среда, 9 ноября 2005 г.

Согласованное использование COBIT, ITIL и ISO 17799 в интересах деловой деятельности


Стандарты и своды хорошей деловой практики, такие как COBIT, ITIL и ISO 17799, широко используются во всем мире для повышения эффективности, отдачи и лучшего контроля над инвестициями в ИТ-технологии. До сегодняшнего дня их цель и значение обсуждались в основном среди ИТ-специалистов. В современной деловой обстановке этого недостаточно. Высшее руководство должно иметь общее понятие об этих стандартах и о том, как их можно интегрировать и использовать в управлении информационными технологиями в организации.

Для того, чтобы помочь руководителям понять значение этих сводов хорошей деловой практики, и способы их согласованного использования для получения максимальной пользы для деловой деятельности, Институт управления информационными технологиями (IT Governance Institute, ITGI) и Управление государственной коммерции Великобритании (UK Office of Government Commerce, OGC) совместно выпустили руководство под названием «Согласованное использование COBIT, ITIL и ISO 17799 в интересах деловой деятельности» (Aligning COBIT, ITIL and ISO 17799 for Business Benefit), которое можно бесплатно скачать на сайтах http://www.isaca.org и http://www.itil.co.uk .

По оценке старшего аналитика OGC и одного из соавторов публикации Джима Клинча (Jim Clinch), «Эта публикация содержит предназначенное для руководителей краткое описание трёх наиболее авторитетных сводов знаний, разработанных ведущими мировыми специалистами в области ИТ и бизнеса. В ней говорится о том, как использовать эти знания, чтобы сделать организацию сильнее, безопаснее, лучше подготовленной на будущее».

В руководстве говорится, что использование COBIT, ITIL и ISO 17799 является важным фактором для успеха и роста организации, поскольку:
  • Высшее руководство требует большей отдачи от инвестиций в информационные технологии;

  • Стандарты и своды хорошей деловой практики помогают исполнять требования законодательства в таких областях, как финансовая отчётность и защита персональных данных;

  • Организации сталкиваются с серьёзными рисками, связанными с использованием ИТ-технологий (например, с проблемой обеспечения безопасности сетей);

  • Своды хорошей деловой практики дают организации возможность оценить уровень своей деятельности по сравнению с общепринятыми стандартами.
Данная публикация также описывает, как именно можно применять стандарты совместно – взяв COBIT в качестве общей схемы управления ИТ-технологиями, и используя детальные описания стандартизованных процессов из ITIL и ISO. Приведены таблицы соответствия 34-х ИТ-процессов и целей управления COBIT и разделов ITIL и ISO 17799.

Как отметил Гэри Харди, советник комитета ITGI и соавтор документа, «Управление информационными технологиями обещает немалые деловые выгоды. Эффективный контроль над ИТ не только позволяет снизить уровень рисков и обеспечить соответствие законодательно-нормативным требованиям, он также позволяет компаниям воспользоваться преимуществами новых технологий и продвигаться вперёд в конкурентной борьбе на рынке».

Источник: PRNewswire, 9 ноября 2005 года
http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&STORY=/www/story/11-09-2005/0004212119&EDATE=

четверг, 3 ноября 2005 г.

Американские компании не обращают должного внимания на обеспечение сохранности электронной почты и электронных документов


Обзор вскрыл недостатки в политиках управления электронными документами, следствием которых является массовое несоответствие законодательно-нормативным требованиям

AIIM (Международная ассоциация управляющих контентом), ARMA International (Международная ассоциация специалистов по управлению информацией и документами) и компания Cohasset Associates, Inc., объявили о результатах совместного опроса на тему «Управление электронными документами». Несмотря на усилившееся давление со стороны законодателей и судов, почти половина американских компаний всё еще не разработала политик и регламентов по сохранению сообщений электронной почты и других электронных документов.

По данным опроса, участие в котором приняли 2100 специалистов по управлению информацией и документами, 49% компаний и государственных агентств не имеют политики по сохранению электронной почты.

Свыше половины (53%) не включают электронные документы в число документов, не подлежащих уничтожению в рамках обычной практики уничтожения документов с истекшими сроками хранения, в связи с проводимыми расследованиями и судебными разбирательствами. Таким образом, становится возможной ситуация, когда могут быть уничтожены документы, критически важные для решения юридического вопроса.

Более двух третей компаний (68%) не имеют плана сохранения тех электронных документов, для которых, чтобы обеспечить постоянную доступность информации, необходима миграция (перенос на другие носители и/или перевод в другие форматы).

Несмотря на неоднократно поднимавшиеся за последние два года серьёзные вопросы по поводу состояния корпоративного делопроизводства и документооборота, все эти недостатки по-прежнему имеют место.

Обзор был проведён компанией Cohasset Associates, Inc; она же подготовила исследовательский отчёт под названием «Опрос по поводу состояния управления электронными документами 2005 года – Повторный призыв к действию» (2005 Electronic Records Management Survey - A Renewed Call to Action). Спонсорами опроса стали две ведущие профессиональные ассоциации в области управления информацией и документами – AIIM и ARMA International.

По мнению Роберта Уильямса (Robert Williams), президента Cohasset Associates, «Большинство опрошенных организаций не готовы обеспечить исполнение значительной части настоящих и будущих законодательно-нормативных требований, юридических обязательств и обязательств в области корпоративного управления, - в связи с недостатками их текущего способа управления электронными документами». Уильямс также отметил, что «Наиболее серьёзные проблемы, связанные с управлением информационными ресурсами, могут иметь разрушительные последствия в плане профессиональной карьеры специалистов и даже корпоративной репутации – достаточно вспомнить результаты порочной практики управления документами в таких компаниях, как Arthur Andersen и Morgan Stanley».

