Архивирование корпоративной корреспонденции
Нормативные стимулы к организации централизованного архива
Централизованный архив как инструмент ИТ-безопасности
Централизованный архив как инструмент бизнеса
Электронная почта — стандартное средство общения в бизнесе. Во многих компаниях объем почтового трафика может ежедневно достигать нескольких десятков гигабайт, а число электронных сообщений составлять десятки и даже сотни тысяч. Где чаще всего хранится вся эта корреспонденция? В персональных почтовых клиентах. А что происходит каждые полгода, когда почтовые папки сотрудников разбухают? Работники просто удаляют старые сообщения (в лучшем случае складывают их в собственные мини-архивы на CD). Неужели нет иного способа работы с письмами? Есть, и в данной статье рассказывается о том, какую выгоду бизнес может извлечь из использования централизованных архивов корпоративной корреспонденции, а также приводятся сценарии применения этих средств.
Вследствие постоянного обмена сообщениями личные ящики сотрудников действительно очень быстро разбухают, а программа для работы с корреспонденцией начинает тормозить. В результате служащие просто подчищают свои папки, например удаляя все сообщения полугодовой давности. Между тем многие международные нормативные акты требуют, чтобы ИТ-инфраструктура организации обязательно включала централизованный архив корпоративной корреспонденции. Более того, хранение всех входящих и исходящих сообщений является хорошим стилем менеджмента.
Отметим, что сегодня в России, в отличие от многих западных стран, включая США и ЕС, никто не заставляет компании организовывать централизованные архивы корпоративной корреспонденции. Тем не менее отечественные предприятия могут извлечь из этого целый ряд преимуществ. Во-первых, многие рекомендательные нормативные акты требуют от компаний создавать и хранить почтовые архивы. Во-вторых, анализ всех входящих и исходящих сообщений является эффективным методом расследования любых корпоративных инцидентов, особенно в сфере ИТ-безопасности и финансового мошенничества. В-третьих, централизованный почтовый архив решает задачу резервного копирования электронных сообщений, которую в противном случае каждый сотрудник должен выполнять самостоятельно. В-четвертых, в случае возникновения юридических претензий к компании и после проведения внешнего независимого аудита аутентичные письма из корпоративного архива могут служить доказательством в суде. В-пятых, возможность делать специфические выборки из хранилища корреспонденции позволяет решать многие деловые задачи в области маркетинга, продаж, общего менеджмента и т.д. Рассмотрим эти стимулы подробнее.
Нормативные стимулы к организации централизованного архива
Сегодня существует целый ряд нормативных актов, которые так или иначе регулируют действия коммерческих компаний и государственных организаций по хранению, архивированию, анализу и аудиту всей обрабатываемой корреспонденции. Одним из таких нормативов является стандарт ИТ-безопасности Центрального Банка Российской Федерации — «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0–2006). Пункт 8.2.6.4 этого стандарта гласит: «Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение информационной безопасности. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен». Таким образом, все кредитно-финансовые организации России, желающие следовать рекомендациям Банка России, должны создать корпоративные архивы и обеспечить аутентичность всей сохраняемой корреспонденции. Кроме того, компании должны учитывать, что стандарт ЦБ по ИТ-безопасности имеет все шансы стать обязательным для исполнения уже в самое ближайшее время. По крайней мере, подавляющее большинство (72%) российских банков считают, что это произойдет уже в ближайшие четыре года. Таковы результаты исследования «Стандарт Центробанка по информационной безопасности 2006: регулятор воспитывает банки», в ходе которого компания InfoWatch опросила более 50 отечественных кредитно-финансовых организаций.
