Compliance-инфраструктура и контроль рисков
Рассказ о том, что представляет собой Compliance-инфраструктура и из каких элементов она строится, хотелось бы начать с частной проблемы, которая у всех на слуху. В последнее время среди российских ИТ-компаний все чаще идут разговоры о возможных неприятностях в связи с проверками, касающимися соблюдения закона «О персональных данных».
Как известно, до недавнего времени необходимость и степень защиты персональных данных в коммерческих структурах определялись каждой компанией самостоятельно, но с принятием одноименного федерального закона от 07.07.2006 ситуация изменилась — теперь обработка персональных данных физических лиц и меры по их защите строго регламентированы и охраняются государством. При этом, согласно ст. 25, информационные системы, запущенные в эксплуатацию до даты вступления в силу данного закона (то есть до января 2007 года), должны быть приведены в соответствие с законодательством не позднее 1 января 2010 года. Остальные по умолчанию должны изначально ему соответствовать. По мере того как до обозначенной даты остается все меньше времени, появляется все больше статей и проводится все больше семинаров, где поднимаются вопросы, как защитить персональные данные в соответствии с положениями законодательства, как минимизировать затраты на создание систем защиты, какие системы должны подвергаться ревизии. Многие сталкиваются с этой проблемой впервые и с удивлением обнаруживают, что обеспечение защиты персональных данных — лишь часть сложного комплекса мер по обеспечению эффективного управления ИТ, контроля рисков и выполнения требований законодательства. Оказывается, на Западе совокупность мер, направленных на решение данной проблемы, уже давно окрестили одним термином GRC, то есть Governance, risk management, and compliance . А совокупность мер, направленных на решение проблемы, выраженная в денежном выражении, получила название Compliance Infrastructure Market . Что же это за рынок? Из чего он состоит? Ответ на эти вопросы позволяет гораздо лучше представить масштабы проблемы, понять, на каком уровне и какими средствами ее следует решать. Об этом и пойдет речь в данной статье.
Итак, что же такое Compliance Infrastructure Market? Согласно определению IDC, это совокупность расходов на аппаратное и программное обеспечение, а также на ИТ-услуги, которые идут на обеспечение мер по эффективному управлению ИТ, контролю рисков и выполнению требований законодательства. Схематично Compliance-инфраструктура представлена на рисунке.
В верхней части рисунка представлены те нормативные документы, исполнение которых, собственно, и должна обеспечить организация, обрабатывающая информационные потоки. Эти документы регламентируют самые разные аспекты создания, хранения и обмена разного рода данными. Посмотрим, что же это за документы. Несмотря на то что на рисунке приведены названия нормативных документов, которые актуальны для правового поля США, следует отметить, что аналогичные направления существуют или начинают формироваться и в российском законодательстве. Что касается тех компаний, которые интегрируются в международный бизнес, то знакомство с вышеупомянутыми нормативными актами представляется еще более актуальным. Итак, рассмотрим эти документы подробнее.
SOX (Sarbanes-Oxley Act) — закон Сарбэйнза — Оксли, который определяет (ужесточает) требования к финансовой отчетности и процессу ее подготовки. В соответствии с данным законом для акционерных обществ открытого типа создается новый режим контроля и регулирования финансовой деятельности; производятся существенные изменения в области управления и требований к раскрытию информации. В документе рассматриваются вопросы независимости аудиторов, корпоративной ответственности, финансовой прозрачности, конфликта интересов, корпоративной финансовой отчетности и др.
Basel II — нормативный документ, нацеленный на повышение качества управления рисками в банковском деле. Следование документу требует от банков не только внедрения более чувствительных к рискам оценок кредитных рисков, но и повышенного внимания к операционному риску — главной причине банковских проблем.
