Также как и многих из вас, меня сбивали разговоры о совместимости. Каждый раз, когда упоминалось это слово, я сразу представлял себе, что кто пытается разобраться с кучей руководств, или что-то вроде того. В действительности я был не далек от правды. Так что же такое совместимость, и что это слово означает в компьютерном мире? Кто из вас не слышал о самом большом скандале в корпоративной истории Америки, связанным со счетами? Сразу же на ум приходит название Enron.
Это случилось в результате финансовой игры, которую затеяли руководители Enron, и которая привела к краху энергетического гиганта. После того, как все было сказано и сделано, были очень существенные жертвы. Очень многие люди, которые инвестировали в Enron большие деньги, увидели, как их сбережения испарились на глазах. Это в свою очередь вызвало «идеальный шторм» в средствах массовой информации. Средства массовой информации побудили конгресс США (US Congress) утвердить то, что сейчас известно как SOX или Sarbanes-Oxley Act. Этот акт касается напрямую не только бухгалтерского дела, но и также управления IT корпоративной Америки.
А как же это касается меня?
Последствием дела с Enron и другими высоко-профильными финансовыми компаниями стало узаконивание SOX. Теперь появилась проблема, а как управлениям IT поступить для его выполнения? SOX обязывает, чтобы все записи, касающиеся бизнеса, включая электронные записи, такие как электронная почта, должны храниться в течении периода не менее пяти лет. Вы можете сказать про себя: «Большое дело», и это действительно так. Это особенно верно, когда результатом отказа от выполнения этого акта могут быть большие штрафы и даже тюремное заключение. Это помогает мне убедить IT менеджеров, а также тех, кто стоит над ними.
Так что же делать с SOX и совместимостью? Вы должны сохранять определенные электронные записи, описанные в SOX, в течение не менее пятилетнего периода. Как специалист IT, вы должны задуматься, как это сделать. Будете ли вы хранить эти записи на внешнем или внутреннем носителе? Как поступить с резервными копиями для этих важных записей? Существует ли на сегодняшний день программное решение, которое поможет вам решить эту проблему? В действительности, есть одна компания, о которой я знаю, под названием RippleTech. В поисках решения проблемы совместимости вы можете посетить их сайт. Очень важно иметь возможность быстро и достоверно проверить различные аспекты совместимости.
Рисунок 1
Если вы перешли по ссылке, которую я предоставил выше, вы увидите, что необходима помощь в том, чтобы убедиться, что вы совместимы с SOX. Благодаря ярости матери природы, что показал нам ураган Katrina, вы можете не захотеть хранить все эти электронные записи на внутренних источниках. В результате возникает другой сценарий, к которому мы может обратиться. Это планирование резервных копий и восстановления. Я не буду вдаваться в детали о том, как это делается, т.к. совсем недавно вышла замечательная серия статей, посвященная этому, написанная Ricky M. Magalhaes. Я советую вам прочить эти статьи.
По ту сторону SOX
Проблема совместимости заходит гораздо дальше, чем акт SOX. Есть несколько других различных сегментов корпоративной Америки, с которыми необходимо соревноваться. Не все их них даже связаны с финансовыми записями. Я думаю, что большинство американцев счастливы, что HIPAA утвердили, т.к. он касается записей пациента и их конфиденциальности. Если вы никогда не слышали о HIPAA, то это расшифровывается, как Health Insurance Portability and Accountability Act. В HIPAA заключено больше, чем защита и безопасность данных, касающихся защиты и безопасности здоровья пациента.
Для обеспечения безопасности я предлагаю использовать такой инструмент, как nmap. Да именно nmap будет использоваться вами для того, чтобы помочь обеспечить безопасность для этих финансовых записей. Установить все последние обновления и меры безопасности будет очень хорошо, если вы не понимаете, что по какой-то причине открыт порт TCP 135 на маршрутизаторе. Имея такой сканер сети, как nmap, вы сможете гарантировать, что все в порядке. Ко всему этому, вы же не хотите, чтобы эти финансовые записи стали каким-либо образом доступны хакерам? Были случаи в недалеком прошлом, что хакерам удавалось зашифровать содержимое жестких дисков, а в дальнейшем они требовали выкуп за расшифровку этих записей. Помня все это, вы можете спокойно отдыхать, уверенные, что такой инструмент как nmap, который можно увидеть на рисунке ниже, поможет вам в решении проблемы совместимости.
Рисунок 2
Большая угроза для совместимости
Мы видели выше, что электронная перспектива для корпоративной Америки безвозвратно изменилась. После вступления в силу акта, описанного выше, была выполнена большая работа для решения проблемы совместимости. Было написано новое программное обеспечение, были запущены новые кампании для уведомления.
То, что я называю большой угрозой для совместимости – это большое замешательство и недопонимание самих норм и правил, регулируемых SOX. Достаточно странно, не некоторые руководители до сих пор заявляют, что их ставит в тупик язык, которым написаны эти части законодательства. CSO/CIO более, чем желают знать, что они делают свою часть работы по закону.
Замешательство и отсутствие четких руководств – это последнее, о чем мы, как специалисты по безопасности, которые в действительности выполняют свою работу, хотим слышать. Хотя еще не все потеряно. Есть несколько мест, куда можно обратиться и получить четкий и понятный совет. Вы можете посетить веб сайт Office of Management and Budget. Другое место, куда вы можете обратиться – это NIST или National Institute of Standards and Technology. NIST совершил восхитительную работу по разработке методологии, способной вам помочь в решении задач совместимости.
Резюме
В курсе этой статьи мы увидели, что благодаря корпоративным скандалам были выпущены различные законодательные акты. Хотя эти акты выпускались с добрыми намерениями, можно поспорить, что они лишь еще больше замутили воду, вместо того, чтобы четко объяснить, что нужно сделать. Существуют ресурсы, способные помочь вам в этой проблеме, такие как программные продукты, поддерживаемые поставщиками, и специализированные государственные web сайты. Это реальность, с которой мы должны иметь дело. Вы не только должны гарантировать нормальную работу процедур по сетевой безопасности, но и теперь, вы должны иметь дело с другим уровнем сложности. Просто помните, что стандартные процедуры по обеспечению безопасности по-прежнему помогут вам. Я искренне надеюсь, что эта статья была полезна для вас, и как всегда жду ваших отзывов. До новых встреч!
Источник www.windowsecurity.com