Корпоративный E-mail-архив: обяжут всех

[CI-KP]

Корпоративный e-mail-архив: обяжут всех

 

Текст статьи полностью, включая таблицы

 

Корпоративный e-mail-архив: обяжут всех Появление новых и новых законодательных и отраслевых стандартов, рекомендующих или требующих хранить всю электронную почту предприятия, в конце концов приведет к обязательному наличию корпоративных архивов корреспонденции в каждой компании. А почему бы нет? Архивы можно использовать для маркетинговых исследований и выявления инсайдеров. Вот только понравится ли это сотрудникам компаний?

 

Сегодня каждая компания использует электронную почту как одно из основных средств коммуникации. При этом на крупных предприятиях ежедневный объем электронной корреспонденции может составлять десятки и сотни гигабайт. Все эти сообщения хранятся в папках персональных почтовых клиентов служащих. Вследствие постоянного обмена письмами личные ящики сотрудников "разбухают", а программа для работы с корреспонденцией начинает "тормозить". Как результат, персонал просто удаляет сообщения, например, полугодовой давности, так что эти письма можно считать безнадежно утраченными.

 

Считается, что эффективно функционирующая ИТ-инфраструктура должна обязательно включать средство для создания архива корпоративной корреспонденции. Более того, хранение всех входящих и исходящих сообщений является хорошим стилем менеджмента. Причин тому несколько. Так, законодательные или отраслевые стандарты требуют от компаний создавать и хранить почтовые архивы (стандарт по ИТ-безопасности "Центробанка", Basel II, Акт Сарбаниса-Оксли и т.д.). Кроме того, анализ всех входящих и исходящих сообщений является эффективным методом расследования любых корпоративных инцидентов, особенно в сфере ИТ-безопасности и финансового мошенничества. Централизованный почтовый архив решает проблему резервного копирования электронных сообщений, которую в противном случае каждый сотрудник должен решать самостоятельно. В случае возникновения юридических претензий к компании и после проведения внешнего независимого аудита, аутентичные письма из корпоративного архива могут служить доказательством в суде. Наконец, при хранении всей корреспонденции появляется возможность делать специфические выборки и решать многие деловые задачи в области маркетинга, продаж и т.д. Следует рассмотреть подробнее каждую из этих причин, так как далеко не все из них носят рекомендательный характер.

 

Требования отраслевых и государственных стандартов

 

Сегодня существует целый ряд законов, так или иначе регулирующих действия коммерческих компаний и государственных организаций по хранению, архивированию, анализу и аудиту всей обрабатываемой корреспонденции. Можно выделить российские, иностранные и международные нормативные акты, со многими из которых отечественным предприятиям приходится иметь дело.

 

Соглашение Basel II. Одним из наиболее важных законов является соглашение Basel II ("Международная конвергенция измерения капитала и стандартов капитала: новые подходы"), которое предъявляет целый ряд требований к национальным банковским системам и самим кредитно-финансовым организациям. Положения Basel II вступают в силу в 2006 году в большинстве стран, входящих в состав ОЭСР (Организации экономического сотрудничества и развития). Россия намерена присоединиться к этому соглашению в 2009 году.

 

Данный нормативный акт требует от всех финансовых компаний рассчитать кредитные, рыночные и операционные риски с целью обеспечения резервного капитала, достаточного для покрытия таких рисков. Хотя в соглашении напрямую не говорится о мерах обеспечения ИТ-безопасности и вообще об ИТ-инфраструктуре банков, операционный риск определяется документом как "прямые или косвенные убытки вследствие неадекватных или неудовлетворительных внутренних процессов, действий персонала и систем, либо внешних событий". Таким образом, угрозы ИТ-безопасности и корректное функционирование ИТ-инфраструктуры входят в состав операционных рисков. Помимо этого, соглашение Basel II явно требует от кредитно-финансовых компаний создавать архивы корпоративной корреспонденции. Таким образом, у российских банков есть несколько лет, чтобы успеть подготовиться к вступлению международного закона в силу и модернизировать соответствующим образом свою ИТ-инфраструктуру, обеспечив в частности централизованное хранение электронных писем.