Corporate governance — нормативные документы, определяющие процесс управления и контроля работы корпорации; система, с помощью которой реализуются права акционерной собственности, представляющая собой комплекс взаимоотношений между менеджментом, Советом директоров, инвесторами и прочими группами влияния.
eDiscovery — совокупность норм, регламентирующих правила электронного предоставления документов в судебных процессах. Данная процедура связана с анализом информации в электронном виде. Сегодня многие предприятия хранят часть важных документов в электронном формате. Электронная информация, как правило, сопровождается мета-данными. Операции с электронными документами, в частности операции с мета-данными, создают возможность фальсификации документов. eDiscovery является важной частью гражданских и уголовных судебных процессов и связана с процедурой доказательства подлинности электронных документов. Если компания вовлечена в судебную тяжбу, существует вероятность того, что от нее потребуют предоставления потенциальных улик в цифровом формате. Неспособность предоставить материал может стать препятствием для судебного процесса, снизить шансы компании на превосходство в деле.
HIPAA — нормативный документ, регламентирующий некоторые аспекты, связанные с медицинским страхованием, в частности призванный защитить приватность персональной медицинской информации.
SB1386 — нормативный акт, регламентирующий приватность персональных данных.
FISMA — нормативный документ, регламентирующий вопросы нарушения информационной безопасности, которые могут повлечь ущерб экономической и национальной безопасности США.
GLBA — закон, регламентирующий безопасность и конфиденциальность персональной информации клиентов «финансовых институтов».
Как следует из описания вышеперечисленных документов, они охватывают все уровни рисков, связанных с нарушением правил создания, хранения и передачи информации как на государственном и корпоративном, так и на персональном уровне.
Compliance-инфраструктура должна обеспечить исполнение всей совокупности данных нормативных актов. При этом очевидно, что нормативные акты носят описательный характер. Задача компании, которая создает compliance-инфраструктуру, перевести эти правила в набор ИТ-политик, идентифицировать все ИТ-ресурсы компании, которые связаны с созданием, поддержкой и обменом данных и должны соответствовать этим политикам, организовать решения, поддерживающие данные ИТ-политики в отношении приложений, баз данных, систем хранения информации, и соответствующий контроль за их соблюдением. Сompliance-инфраструктура должна обеспечивать безопасное использование и обмен деловой информацией внутри и между компаниями, обеспечивать доступность и целостность информации, позволять предприятиям лучше управлять изменениями корпоративной ИТ-среды, обеспечивать уровень обслуживания и доступность ИТ-процессов на уровне, зафиксированном в SLA. Решения в этой области сводятся к управлению записями, ИТ-инфраструктурой, ИТ-операциями, доступностью и безопасностью приложений.
Как показано на рисунке, GRC можно условно поделить на GRC управления информацией (Information management GRC) и GRC управления ИТ. GRC управления информацией в первую очередь контролирует вопросы создания и сохранения электронной информации, обеспечения конфиденциальности данных, соответствия информации нормативным документам, обеспечивает возможность предоставления данных по запросам судебных и регулятивных органов. GRC управления ИT фокусируется на обеспечении целостности ИТ-инфраструктуры, непрерывности процессов, обеспечивающих хранение и обмен информацией. При этом очевидно, что зоны информационного GRC и ИT GRC перекрываются. GRC управления информацией, а также ИТ GRC базируются на ряде общих подсистем хранения, защиты и поддержки информационных систем.
GRC управления информацией
В первую очередь к GRC управления информацией относятся приложения по созданию и управлению контентом, или контент-приложения (Content applications). Данные приложения используются для централизованного документирования корпоративных данных и контроля за исполнением корпоративных политик, отвечают за сбор и ввод документов различными методами. Эти приложения применяются для индексирования и каталогизирования информации, определения рабочих потоков документов, формирования сигналов оповещения при нарушении соответствующих ИТ-политик. Такие функции контентных приложений, как проведение учета, аудита и протоколирования документов, обеспечение безопасности документов, управление правами для их создания, редактирования, размещения, удаления и контроля за нарушением интеллектуальной собственности, имеют прямое отношение к вопросам GRC управления информацией.
К блоку GRC управления информацией относятся также приложения для совместной работы (Collaborative applications) — это приложения, которые позволяют группам пользователей работать совместно на основе разделения ресурсов и обмена информацией. Данные приложения включают интегрированные среды для совместной работы, приложения-мессенджеры и приложения для совместной работы. Данные приложения порождают новые документы, которые должны соответствовать определенным ИТ-политикам. Например, такие документы могут потребоваться в разного рода судебных разбирательствах. Чтобы доказать подлинность того или иного электронного документа в суде, необходимо доказать, кто создал файл, когда он был создан, где хранился, кто имел к нему доступ, кто его просматривал, копировал, редактировал, передавал или иным образом взаимодействовал с файлом во время всего его существования, когда, почему и кем любая его часть (включая мета-данные) была изменена или удалена.