Еще одним нормативным актом, предписывающим архивирование и хранение всей корреспонденции, является федеральный закон «Об архивном деле в Российской Федерации». Согласно его положениям, государственные органы, органы местного самоуправления муниципального района и городского округа обязаны создавать архивы для хранения, комплектования, учета и использования архивных документов, образовавшихся в процессе их деятельности. Более того, владелец архивных документов, к числу которых относятся входящие и исходящие электронные сообщения, обязан обеспечить финансовые, материально-технические и иные условия, необходимые для комплектования, хранения, учета и использования архивных документов. Он также должен ограничить доступ к архивным документам независимо от их форм собственности, содержащим сведения, составляющие государственную и иную охраняемую законодательством Российской Федерации тайну. Таким образом, ИТ-инфраструктура государственной организации должна обязательно соответствовать требованиям федерального закона «Об архивном деле в Российской Федерации». Другими словами, должны быть внедрены соответствующие технические решения, позволяющие создавать архивы корреспонденции и контролировать доступ к ним.
Отметим, что если российская компания предоставляет телекоммуникационные услуги на рынке ЕС, то она попадает под действие директивы о сохранении данных (Data Retention Directive) и также обязана обеспечить хранение электронной корреспонденции. Кроме того, все фирмы, представленные на фондовых рынках США, обязаны удовлетворять требованиям параграфа 803 закона SOX (Sarbanes-Oxley Act) и сохранять все входящие и исходящие сообщения в течение семи лет.
«Во время реализации положений стандарта ЦБ по ИТ-безопасности следует обязательно обратить внимание на то, что корпоративный архив должен быть защищен от любых попыток несанкционированного доступа и фальсификации со стороны инсайдеров. Другими словами, должна быть гарантирована аутентичность всех хранящихся сообщений, — комментирует Денис Зенкин, директор по маркетингу компании InfoWatch. — Внедряя наше решение для создания централизованного хранилища во “Внешторгбанке”, мы разбили роли пользователей архива так, чтобы обеспечить аутентичность всех сообщений. Наш подход включает выделение трех ролей: администратор решения может управлять продуктом и настраивать его, но не имеет доступа к сохраняемым сообщениям; сотрудник ИТ-безопасности не может контролировать продукт, но обладает доступом к самой корреспонденции (для проведения расследований); обычный пользователь может инициировать аналитическое исследование для решения своих деловых задач. Таким образом, нам удалось обеспечить достаточно высокий уровень безопасности хранилища и удовлетворить все требования стандарта информационной безопасности Банка России и соглашения Basel II». |
 |
| Денис Зенкин, директор по маркетингу компании InfoWatch |
Централизованный архив как инструмент ИТ-безопасности
Одним из основных преимуществ использования централизованного архива корпоративной корреспонденции является возможность провести эффективное расследование практически любого инцидента внутренней ИТ-безопасности, то есть выявить инсайдера и доказать его вину.
Сегодня во многих российских организациях сложилась порочная практика проведения внутренних расследований, при которой персональные компьютеры подозреваемых служащих арестовываются, сотрудники сгоняются со своих рабочих мест, а специалисты по ИТ-безопасности последовательно изучают электронные письма в почтовом клиенте. Недостатки такого подхода очевидны: разрушение рабочей атмосферы в компании, личная обида одного или нескольких служащих, низкая эффективность расследования. Между тем если в компании есть централизованный архив корпоративной корреспонденции, то все расследование займет от силы несколько часов, в течение которых сотрудник безопасности будет спокойно сидеть за своим компьютером и делать аналитические выборки из хранилища. Фильтры сообщений, сортировка по группам, поиск ключевых фраз — все эти инструменты позволяют довольно быстро найти любые подозрительные сообщения в общем архиве. При этом никто не беспокоит персонал и не портит атмосферу в офисе. Именно так поступают в цивилизованных компаниях, заботящихся о себе и своих служащих. Также отметим, что, по экспертной оценке компании InfoWatch, примерно 80% инцидентов внутренней ИТ-безопасности удается раскрыть путем анализа электронных сообщений. Таким образом, создание централизованного хранилища входящих и исходящих писем позволяет проводить эффективные расследования даже в крупной компании.