 

Стандарт ИТ-безопасности от "Центробанка". Требования соглашения Basel II вступят в силу в России лишь в 2009 году, однако уже сейчас отечественным банкам приходится иметь дело со стандартом "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0–2006). Это уже вторая версия данного нормативного акта, которая была принята и введена в действие 26 января 2006 года Банком России.

 

Особый интерес представляет пункт 8.2.6.4 стандарта Банка России: "Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение информационной безопасности. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен". Таким образом, стандарт ЦБ требует от финансовых организаций не только создавать корпоративные архивы, но и обеспечивать аутентичность всей сохраняемой корреспонденции.

 

Следует отметить, что, несмотря на всю жесткость стандарта Банка России по многим аспектам обеспечения ИТ-безопасности, данный нормативный акт носит все-таки рекомендательный характер, отечественные банки не обязаны реализовывать требования "Центробанка" и проходить соответствующую сертификацию. Несмотря на это, есть все основания полагать, что характер стандарта легко может измениться в самое ближайшее время. В частности, сам документ содержит прямое указание на то, что это может случиться, да и стратегия Центробанка неминуемо приведет к обязательной реализации положений стандарта на практике.

 

Вдобавок, передовые российские банки уже обеспечили свою совместимость со многими требованиями стандарта ЦБ, а некоторые уже успешно прошли процедуру сертификации. Такая инициативность позволяет повысить привлекательность финансовой компании в глазах инвесторов и клиентов, минимизировать риски ИТ-безопасности и построить эффективно управляемую ИТ-инфраструктуру.

 

"Реализуя положения стандарта по ИТ-безопасности Банка России, обратите внимание на то, что корпоративный архив должен быть обязательно защищен от любых попыток несанкционированного доступа и фальсификации со стороны инсайдеров, - комментирует Денис Зенкин, директор по маркетингу компании InfoWatch, - Внедряя решение для создания централизованного хранилища во "Внешторгбанке", мы разбили роли пользователей архива так, чтобы гарантировать аутентичность всех сообщений. Наш подход включает выделение трех ролей. Администратор решения – может управлять продуктом и настраивать его, но не может получить доступ к сохраняемым сообщениям. Офицер ИТ-безопасности – не может контролировать продукт, но имеет права доступа к самой корреспонденции (для проведения расследований). Обычный пользователь – может инициировать аналитическое исследование для решения своих деловых задач. Такой подход позволяет обеспечить достаточно высокий уровень безопасности хранилища и удовлетворить всем требованиям стандарта по ИТ-безопасности Банка России и соглашения Basel II".

 

Федеральный закон "Об архивном деле в Российской Федерации". Данный закон был подписан 22 октября 2004 года президентом РФ. Согласно его положениям, государственные органы, органы местного самоуправления муниципального района и городского округа обязаны создавать архивы для хранения, комплектования, учета и использования архивных документов, образовавшихся в процессе их деятельности. Более того, владелец архивных документов, к числу которых относятся входящие и исходящие электронные сообщения, обязан обеспечить финансовые, материально-технические и иные условия, необходимые для комплектования, хранения, учета и использования архивных документов. Он также должен ограничить доступ к архивным документам, независимо от их форм собственности, содержащим сведения, составляющие государственную и иную охраняемую законодательством Российской Федерации тайну.

 

Таким образом, ИТ-инфраструктура государственной организации должна обязательно соответствовать требованиям федерального закона "Об архивном деле в Российской Федерации". Другими словами, должны быть внедрены соответствующие технические решения, позволяющие создавать архивы корреспонденции и контролировать доступ к ним.

 

Директива Евросоюза о сохранении данных (Data Retention Directive). Данный нормативный акт был утвержден в конце 2005 года на волне борьбы с терроризмом. Закон требует от телекоммуникационных компаний, занимающихся бизнесом на территории Европы, архивировать и хранить в течение минимум одного года все данные, передаваемые по электронным каналам связи. Под действие закона попадают переговоры через мобильные и проводные телефоны, обмен документами по факсу, а также любой обмен информацией в Интернете. Авторы директивы особо отмечают необходимость создания архивов электронной корреспонденции в связи с распространенностью этого способа коммуникаций. Если российская телекоммуникационная компания планирует выход на европейский рынок или уже присутствует на нем, она обязана удовлетворить требованиям директивы о сохранении данных и организовать централизованное хранение электронной корреспонденции.

