Выполнение требований Sarbanes-Oxley: решения Novell

Рассматривается портфель инновационных и всесторонних решений, который включает все необходимые продукты и компоненты, позволяющие обеспечить требования SOX в области управления идентификацией и доступом к критически важной информации.

Развитие современного бизнеса характеризуется постоянными изменениями. Большинство изменений вызвано необходимостью следовать большому количеству государственных и отраслевых законодательных актов и правил. У предприятий нет другого выхода, кроме как соответствовать данным нормам и правилам, даже если им приходится это делать в условиях ограниченных ресурсов. Компании вынуждены одновременно решать целый ряд комплексных задач, и сосредотачиваться на стратегических проектах, чтобы «остаться в бизнесе» и получать преимущества в конкурентной борьбе.

НОРМАТИВ РАСКРЫТИЯ ИНФОРМАЦИИ

Sarbanes-Oxley Act (SOX или Sarbox) является образцом норматива по работе с критичной информацией и ресурсами, которому необходимо следовать для того, чтобы оставаться успешным на рынке. Для удовлетворения требований SOX компании, чьи акции представлены на американском фондовом рынке, должны предоставлять точные финансовые отчеты. Помимо этого, они должны обеспечить условия для работы аудиторов, проверяющих и оценивающих достоверность финансовых данных, предоставляемых компанией.

Public Company Accounting Oversight Board (PCAOB, орган, руководящий процессами аудита Sarbanes-Oxley) издал ряд пояснений, которые должны помочь организациям и аудиторам понять, на чем следует сосредоточиться при проверке, чтобы минимизировать стоимость аудита.

Раздел 103: Аудит, контроль качества, независимые стандарты и правила. Среди различных требований раздела 103, есть и то, что компании должны поддерживать возможность проведения аудита, сохраняя важные документы в течении как минимум семи лет.

Раздел 302: Корпоративная ответственность за финансовые отчеты. CEO и CFO должны персонально подтверждать правильность финансовых отчетов.

Section 404: Управление и оценка системы внутреннего контроля. Должностные лица должны реализовать, оценить и отчитаться об эффективности проводимого ими внутреннего контроля.

Section 409: Оперативное раскрытие. Компании должны оперативно (в реальном времени) разглашать информацию о любых событиях, которые могут вызвать существенные изменения в их финансовом положении.

Способность компании реагировать на эти требования тесно связана с безопасностью и контролем доступа, организованными в их ИТ-инфраструктуре и бизнес-приложениях, так как именно они обеспечивают процесс получения финансовой отчетности и выполняют относящиеся к этому действия. Любой неавторизованный доступ к финансовым данным, хранимым и обрабатываемым в компьютерных системах и приложениях, может поставить под угрозу способность компании выполнять требования SOX.

В силу той ключевой роли, которую технологии играют при хранении финансовых данных и обеспечении доступа к ним, и поскольку 302 раздел Sarbanes-Oxley требует, чтобы CEO и CFO лично подтверждали точность финансовых отчетов их компаний, настоятельно рекомендуется, чтобы CIO обеспечили следующие моменты:

  • сделать все, чтобы CEO и CFO были уверены в достоверности данных, приведенных в финансовых отчетах (Раздел 302);
  • контролировать и обезопасить доступ к документам, записям и финансовым данным (Раздел 404);
  • сохранять электронные документы и записи в течение семи лет и гарантировать их целостность (раздел 103);
  • проверять (посредством регистрационных журналов и отчетности ИТ-аудита) все сетевые доступы, которые могут воздействовать на финансовые приложения и финансовые данные (Раздел 404);
  • обеспечить оперативные отчеты о событиях, которые могут повлечь за собой существенные изменения в прибыльности компании (Раздел 409).

При достижении целей, которые SOX выдвигает перед компаниями, их ИТ-руководители сталкиваются в большинстве случаев с уникальным набором проблем.

Проблемы также возникают в силу отсутствия выделенных бюджетов на выполнение нормативных требований, на выполнение требований безопасности, на выполнение других бизнес-требований. Поэтому CIO приходится ломать голову, как распределять средства единого бюджета на различные запросы бизнеса. Для максимального эффекта от технологических инвестиций, CIO необходимо внедрять надежную модель, которая может применяться для выполнения различных требований, определяющих уровень ИТ-контроля.