В США каждая компания, представленная на бирже, обязана вести архив корпоративной корреспонденции. Этого требует целый ряд правил и законов, одним из которых является SOX (Sarbanes-Oxley Act). Согласно данному закону, ответственность за реализацию требований к ИТ-инфраструктуре несут высшие исполнительные лица компании. При этом SOX предусматривает очень строгое наказание за нарушение основных положений: штрафы в размере до 25 млн долл. и лишение свободы на срок до 20 лет. Например, в 2006 году Комиссия по ценным бумагам США обязала третью по величине брокерскую фирму на Уолл-стрит — компанию Morgan Stanley — выплатить штраф в размере 15 млн долл. за нарушение процедуры хранения электронных писем. Поскольку фирма представлена на фондовом рынке, она обязана соответствовать требованиям закона SOX. На данный момент это самый большой штраф за несоответствие требованиям по созданию архива корпоративной корреспонденции. Однако представители регулирующего органа — Комиссии по ценным бумагам — особо подчеркнули, что фирмы, нарушающие требования законодательных актов по сохранению электронных писем, могут столкнуться с еще большими штрафами в будущем. |
Централизованный архив как инструмент бизнеса
Очевидно, что архив корпоративной корреспонденции снимает с рядовых служащих заботу о резервном копировании писем, а при соответствующей защите хранилища аутентичные сообщения могут быть представлены в качестве доказательств в суде. Однако это лишь верхушка айсберга, в то время как под водой скрывается множество преимуществ, особенно полезных при решении деловых задач. Рассмотрим, например, следующий типовой сценарий.
Софтверная компания выпустила очередную версию своего продукта. По прошествии нескольких месяцев глава технического департамента решил оценить динамику изменения качества работы программистов и тестеров. Для этого он просит своего подчиненного написать отчет по количеству обращений в службу технической поддержки со стороны пользователей. При этом необходимо рассортировать запросы на категории — отдельно для каждой версии программного продукта, а также предоставить динамику роста числа запросов по времени. Эта задача очень легко решается с помощью архива корпоративной корреспонденции. Служащий технического департамента делает аналитическую выборку, отфильтровывая сначала все запросы в службу технической поддержки, а потом разбивая их на различные версии продуктов (фильтрация по ключевым словам), создавая далее с помощью мощных встроенных средств аналитический отчет (отражающий динамику по времени). Все это займет не больше 30 минут. Для наглядности в этом примере не рассматриваются еще две роли: администратора корпоративного архива (настраивающего работу архива, но не имеющего доступа к самим сообщениям) и сотрудника безопасности (имеющего доступ к сообщениям, но лишенного прав для управления хранилищем). Такое разделение ролей необходимо для обеспечения аутентичности архива.
Заметим, что без использования хранилища корпоративной корреспонденции решить поставленную техническим директором задачу будет намного сложнее. Между тем с помощью централизованного архива можно решать и многие другие задачи, например изучить реакцию пользователей на появление новой услуги или нового продукта, оценить эффективность применения почтовых ресурсов компании и т.д.
Примеры решений
Рассмотрим два решения, предназначенные для организации централизованного архива корпоративной корреспонденции, — «Дозор-Джет» от компании «Инфосистемы Джет» и InfoWatch *storage от компании InfoWatch.
Система мониторинга и архивирования почтовых сообщений «Дозор-Джет» позволяет фильтровать спам и укладывать корреспонденцию в архив. Архитектура продукта состоит из трех основных компонентов: модуля фильтрации сообщений (подсистема разбора сообщений, подсистема мониторинга, подсистема реагирования), модуля хранения (архив сообщений, включая карантинную зону, база данных правил) и модуля управления системой (подсистема администрирования и подсистема управления архивом сообщений). Схема взаимодействия всех компонентов показана на рис. 1.
Рис. 1. Схема работы продукта «Дозор-Джет»
InfoWatch *storage является программным продуктом для создания архива абсолютно всех пересылаемых по сети данных (электронных сообщений, веб-трафика и т.д.) с возможностью дальнейшего анализа. Решение позволяет заказчикам создавать надежные, высокопроизводительные почтовые хранилища корпоративного масштаба с целью архивирования электронной корреспонденции, проведения ретроспективного анализа действий сотрудников, расследования инцидентов внутренней ИТ-безопасности и соответствия требованиям российского законодательства, зарубежных и международных нормативов. Продукт рассчитан в первую очередь на крупные предприятия и организации с большим объемом почтового трафика и высокими требованиями к производительности и безопасности архива.