 

Акт Сарбаниса-Оксли (Sarbanes-Oxley Act). В США основным документом, регламентирующим жизненный цикл используемой в рамках компании корреспонденции и финансовой отчетности, является Акт Сарбаниса-Оксли. Этот закон был принят в 2002 году после череды скандалов, разорений и корпоративных мошенничеств. В соответствии с параграфом 803 этого нормативного документа, каждая публичная компания, представленная на фондовой бирже США, обязана сохранять как минимум на семь лет всю используемую корреспонденцию и все финансовые отчеты для возможности проведения ретроспективного анализа и аудита в будущем. В рамках Акта Сарбаниса-Оксли был создан Комитет по надзору за отчетностью открытых акционерных компаний (PCAOB – Public Company Accounting Oversight Board), который совместно с Комиссией по ценным бумагам и биржам (SEC – Securities and Exchange Commission) следит за выполнением положений закона.

 

Заметим, что ответственность за реализацию требований Акта Сарбаниса-Оксли несут напрямую высшие исполнительные лица компании. При этом закон предусматривает очень строгое наказание за нарушение основных положений: штрафы в размере до 25 млн. долларов и лишение свободы на срок до 20 лет.

 

Например, недавно Комиссия по ценным бумагам обязала третью по величине брокерскую фирму на Wall Street – компанию Morgan Stanley – выплатить штраф в размере 15 млн. долларов за нарушение процедуры хранения электронных писем, которая должна соответствовать требованиям Акта Сарбаниса-Оксли. На сегодняшний день это самый большой штраф за несоответствие требованиям по созданию архива корпоративной корреспонденции. Однако представители регулирующего органа – Комиссии по ценным бумагам – особо подчеркнули, что фирмы, нарушающие требования законодательных актов по сохранению электронных писем, могут столкнуться и с еще большими штрафами.

 

Таким образом, представители российского бизнеса, планирующие пройти процедуру IPO (первичного размещения акций на фондовом рынке) в США, обязаны обеспечить свое соответствие требованиям Акта Сарбаниса-Оксли и, следовательно, организовать централизованное хранение всех входящих и исходящих электронных сообщений.

 

Законы и нормативные акты в сфере хранения корпоративной корреспонденции

 

Название Область действия Требования

Соглашение Basel II ("Международная конвергенция измерения капитала и стандартов капитала: новые подходы")

 

Практически все банки США, Европы и России (в России с 2009 года)

Создать архивы электронной корреспонденции с возможностью проведения аналитических выборок и гарантией аутентичности сохраняемых сообщений

Стандарт Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0–2006), §8.2.6.4

 

Все российские банки, включая Центробанк (стандарт пока что носит рекомендательный характер)

§8.2.6.4: "Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение информационной безопасности. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен".

Федеральный закон "Об архивном деле в Российской Федерации"

 

Все государственные органы, органы местного самоуправления муниципального района и городского округа

Создать архивы для хранения, комплектования, учета и использования архивных документов, в том числе электронной почты. Ограничить доступ к этой информации, независимо от ее формы собственности, если она составляет государственную или иную охраняемую законодательством Российской Федерации тайну.

Директива Евросоюза о сохранении данных (Data Retention Directive)

 

Все телекоммуникационные компании, занимающиеся бизнесом на территории Евросоюза

Архивировать и хранить в течение минимум одного года всю информацию, передаваемую по электронным каналам связи: e-mail, переговоры по мобильным и проводным телефонам, факсимильные документы и т.д.