Еще важнее то, что CIO должен добиваться всего этого, располагая твердой уверенностью в том, что потребности основного бизнеса успешно удовлетворяются. Иначе говоря, ему приходится решать задачу эффективного распределения информационных бизнес-ресурсов с партнерами, клиентами и разветвлённой сетью филиалов, одновременно обеспечивая безопасность систем и данных компании.

УПРАВЛЕНИЕ ИДЕНТИФИКАЦИЕЙ И ДОСТУПОМ ДЛЯ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ SOX

Когда речь заходит о безопасности системы и о контроле доступа к системам и приложениям, SOX не является излишне педантичным. Тем не менее, сравнивая с SOX лучшие отраслевые практики безопасности и контроля информации, яснее становятся следующие общие правила для внутреннего контроля:

  • права доступа в распределенных и сетевых окружениях должны эффективно контролироваться и управляться;
  • компании должны быть готовы к немедленной отмене доступа бывших сотрудников или контрагентов к приложениям, файлам, хранимым данным и системам;
  • компании должны быть готовы подтвердить, что только авторизированные пользователи имеют доступ к «закрытой» информации и системам;
  • должен быть реализован контроль доступа к многопользовательским информационным системам, исключая дублирование учётных записей;
  • распределение паролей должно быть официально формализовано, политики безопасности паролей должны быть ужесточены;
  • должны быть незамедлительно приняты меры для предотвращения неавторизированного доступа к ресурсам компьютерных систем и информации, содержащейся в прикладных системах;
  • должны проводиться периодические проверки и переоценки прав доступа и привилегий.

По сути, все эти требования касаются доставки правильной информации и бизнес-процессов необходимым людям, при строгом соблюдении контроля идентичности.

Решение предоставлять работникам доступ к бизнес-ресурсам или данным основывается на их роли в самой компании или же по отношению к компании, что обеспечивается «идентификационной информацией». К сожалению, в большинстве организаций подобная информация разбросана по многим системам, что приводит к необходимости использования ИТ-персоналом ручного управления идентификацией и контроля доступа. В некоторых случаях администраторам приходится разделять управление правами и пользователями для каждого приложения или подразделения, для сотен и тысяч пользователей. Это сложно и может как вызывать неоправданно большие затраты времени, так и повлечь ошибки администрирования. Проблемы возрастают по мере распространения задач управления доступом на клиентов, бизнеспартнеров и поставщиков. Именно поэтому многие CIO обращаются к технологии управления идентификацией и доступом для того, чтобы более эффективно выполнять требования SOX.

  Identity Manager eDirectory Access Manager Border Manager Secure Login Sentinel Novell Storage Manager
Централизованное управление пользователями X X X       X
Согласованые с бизнесом надежные источники данных X         X  
Присвоение /лишение привилегий пользователей X X         X
Управление паролями X X X   X    
Соблюдение качества паролей X X X   X    
Управление доступом X X X X      
Управление учетными данными / самообслуживание X       X    
Управление хранением на основе идентификации             X
Аудит и мониторинг           X  
Регистрация, проверка и отчетность по деятельности           X  

Таблица 1.

РЕШЕНИЯ NOVELL ДЛЯ УПРАВЛЕНИЯ ИДЕНТИФИКАЦИЕЙ И ДОСТУПОМ

Novell предоставляет портфель инновационных и всесторонних решений для управления идентификацией и доступом, позволяющий обеспечить доступ к информации пользователям, где бы они не находились. Этот набор включает все необходимые продукты и компоненты, которые позволяют построить любое требуемое решение в области управления идентификацией и доступом.

Novell Identity Manager — решение для автоматизированного предоставления привилегий пользователям, позволяющее упростить администрирование, повысить безопасность, сэкономить финансовые средства и обеспечить соответствие требованиям.

Novell Identity Manager позволяет предприятиям обезопасить и автоматизировать предоставление доступа к ресурсам, необходимым пользователям. Решение позволяет ИТ-департаменту и руководящему составу компании быстро и согласованно назначать доступ к ресурсам новым пользователям, синхронизировать многочисленные пароли, а также изменять привилегии или, при необходимости, полностью прекращать доступ, что увеличивает безопасность и уменьшает риски.

Функциональность самообслуживания позволяет пользователям запрашивать ресурсы, управлять утверждением рабочих потоков, изменять собственные пароли, в соответствии с установленными политиками, каждая из которых оптимизирует администрирование и ограничивает операционные затраты.