Как видно на рисунке, к блоку GRC управления информацией относятся не только приложения, но и ИТ-услуги — например услуги ИТ-консалтинга в области eDiscovery.
GRC управления ИТ
Согласно определению президента ISACA и Института управления ИТ Эверетта Джонсона (Everett Johnson), «по существу ИT GRC преследует две цели: достижение экономических результатов и снижение бизнес-рисков от ИТ».
ИT GRC состоит из политик, процессов и технических процедур, направленных на контроль операционных рисков, удовлетворение нормативных требований, а также обеспечение доступности, целостности и безопасности ИТ-процессов и услуг. ИT GRC отвечает за то, что приложения, базы данных и вычислительные ресурсы удовлетворяют определенному уровню обслуживания.
В первую очередь к блоку GRC управления ИТ следует отнести ПО управления системными и сетевыми ресурсами, которое призвано обеспечивать доступность и производительность всех вычислительных ресурсов на уровне, который регламентирован со стороны ИТ GRC. Данное ПО включает такие подсистемы, как ПО обработки событий (автоматизирует реакцию системы на простой и выдает сигнал оповещения), ПО управления производительностью (отслеживает показатели работы ИT-ресурсов и доступности приложений), ПО управления проблемами (включает Help Desk-приложения, ответственные за координацию и разрешение инцидентов и предотвращающие потери и игнорирование запросов), ПО управления сетевыми ресурсами (обеспечивает безопасность и производительность работы сети).
К GRC управления ИТ относят также средства разработки приложений, которые ответственны за обеспечение безопасной разработки как традиционных, так и веб-приложений.
ПО промежуточного слоя автоматизации и интеграции, которое также отмечено в данном блоке, служит для поддержки безопасной разработки, тестирования, настройки и развертывания приложений. Оно предназначено для прогнозирования и выявления проблем на ранней стадии разработки ПО, оптимизации производительности приложений, сокращения времени обработки циклов, удаления ошибок, избыточности, улучшения масштабируемости, скорости работы приложений и оптимизации инфраструктуры, в которой эти приложения работают.
К блоку GRC управления ИТ также относятся средства обеспечения качества ПО на этапе жизненного цикла разработки, которые отвечают за управление рисками на протяжении всего жизненного цикла разработки приложений — от проектирования до внедрения.
ПО интеграции и обеспечения доступа к данным предназначено для сбора данных для использования их другим программным обеспечением или приложением-презентацией для конечных пользователей. Информация собирается по разным аспектам и упорядочивается таким образом, чтобы ее можно было эффективно применять в разных приложениях, витринах данных, хранилищах данных в зависимости от требований в конкретной компании. Назначение данного ПО состоит в обеспечении целостности информации в ходе ее интеграции из нескольких источников при наличии их тематического перекрытия.
ПО для управления проектами и портфелями проектов служит для управления группой текущих или планируемых проектов с целью определения оптимального сочетания и последовательности предлагаемых проектов. В рамках портфеля проектов можно оценить итоговую полезность набора проектов, каждый из которых может не давать самостоятельной пользы бизнесу. Процесс управления портфелем проектов заключается главным образом в определении бизнес-стратегии при наличии общих ограничений на портфель проектов в целом, в постоянном контроле и изменении проектов в соответствии с заданными политиками.
Особую роль в блоке ИT GRC занимает ПО управления безопасностью и уязвимостями, которое включает инструменты регистрации, измерения и протоколирования фактов нарушения безопасности. Данное ПО ответственно за мониторинг соблюдения политики безопасности, предотвращение инцидентов утечки данных, своевременность установки патчей, нарушающих безопасность системы, сбор данных и регистрацию событий, которые могут способствовать появлению уязвимостей, провоцирующих разного рода атаки.