Акт Сарбаниса-Оксли (Sarbanes-Oxley Act of 2002), §803

 

Все публичные компании, представленные на фондовом рынке США

Собирать, архивировать и хранить на протяжении минимум семи лет корпоративную корреспонденцию. Должна быть гарантирована аутентичность электронных сообщений, а также реализованы механизмы, позволяющие делать выборки из архива с целью проведения полномасштабного ретроспективного анализа.

Правило 17а-4 Комиссии по ценным бумагам США (SEC Rule 17a-4)

 

Все финансовые публичные компании, представленные на фондовом рынке США

Хранить переписку с клиентами в виде отдельной базы данных. Эта база должна соответствовать нормативам по таким параметрам, как поиск и проверка информации, поддержка и архивирование. Вдобавок, должна быть обеспечена аутентичность электронных сообщений, сохраняемых в базе.

 

Источник: InfoWatch

 

Правило 17а-4 Комиссии по ценным бумагам США (SEC Rule 17a-4). Комиссия по ценным бумагам в 2004 году ужесточила требования Акта Сарбаниса-Оксли для компаний, работающих в сфере финансовых услуг. Согласно постановлению SEC Rule 17a-4, все финансовые фирмы обязаны сохранять переписку с клиентами в виде базы данных. Эта база должна соответствовать нормативам по таким параметрам, как поиск и проверка информации, поддержка и архивирование. Компании также должны обеспечить аутентичность электронных сообщений, сохраняемых в базе. Таким образом, российским финансовым компаниям, уже представленным на фондовой бирже США или планирующим разместить там свои ценные бумаги, придется следовать указанным выше правилам Комиссии по ценным бумагам.

 

Хотя именно государственное и отраслевое регулирование является основным стимулом к созданию корпоративных архивов, бизнес сам по себе может получить немало преимуществ от такого подхода. Одно из них – возможность провести эффективное расследование практически любого инцидента внутренней ИТ-безопасности, то есть выявить инсайдера и доказать его вину.

 

На данный момент в российских организациях сложилась порочная практика проведения внутренних расследований, при которой персональные компьютеры подозреваемых служащих арестовываются, сами сотрудники сгоняются со своих рабочих мест, а специалисты по ИТ-безопасности последовательно изучают электронные письма в почтовом клиенте. Недостатки такого подхода очевидны. Во-первых, провести такое расследование незаметно для персонала практически нереально. Это значит, что через несколько минут после начала следственных действий вся организация узнает – в фирме завелся "крот". Не исключено, что в результате сплетен информация дойдет до прессы или конкурентов. Во-вторых, скрыть круг подозреваемых лиц невозможно. Другими словами, каждый сотрудник, чью рабочую станцию арестовали, будет знать, что руководство ему не доверяет. Это особенно плохо отразится на общем климате среди персонала, если окажется, что инсайдера так и не удалось найти. Сотрудники могут чувствовать себя обиженными, что при определенных обстоятельствах приводит к саботажу по принципу: "Обидели незаслуженно – заслужи!". В-третьих, хоть немного подкованный ренегат догадается просто удалить компрометирующие его сообщения из почтового клиента. Так как специалисты по ИТ-безопасности не знают точно, кто из подозреваемых является инсайдером, они не станут тратить время и восстанавливать стертые данные на всех рабочих станциях подряд.

 

Между тем, если в компании есть централизованный архив корпоративной корреспонденции, то все расследование займет от силы несколько часов, в течение которых офицер безопасности будет спокойно сидеть в своем кресле и делать аналитические выборки из хранилища. Фильтры сообщений, сортировка по группам, поиск ключевых фраз – все эти инструменты позволяют довольно быстро найти любые подозрительные сообщения в общем архиве. При этом никто не беспокоит ни в чем не повинный персонал и портит рабочую атмосферу в офисе. Именно так поступают цивилизованные компании, заботящиеся о себе и своих служащих.

 

По экспертной оценке компании InfoWatch, специализирующейся на защите конфиденциальной информации от инсайдеров, примерно 80% инцидентов внутренней ИТ-безопасности удается раскрыть путем анализа электронных сообщений. Таким образом, создание централизованного хранилища входящих и исходящих писем позволяет проводить эффективные расследования даже в крупной компании.