Novell eDirectory является основой для построения управления идентификационными данными, которая позволяет бизнесу безопасно управлять доступом сотрудников, клиентов и партнеров. Служба каталога eDirectory в большей степени, чем традиционный LDAP, способна соответствовать самым высоким требованиям и нормам безопасности. Основанная на открытых стандартах, eDirectory служит безопасным хранилищем идентификационных данных и конфигураций ИТ-ресурсов — как для продуктов Novell, так и для его партнеров, предлагающих решения в области идентификации и безопасности.

Novell Access Manager поставляет основанные на Web идентификационные технологии, службы безопасности, предоставляющие контролируемый доступ к ресурсам сети, преодолевая технические и организационные границы. Решение обеспечивает пользователям безопасный доступ к Web-порталам, терминальным системам и внутрисетевым ресурсам компании, делая возможным централизованное управление привилегиями доступа для окружения, основанного на Web и VPN SSL.

Novell SecureLogin обеспечивает пользователям безопасный доступ к корпоративным приложениям в сети при помощи единой регистрацией. Совместно с eDirectory и Novell Modular Authentication Service (NMAS), SecureLogin позволяет организациям контролировать доступ к ресурсам сети (основанный на политике компании и профилях пользователей) используя качественные пароли, смарт-карты, токены и биометрию.

Sentinel 6 предоставляет возможности мониторинга в реальном времени, автоматизированную реакцию на события и подробную отчётность о соответствии компании нормативным требованиям. Обеспечивая целостную картину состояния безопасности и соответствия требованиям в масштабах всего предприятия, Sentinel автоматизирует трудоемкие и подверженные ошибкам процессы, экономит финансовые средства, позволяя реализовывать более тщательно программу обеспечения безопасности и соответствия принятым в компании политикам.

Novell BorderManager — комплексный брандмауэр и решение VPN для защиты сети предприятия по всему периметру. Обеспечивает многоуровневые функциональные возможности безопасности — предварительная фильтрация содержания, которая защищает от нежелательного Интернет-контента, всевозможные службы проксирования (HTTP, FTP, DNS, Mail, RealAudio и др.), шлюзование (Socks, IP-gateway) и др.

Novell Storage Manager — уникальное решение, обеспечивающее возможность применять единственную идентификацию пользователя для управления сохранением и доступом к распределённым файловым ресурсам.

Решения Novell по управлению идентификацией и доступом обеспечивают выполнение требований SOX в нескольких областях (см. таблицу 1).

