подготовиться к вступлению международного закона в силу и модернизировать соответствующим образом свою ИТ-инфраструктуру, обеспечив в частности централизованное хранение электронных писем.

Стандарт ИТ-безопасности от "Центробанка". Требования соглашения Basel II вступят в силу в России лишь в 2009 году, однако уже сейчас отечественным банкам приходится иметь дело со стандартом "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0–2006). Это уже вторая версия данного нормативного акта, которая была принята и введена в действие 26 января 2006 года Банком России.

Особый интерес представляет пункт 8.2.6.4 стандарта Банка России: "Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение информационной безопасности. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен". Таким образом, стандарт ЦБ требует от финансовых организаций не только создавать корпоративные архивы, но и обеспечивать аутентичность всей сохраняемой корреспонденции.

Следует отметить, что, несмотря на всю жесткость стандарта Банка России по многим аспектам обеспечения ИТ-безопасности, данный нормативный акт носит все-таки рекомендательный характер, отечественные банки не обязаны реализовывать требования "Центробанка" и проходить соответствующую сертификацию. Несмотря на это, есть все основания полагать, что характер стандарта легко может измениться в самое ближайшее время. В частности, сам документ содержит прямое указание на то, что это может случиться, да и стратегия Центробанка неминуемо приведет к обязательной реализации положений стандарта на практике.

Вдобавок, передовые российские банки уже обеспечили свою совместимость со многими требованиями стандарта ЦБ, а некоторые уже успешно прошли процедуру сертификации. Такая инициативность позволяет повысить привлекательность финансовой компании в глазах инвесторов и клиентов, минимизировать риски ИТ-безопасности и построить эффективно управляемую ИТ-инфраструктуру.

"Реализуя положения стандарта по ИТ-безопасности Банка России, обратите внимание на то, что корпоративный архив должен быть обязательно защищен от любых попыток несанкционированного доступа и фальсификации со стороны инсайдеров, - комментирует Денис Зенкин, директор по маркетингу компании InfoWatch, - Внедряя решение для создания централизованного хранилища во "Внешторгбанке", мы разбили роли пользователей архива так, чтобы гарантировать аутентичность всех сообщений. Наш подход включает выделение трех ролей. Администратор решения – может управлять продуктом и настраивать его, но не может получить доступ к сохраняемым сообщениям. Офицер ИТ-безопасности – не может контролировать продукт, но имеет права доступа к самой корреспонденции (для проведения расследований). Обычный пользователь – может инициировать аналитическое исследование для решения своих деловых задач. Такой подход позволяет обеспечить достаточно высокий уровень безопасности хранилища и удовлетворить всем требованиям стандарта по ИТ-безопасности Банка России и соглашения Basel II".

Федеральный закон "Об архивном деле в Российской Федерации". Данный закон был подписан 22 октября 2004 года президентом РФ. Согласно его положениям, государственные органы, органы местного самоуправления муниципального района и городского округа обязаны создавать архивы для хранения, комплектования, учета и использования архивных документов, образовавшихся в процессе их деятельности. Более того, владелец архивных документов, к числу которых относятся входящие и исходящие электронные сообщения, обязан обеспечить финансовые, материально-технические и иные условия, необходимые для комплектования, хранения, учета и использования архивных документов. Он также должен ограничить доступ к архивным документам, независимо от их форм собственности, содержащим сведения, составляющие государственную и иную охраняемую законодательством Российской Федерации тайну.

Таким образом, ИТ-инфраструктура государственной организации должна обязательно соответствовать требованиям федерального закона "Об архивном деле в Российской Федерации". Другими словами, должны быть внедрены соответствующие технические решения, позволяющие создавать архивы корреспонденции и контролировать доступ к ним.

страницы:   1   |   2    |   3    |  следующая

Поделиться

Подписаться на новости Короткая ссылка