Комплаенс и вы

Многих специалистов по сетевой безопасности такие термины, как «соответствие требованиям», вселяют страх в самое сердце. Почему? Ну, проще говоря, потому что вся проблема соответствия в лучшем случае туманна, когда дело доходит до гаек и болтов.

Соответствие и вы

Что ж, как и многих из вас, я был несколько сбит с толку всеми этими разговорами о согласии. Всякий раз, когда упоминалось это слово, я мог только думать, что соблюдение означает, что вы придерживаетесь набора руководящих принципов или чего-то в этом роде. На самом деле я был не так уж далек от истины. Что же такое комплаенс и как на самом деле появилось это модное слово в мире ИТ? Кто-нибудь из вас помнит, что слышал об одном из величайших бухгалтерских скандалов в истории корпоративной Америки? Если на ум придет Enron, то вы будете в ударе по деньгам.

То, что произошло в результате игры с финансовыми оболочками, в которую играли руководители Enron, было крахом энергетического титана, по крайней мере, так думали акционеры. Когда все было сказано и сделано, были очень реальные потери. Многие, многие люди, которые вложили значительные средства в Enron в качестве части своих пенсионных сбережений, увидели, что их сбережения на старость были уничтожены. Это, в свою очередь, вызвало «идеальный шторм» в СМИ. Это освещение в СМИ, вероятно, помогло побудить Конгресс США принять то, что сейчас известно как SOX, также известное как Закон Сарбейнса-Оксли. Этот акт напрямую повлиял не только на практику бухгалтерского учета, но и на ИТ-отделы корпоративной Америки.

Только как это влияет на меня?

Последствием Enron и других громких финансовых провалов стало законодательство SOX. Теперь проблема заключалась в том, как ИТ-отделы реализовали это? SOX предусмотрел, что все деловые записи, включая электронные, такие как электронная почта, должны храниться в течение не менее пяти лет. Хотя вы можете говорить себе «большое дело», это действительно так. Это особенно верно, когда цена несоблюдения такого правила может быть прекрасным коктейлем из штрафов и возможного тюремного заключения. Эта двойная угроза действительно помогает мотивировать ИТ-менеджера, уверяю вас, а также тех, кто выше его или ее.

Теперь, что действительно является сложной частью SOX и соблюдением его требований? У вас должны быть определенные электронные записи, указанные в SOX, сохраненные в течение не менее пяти лет. Как вы, как ИТ-специалист, можете это сделать? Вы храните все эти записи на месте или предпочитаете внешнее хранилище? Как насчет резервных копий этих важных записей? Есть ли сегодня какое-либо программное решение, которое поможет вам справиться с этой проблемой? На самом деле есть одна компания, о которой мне стало известно, называется RippleTech. Если вы ищете решение для соблюдения требований, вы можете посетить их сайт. Возможность быстро и надежно проверить различные аспекты соответствия очень ценна.

фигура 1

Хорошо, если вы только что проверили ссылку, которую я предоставил выше, вы увидите, что есть помощь, чтобы убедиться, что вы совместимы с SOX. С последствиями ярости матери-природы, о чем свидетельствует ураган Катрина, вы можете не захотеть хранить эти электронные записи только на месте. Это порождает еще один сценарий, который вам придется решать. Это резервное копирование и планирование аварийного восстановления. Я не буду вдаваться в подробности, так как совсем недавно вышла отличная серия, посвященная именно тому, что написал Рикки М. Магалхаес. Слово мудрым, я бы прочитал эту серию статей.

Помимо SOX

Что ж, в мире соответствия гораздо больше, чем закон SOX. Есть несколько других, с которыми должны бороться различные сегменты корпоративной Америки. Не все из них также имеют дело с финансовой отчетностью. Я полагаю, что большинство американцев довольны тем, что HIPAA вступило в силу, поскольку оно касается историй болезни пациентов и их конфиденциальности. Если вы никогда не слышали о HIPAA, на самом деле это противоречит Закону о переносимости и подотчетности медицинского страхования. HIPAA — это больше, чем просто защита и безопасность данных, связанных со здоровьем пациентов.

До сих пор в этой статье было очень мало ориентиров безопасности, с которыми мы могли бы связать все это соответствие. Под ориентирами безопасности я подразумеваю такие инструменты, как, скажем, nmap. Да, nmap поможет вам защитить эти финансовые записи. Наличие всех последних исправлений и мер безопасности не принесет пользы, если вы не понимаете, что по какой-то причине, скажем, TCP-порт 135 открыт на маршрутизаторе. Это действительно было бы плохой идеей! Наличие сетевого сканера, такого как nmap, поможет вам убедиться, что все в порядке с точки зрения того, какие порты открыты, путем активного сканирования ваших собственных IP-адресов с помощью nmap. В конце концов, вы ведь не хотите, чтобы злоумышленники каким-то образом получили доступ к этим финансовым записям, не так ли? В недавнем прошлом были отмечены случаи, когда хакеры шифровали содержимое жестких дисков с целью получения выкупа. Имея это в виду, будьте уверены, что такие инструменты, как показанный ниже nmap, определенно по-прежнему будут играть роль в ваших усилиях по обеспечению соответствия.

фигура 2

Самая большая угроза соблюдению

Выше мы видели, что электронный ландшафт Corporate American безвозвратно изменился. С момента введения упомянутого выше законодательства было проделано много работы по обеспечению его соблюдения. Целый ряд актов, принятых Конгрессом, действительно, если не что иное, привел к кустарной индустрии, которая занимается исключительно соблюдением. Были написаны новые программы, проведены информационные кампании, но для многих на горизонте все еще маячит один айсберг.

То, что я называю самой большой угрозой, связанной с соблюдением, — это общая путаница и непонимание самих принятых правил, таких как SOX. Как ни странно, многие руководители до сих пор заявляют, что их сбивает с толку формулировка, содержащаяся в этих законодательных актах. ОГО/ИТ-директора более чем готовы убедиться, что они выполняют свою часть работы в соответствии с требованиями закона, но разобраться в основных положениях формулировок может быть непросто.

Эта путаница и отсутствие четкого направления — последнее, что мы, как профессионалы в области безопасности, должны слышать. Однако не все потеряно. Есть множество мест, куда можно обратиться за четким советом. Вы можете посетить веб-сайт Административно-бюджетного управления. Еще одно место, которое стоит посетить, — это NIST или Национальный институт стандартов и технологий. NIST проделал замечательную работу по разработке методологии, которая поможет вам в выполнении вашей задачи по обеспечению соответствия.

Заворачивать

В ходе этой статьи мы видели, что из-за скандалов с бухгалтерским учетом в корпоративном секторе принимаются различные законодательные акты. Хотя эти акты были приняты с благими намерениями, можно также утверждать, что они также еще больше замутили воду в отношении того, что именно нужно делать, чтобы стать и оставаться послушным. Существуют ресурсы, которые помогут вам в этом затруднительном положении, такие как программные решения, поставляемые поставщиками, и некоторые веб-сайты, связанные с государственными органами. Что вам действительно нужно знать, так это то, что битва за соблюдение требований — это непрекращающаяся битва, которая может и будет иметь реальные последствия, если вы этого не сделаете. Это отрезвляющая реальность, с которой вы должны иметь дело. Вы должны не только обеспечить нормальные процедуры сетевой безопасности, но теперь у вас есть еще один уровень сложности, с которым нужно иметь дело. Просто помните, что стандартные методы обеспечения безопасности по-прежнему помогут вам добиться соответствия требованиям. Я искренне надеюсь, что вам понравилась эта статья, и, как всегда, буду рад вашим отзывам. До следующего раза!