И наконец, последним в данном блоке помечено системное ПО обеспечения доступности и кластеризации. Данное ПО виртуализирует системные сервисы от нескольких систем таким образом, что они выступают как один вычислительный ресурс. Данные приложения определяют, какой процессор или система имеют максимальную емкость, и перераспределяют нагрузку на данный ресурс, обеспечивая устойчивость к колебаниям нагрузки и доступность (работоспособность), соответствующую заданным параметрам, которые должны быть регламентированы со стороны ИT GRC.
Общие подсистемы
В первую очередь к данному блоку необходимо отнести средства управления информацией и данными (Information and Data Management Software). Эта категория ПО включает продукты, которые управляют набором определенных данных, хранящихся в одной или нескольких базах данных. Речь может идти о единичной базе данных, доступ к которой осуществляется отдельным приложением, либо о наборе распределенных баз данных, доступ к которым предоставляется множественными приложениями в разных местах. Определяющая характеристика всех продуктов для управления информацией и данными заключается в том, что они используют правила организации и поведения данных наряду с правилами, определяющими их целостность, значимость и безопасность. Корпорациям, которые пренебрегают качеством своих данных, в конечном счете грозят потеря капитала и снижение эффективности бизнеса. Средства управления информацией и данными позволяют организациям поддерживать чистоту и конфиденциальность информации в электронном бизнесе, взаимоотношениях с клиентами и приложениях хранения больших объемов данных.
ПО систем хранения данных отвечает за непрерывность функционирования ИТ-инфраструктуры, обеспечивающей хранение данных. Это ПО ответственно за многие процессы, включая архивирование, восстановление, репликацию, защиту данных, управление файловой системой СХД и т.п.
Из систем безопасности в данном блоке IDC выделяет системы контент-контроля (Content Control), которые призваны осуществлять контроль за содержанием потоков информации, передаваемых из компании в Интернет и получаемых из него. К задачам этих систем относятся также проверка информации, хранящейся в локальной сети предприятия, контроль за содержанием корпоративной электронной почты, а также контроль за просматриваемой сотрудниками информацией, например с целью предотвращения использования Интернета сотрудниками в личных целях в рабочее время. Вероятность получения из Сети недостоверной, оскорбительной, пиратской или запрещенной по другим причинам информации весьма велика. Если найти ответственных за присутствие в Интернете подобной информации не всегда возможно, то за наличие ее в локальной сети предприятия несут ответственность его руководители. В европейских странах подозрение, возникшее у официальных правоохранительных органов на предмет наличия детской порнографии на компьютерах сотрудников, является достаточной причиной для того, чтобы опечатать компьютеры и конфисковать их для дальнейшего расследования.
В блок общих подсистем отнесено ПО для управления идентификацией и доступом (IAM). ПО для управления идентификацией и доступом (Identity and Access Management, IAM) включает:
- IM-приложения (Identity Management) — это системы централизованного управления учетными записями и правами доступа, позволяющие предоставить сотрудникам доступ к необходимой информации в масштабах предприятия в соответствии с корпоративной политикой безопасности;
- AM-приложения (Access Management) — это системы, обеспечивающие создание логической прослойки аутентификации и авторизации между пользователями и корпоративными приложениями. Обычно решение предоставляет ряд дополнительных возможностей, таких как использование различных методов и комбинаций методов аутентификации и сервисы однократной регистрации SSO (Single Sign-On). Однократная регистрация позволяет применять аутентификацию, произведенную одной из систем, в других системах. Как известно, систем, требующих авторизации, становится все больше, и необходимость вводить пароль к каждому из приложений замедляет работу. SSO-приложения позволяют решить эту проблему;
- IAM-решения актуальны для компаний, имеющих распределенную организационную структуру с большим количеством сотрудников при наличии корпоративных веб-приложений, систем документооборота и т.д.
Очевидно, что функционирование вышеописанных систем невозможно без оказания соответствующих ИТ-услуг по поддержке ИТ-инфраструктуры, прежде всего систем хранения и передачи данных, услуг по обеспечению безопасности. И наконец, в основе всей ИТ-инфраструктуры лежит то аппаратное обеспечение, на котором все указанные приложения функционируют.