Решение InfoWatch *storage устанавливается в корпоративной сети в виде группы двух или более логических серверов. Первый сервер (SMTP-шлюз) выполняет прием писем из корпоративной почтовой системы по протоколу SMTP и передает их в хранилище оригиналов. На втором сервере организовано два хранилища: хранилище оригиналов и аналитическое хранилище (рис. 2).
Рис. 2. Схема работы InfoWatch *storage
Продукт InfoWatch *storage предлагается как отдельно, так и в составе комплексного решения InfoWatch Enterprise Solution, предназначенного для предотвращения утечек и защиты от инсайдеров. Кроме *storage, в решение входят модули для фильтрации данных, передаваемых по каналам электронной почты и веб, а также компоненты для контроля над обращением конфиденциальной информации на уровне рабочих станций.
Отметим, что компания «Инфосистемы Джет» также позиционирует «Дозор-Джет» в качестве фильтра электронной почты, с помощью которого можно выявлять утечки. Однако это не совсем верно, так как данный продукт является, по сути, почтовым архивом, написанным на языке СУБД. Назначение «Дозор-Джет» состоит в том, чтобы разбирать и упаковывать почту в базу данных, а также анализировать ее с помощью инструментов СУБД. Такая схема работы хорошо подходит для малых и средних компаний, но не годится для крупных сетей. Дело в том, что у СУБД в данном контексте есть два больших недостатка. Во-первых, она может работать только с сигнатурами (шаблонами слов), то есть для осуществления эффективной фильтрации необходимо хранить все синтаксические формы ключевого слова (падежи, роды, спряжения, число и их сочетания) во всех русских кодировках. Во-вторых, основной приоритет СУБД — это точность выполнения запроса, а не быстродействие. При увеличении базы фильтрации требования к ресурсам растут квадратично, так как с математической точки зрения сравнение двух баз данных — это перемножение матриц. Продукт просто не сможет справиться с обработкой сообщений в компании, где число почтовых клиентов превышает 500. Поэтому практически все внедрения «Дозор-Джет» сегодня делаются на мощных серверах Sun. Однако InfoWatch *storage легко справляется с такой задачей: для обработки 1000 почтовых ящиков понадобится лишь HP Proliant DL380 за 6 тыс. долл.
Отметим, что «Дозор-Джет» не случайно назван в начале предыдущего абзаца почтовым архивом. Дело в том, что использовать этот продукт в качестве монитора почты в режиме блокирования подозрительных сообщений можно только при небольших объемах почты, да и то при отсутствии требований к максимальному времени задержки письма. Например, в ОАО «ВымпелКом» требование к системе фильтрации почты — задержка письма не более чем на секунду. Ни один архив не может этого гарантировать при разумной цене сервера. Поэтому нет ни одного внедрения «Дозор-Джет» в режиме блокирования корреспонденции более чем на 500 почтовых ящиков. Таким образом, можно резюмировать, что «Дозор-Джет» предназначен для малых и средних компаний, причем в этом сегменте продукт достойно справляется со своими обязанностями. InfoWatch *storage, напротив, идеально подходит для крупного бизнеса, а для SMB может оказаться слишком дорогим.
Резюме
Создание и хранение архивов корпоративной корреспонденции позволяет решить целый ряд важных вопросов как в сфере совместимости с законодательными актами, так и в области ИТ-безопасности и бизнеса. Подобный подход помогает эффективно справляться с теми задачами, которые раньше требовали значительно большего объема работ (например, расследование инцидентов и поиск инсайдеров), а также обеспечивает менеджеров эффективным инструментом анализа данных (для проведения маркетинговых, технических и других исследований). Таким образом, средства создания корпоративных архивов органично дополняют арсенал информационных процессов, позволяющих бизнесу повышать свою конкурентоспособность.
 |
|