 

Примеры решения типичных задач бизнеса

 

Очевидно, что архив корпоративной корреспонденции снимает с рядовых служащих заботы о собственном резервном копировании, а при соответствующей защите хранилища аутентичные сообщения могут быть представлены в качестве доказательств в суде. Однако это лишь верхушка айсберга, в то время как под водой скрывается масса бонусов при решении деловых задач. Приведем несколько сценариев такого использования.

 

Софтверная компания выпустила очередную версию своего продукта. По прошествии нескольких месяцев глава технического департамента решил оценить динамику изменения качества работы программистов и тестеров. Для этого он просит своего подчиненного написать отчет по количеству обращений в службу технической поддержки со стороны пользователей. При этом необходимо отсортировать запросы на категории – отдельно для каждой версии программного продукта, а также предоставить динамику роста числа запросов по времени. Эта задача очень легко решается с помощью архива корпоративной корреспонденции. Служащий технического департамента делает аналитическую выборку, отфильтровывая в начале все запросы в службу технической поддержки, потом разбивая их на различные версии продуктов (фильтрация по ключевым словам), а далее создавая с помощью мощных встроенных средств аналитический отчет (отражающий динамику по времени). Все этой займет не больше 30 минут. Для наглядности в этом примере опущены еще две роли: администратора корпоративного архива (лицо, настраивающего его работу, но не имеющего доступа к самим сообщениям) и офицера безопасности (лицо, имеющего доступ к сообщениям, но не имеющего прав для управления хранилищем). Такое разделение ролей необходимо для обеспечения аутентичности архива. Заметим, что без использования хранилища корпоративной корреспонденции решить поставленную техническим директором задачу будет намного сложнее.

 

Телекоммуникационная компания запустила новую услугу, например, новый тарифный план для доступа в Интернет или пользования мобильной связью. Директор по маркетингу хочет оценить реакцию потребителей на новинку, сравнив ее с реакцией на услугу, запущенную, скажем, в прошлом году. Он поручает написать соответствующий отчет менеджеру по маркетингу, которому при помощи администратора и офицера безопасности надо просто отфильтровать все сообщения, поступившие на публичные ящики компании и упоминающие новую услугу. Аналогично предыдущему случаю отчет составляется не более чем за 30 минут. В результате руководитель отдела маркетинга может оперировать реальными цифрами, выполняя функции контроля и планирования в деятельности своего подразделения.

 

Начальник одного из подразделений крупной компании планирует создать экспертную или просто рабочую группу по разрешению конкретного вопроса или разработке нового проекта. Отбирая членов формируемой команды, руководитель сталкивается с вопросом: "А знакомы ли рассматриваемые кандидаты друг с другом?". Вместо того чтобы приглашать к себе более десятка специалистов и спрашивать у них, знают ли они кого-нибудь в комнате, начальник просто просит "пробить" имена кандидатов в почтовом архиве. Практически наверняка люди, хоть немного друг друга знающие и работающие в одной компании, хоть раз обменивались письмами. Между тем, большое количество общих сообщений может свидетельствовать о дружбе между служащими и устойчивых товарищеских отношениях. Таким образом, опытный руководитель может учесть важную межличностную компоненту при формировании команды профессионалов.

 

Таких примеров можно приводить довольно много, так как аналитические выборки требуются во многих областях корпоративного менеджмента. Их можно использовать для оценки эффективности внутрифирменных коммуникаций, маркетинговых акций, технических решений и т.д.

 

Итоги

 

Создание и хранение архивов корпоративной корреспонденции позволяет решить целый ряд важных вопросов, как в сфере совместимости с законодательными актами, так и в области ИТ-безопасности и бизнеса. Такой подход помогает решать эффективно те задачи, которые раньше требовали значительно большего объема работ (например, расследование инцидентов и поиск инсайдеров), а также дает в руки менеджерам эффективный инструмент анализа данных (проведение маркетинговых, технических и других исследований). Таким образом, средства создания корпоративных архивов органично дополняют арсенал информационных процессов, позволяющих бизнесу повысить свою конкурентоспособность.

 

Источник