Политика: Только авторизированные лица могут иметь доступ к ключевым системам (например, финансовым)
Риск: Получение доступа неавторизированными лицами (умышленно или по неведению) к ключевым системам может привести к утечке информации и/или изменению данных, что пагубно скажется на финансовом положении компании
Контрольный показатель (цель): Разработка политик, определяющих, кто может располагать доступом к конкретным система, и внедрение технологии, способной обеспечивать и поддержать подобные меры Процедура: Управление правами и пользователями
Возможности и технологии: Novell Identity Manager и Novell eDirectory
Novell Identity Manager и Novell eDirectory связывают воедино все требования по идентификации в десятках систем, действующих на предприятии.Основываясь на установленных бизнес-правилах, изменения распространяются по этим системы, как только делаются изменения в официальном источнике (источниках) управления учётными записями. С Novell Identity Manager организации без труда создают и управляют учётными записями для большого количества приложений, основываясь на ролях работников в организации, и на правилах, ассоциированных с этими ролями.Это помогает гарантировать, что только авторизированные пользователи имеют доступ к важным данным и к системам, хранящим и обрабатывающим эти данные. Автоматизируя и модернизируя действия, связанные с управлением идентификацией, Novell Identity Manager и Novell eDirectory упрощают громоздкий процесс управления пользователями и правами, избавляя от ошибок и минимизируя влияние на этот процесс человеческого фактора, что могло бы поставить под сомнение выполнение требований SOX
  Процедура: Предоставление и лишение привилегий
Возможности и технологии: Novell Identity Manager
Возможность автоматически предоставлять и отбирать права доступа помогает выполнять нормативные требования и одновременно упрощает выполнение административных задач. Novell Identity Manager гарантирует новым сотрудникам автоматическое выделение всех необходимых информационных ресурсов в первый же рабочий день, а также при изменении их должностей. Как только новый сотрудник заносится в учётную базу данных, это решение связывается со всеми нужными для работы системами и приложениями и автоматически создает необходимую учетную информацию о пользователе, увязывая привилегии доступа с ролью сотрудника. При увольнении сотрудника (или прекращении контрактных отношений) все привилегии доступа сразу же автоматически отменяются
  Процедура: Контроль доступа
Возможности и технологии: Novell Access Manager, Novell eDirectory, Novell Border Manager
Решения Novell унифицируют и упрощают управление безопасностью, соединяя все приложения, базы данных и каталоги, и позволяя организациям централизовать хранение и управление правилами доступа к этим системам. Администраторам достаточно один раз создать правила безопасности и доступа для их последующего автоматического применения. Это не только сокращает время и усилия на создание и поддержку отдельных правил безопасности в десятках систем, но также исключает основные источники ошибок администрирования, вызывающих прорехи в системе безопасности. С Novell Access Manager и BorderManager предприятия могут контролировать доступ пользователей к Web-среде и обеспечивать единое (sign-on) подключение практически ко всем Web-приложениям и контенту как изнутри сети (BorderManager), так и снаружи (Access Manager). Тем самым удаленным и мобильным пользователям предоставляется возможность безопасной работы с внутренними ресурсами. Novell eDirectory дает администраторам оперативный контроль доступа пользователей к сетевым ресурсам и позволяет немедленно прекращать этот доступ
  Процедура: Управление паролями
Возможности и технологии: Novell Identity Manager, Novell Access, Novell SecureLogin, Novell eDirectory
Решения Novell предлагают различные пути для упрощения управления паролями и их использования согласно потребностям бизнеса. Используя синхронизацию паролей и/или единый логин (SSO), организации могут уменьшить количество паролей, необходимых внешним и внутренним пользователям для доступа к корпоративным системам и информации. Уменьшение числа паролей снизит вероятность создания легко подбираемых паролей и снизит административную нагрузку. Администраторы смогут централизованно управлять всеми паролями на основе организационных политик, кроме того решения Novell позволяют пользователям безопасно изменять свои пароли без административного вмешательства на основе установленных политик. Поддержка расширенных возможностей (токены, смарт-карты, биометрия) позволяет ещё больше усилить безопасность процессов аутентификации
  Процедура: Многофакторная аутентификация
Возможности и технологии: Novell Modular Authentication Service (NMAS, компонент Novell eDirectory)
NMAS предоставляет возможность многофакторной аутентификации для Novell eDirectory. Используя этот компонент, организации могут комбинировать любое количество паролей, токенов, сертификатов X.509 и биометрических средств для ограничения доступа к данным и приложениям в сети
Контрольный показатель (цель): Обеспечить внутренний контроль, мониторинг и отчётность процессов предоставления доступа Процедура: Согласование и процессы подтверждения
Возможности и технологии: Novell Identity Manager
Во многих организациях пользователям нужно получить подтверждения одного или более должностных лиц для получения доступа к системе или сервисам. Novell Identity Manager помогает организациям выполнять такое подтверждение быстро и экономно, путем автоматической передачи информации и задач от одного участника процесса к другому согласно набору процедурных правил. Поддерживается оповещение по электронной почте о статусе согласования и требуемых действиях. Наглядный интерфейс пользователя упрощает использование и администрирование этих процессов
  Процедура: Регистрация и отчетность по управлению идентификацией и системным событиям/происшествиям
Возможности и технологии: Novell Sentinel 6
Sentinel помогает организациям отслеживать активность ИТ-инфраструктуры и гарантирует, что системы администрируются и используются правильно. Это позволяет определять, насколько организация соответствует внешним требованиям (например, SOX). Отслеживаются все события в сети, во всех важных бизнес-приложениях и по всем системам. Sentinel обеспечивает регистрацию всех данных о событиях в единой системе с общей структурой данных, предоставляет информацию о событиях в реальном времени с целью оповещения и мониторинга, предоставляет инструментальные средства для отчетности

Таблица 2.

ПРИМЕНЕНИЕ РЕШЕНИЙ NOVELL В ОБЛАСТИ БЕЗОПАСНОСТИ И ИДЕНТИФИКАЦИИ

Чтобы соответствовать текущим и будущим нормативным требованиям, для CIO целесообразнее всего следовать уже проработанным рекомендациям:

  • выработка политик;
  • определение рисков невыполнения политик;
  • определение контрольных показателей, определяющих снижению рисков;
  • выработка процедур для поддержки контрольных показателей;
  • реализация технологий и других элементов для выполнения процедур.

В таблицах 2-4 приведены примеры политик, адаптируя которые предприятие сможет удовлетворить требования идентификации, авторизации доступа к критичным данным, контролю и отчётности.

Решения Novell по управлению идентификацией и доступом могут использоваться при реализации процедур, необходимых для реализации контрольных показателей.

Политика: Менеджмент должен в режиме реального времени раскрывать любые события, способные вызвать существенные изменения в финансовом положении компании
Риск: Отсутствие связи между системами может сделать невозможным своевременную доставку правильной информации ответственным людям
Контрольный показатель (цель): Обеспечить возможность обнаружения событий и доставка информации о них соответствующим должностным лицам сразу же после возникновения Процедура: Совмещение информации относительно безопасности и идентификации в один информационный ресурс
Возможности и технологии: Novell Sentinel 6
С помощью Sentinel организации могут генерировать отчетность для непрерывного оценивания и реагирования на основе единообразного оперативного представления информации обо всех событиях в ИТ-инфраструктуре, касающихся безопасности и соответствия установленным политикам. Отчетность может также содержать углубленный анализ и скоррелированные события, которые могут свидетельствовать о возможных критичных ситуациях в системе, которые требуют проактивного управления. Sentinel можно сконфигурировать на сбор данных из любой системы, процесса и устройства в организации, которые важны для конкретных нормативных требований (в данном случае Sarbanes-Oxley)
  Процедура: создать на ролевой основе процессы контрольного согласования
Возможности и технологии: Novell Sentinel 6, Identity Manager, Access Manager
Для того чтобы представлять информацию о безопасности, мониторинге и процедурах согласования в «дееспособном» виде, многие предприятия прибегают к визуализированному представлению информации, отображающему в режиме реального времени текущее состояние безопасности и соответствия требованиям в организации. Построенный на основе архитектуры Novell, использующей сервис-ориентированную шину сообщений, Sentinel собирает информацию из имеющихся источников данных и инструментов бизнес-анализа и предоставляет ее в режиме реального времени ответственным людям. Novell Access Manager может использоваться для предоставления пользователям безопасной аутентификации и доступа к средствам Web-анализа

Таблица 3.

 

Политика: Поддерживать рабочие документы аудита и другую информацию, связанную с аудиторской отчетностью за последние семь лет, как минимум
Риск: Компании не смогут пройти аудиторскую проверку в силу того, что документы были утеряны и/или целостность информации не была гарантирована из-за отсутствия контроля изменений и доступа пользователей
Контрольный показатель (цель): Выработать систему хранения и доступа к информации, которая включает возможности управления идентификацией и аудит Процедура: Доступ к хранимым данным (файлам) осуществляется на базе контролируемой идентификации
Возможности и технологии: Novell Storage Manager
Решение для управления файловой системой на основе событий, которое включает управление идентификацией, требуемое разделом 103 SOX.Novell Storage Manager обеспечивает основанное на политиках выделение/отключение ресурсов хранения для отдельных пользователей и групп, упрощая управление внешними хранилищами данных. Всякий раз, когда учетная информация о пользователе или группе пользователей создается, перемещается или удаляется, Novell Storage Manager автоматически создает, перемещает или уничтожает ресурс дисковой памяти. Если же пользователи покидают компанию, Novell Storage Manager может либо удалить их хранимые данные немедленно, либо отложить удаление на определенный срок

Таблица 4.

ЗАКЛЮЧЕНИЕ

Многих предпринимателей напугали требования Sarbanes-Oxley Act, но трезво мыслящие руководители рассматривают SOX как возможность внедрять и развивать процессы, улучшающие общую практику ведения бизнеса.

Постоянный мониторинг системы безопасности и контроля доступа в инфраструктуру упрощает проведение необходимых контрольных мероприятий. Соответствие требованиям Sarbanes-Oxley — лишь одна из многих задач, стоящих перед бизнесом. Поэтому организациям необходим определенный комплекс решений, который будет помогать им выполнять требования SOX, наряду с другими стратегическими инициативами.

Используя решения в области идентификации и безопасности от Novell, организации смогут построить необходимую инфраструктуру, обезопасить свои системы и доставить необходимую информацию уполномоченным сотрудникам – безопасно, эффективно и экономично.

Олег ПавленкоОлег Павленко
системный инженер,
представительство Novell
г. Киев

2008.02.19
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".