Президент AIIM Джон Манчини (John Mancini) пояснил, что «У сообщений электронной почты и у электронных документов есть свой жизненный цикл, – рождение, жизнь и смерть, - как и у любых других документов. Это основополагающий принцип управления документами, но его с трудом воспринимают многие специалисты бизнеса и ИТ. Необходимость разработки и практической реализации регламентов и процедур работы с электронными документами никогда не была так велика в деловом мире, как сегодня».

«Хорошая деловая деятельность и хорошее управление документами идут рука об руку», - добавил исполнительный директор ARMA International Питер Херман (Peter Hermann). «Хорошее корпоративное управление подразумевает соответствие законодательно-нормативным требованиям и должное управление документами и информацией, независимо он носителей, на которых они создаются и хранятся, - и является ключевым элементом в усилиях организации по исполнению требований законодательства».

Опрос проводится дин раз в два года. Результаты опроса этого года показывают, что, возможно, «ветер переменился». Последствия закона Сарбейнса-Оксли и постоянная нарастающая стоимость процесса выемки электронных документов в ходе судебных разбирательств (особенность судебной практики в США), заставили многие организации начать как-то решать существующие проблемы.

Особое внимание в опросе было обращено на управление резервными копиями и архивной информацией. Оказалось, что все вместе две тысячи участвовавших в опросе организаций управляют 130 миллионами компьютерных лент, причем две трети из них (67%) сталкиваются с разного рода трудностями при поиске и извлечении информации, хранящейся на этих носителях. Стоимость выемки информации с лент чрезвычайно велика и не поддается контролю.

Хотя ряд компаний принимают необходимые меры уже сейчас, данные опроса ясно показали, что в тревожно большом числе организаций работа по управлению документами всё еще не выполняется. Результаты опроса требуют от высшего руководства коммерческих и государственных организаций уделить гораздо большее внимание эффективности делопроизводства и документооборота, и особенно – проблемам, связанным с электронными документами.

В заключение Уильямс отметил: «Хотя результаты опроса показали, что имеется определенный прогресс о ряду направлений управления электронными документами, они также ясно документируют и тот факт, что многие очень серьёзные проблемы продолжают существовать, на уровне, представляющем опасность для большинства организаций».

Источник: Market Wire, 27 октября 2005 года
http://www.marketwire.com/mw/release_html_b1?release_id=99397

четверг, 20 октября 2005 г.

Стандарт ISO 27001 официально опубликован


Просуществовав несколько месяцев в качестве «окончательного проекта», стандарт ISO 27001 был, наконец, официально опубликован. Этот стандарт определяет «систему управления информационной безопасностью» (Information Security Management System,  ISMS), и дополняет содержащий практические рекомендации стандарт ISO 17799, новая редакция которого вышла летом этого года. Стандарт ISO 27001 определяет концепцию, в рамках которой в организации разрабатываются, внедряются и управляются процессы обеспечения информационной безопасности.

Эти два стандарта тесно связаны друг с другом, но выполняют разные задачи:
  • ISO 17799 описывает сотни отдельным мер обеспечения безопасности, из которых организация может выбрать нужные и применить их как часть своей системы управления безопасностью.

  • ISO 27001 устанавливает требования к самой системе управления информационной безопасностью. Именно по этому стандарту теперь будет проводиться сертификация. ISO 27001 был «гармонизирован», чтобы обеспечить его совместимость с другими популярными стандартами, такими как ISO 9000 и ISO 14000.
Ожидается, что публикация нового стандарта, предыдущие версии которого известны под именем BS 7799-2, будет способствовать росту интереса, как к вопросам информационной безопасности, так и к сертификации.

Источник:
http://www.prweb.com/releases/2005/10/prweb299641.htm

среда, 19 октября 2005 г.

Министерство обороны США опубликовала проект новой, третьей версии стандарта DoD 5015.2


Заметка Джоаба Джексона была опубликована 19 октября 2005 года в «Правительственных компьютерных новостях»

Министерство обороны США опубликовало проект очередной, третьей версии «культового» стандарта требований к системам электронного документооборота DoD 5015.2. Текст проекта выложен в интернете по адресу: http://jitc.fhu.disa.mil/recmgt/dod50152v3.html

В новой версии добавлены требования, связанные с передачей документов на хранение в Национальные Архивы США (National Archives and Records Administration, NARA). В ней также рассматриваются вопросы управления специфическими документами, возникающими при исполнении федеральными органами требований законов о защите персональных данных (The Privacy Act) и о свободе доступа к государственной информации (FOIA). Внесены также небольшие изменения в требования, относящиеся к работе с секретными и конфиденциальными документами.

В новой версии требований особое внимание обращается на возможность взаимодействия между системами. Это связано с тем, что в правительственных агентствах постоянно нарастает объём обмена документами между различными системами, и обеспечение взаимодействия между ними требует больших трудозатрат.

Контролируемый Объединённой  группой проверки взаимодействия систем (Joint Interoperability Test Command, JITC), базирующейся в Форт-Хуачука (Fort Huachuca) в штате Аризона, стандарт DoD 5015.2 представляет собой набор требований, которые обеспечивают надлежащее управление и сохранение государственных документов системами электронного делопроизводства и документооборота.  JITC проводит сертификацию программных продуктов на соответствие требованиям стандарта.

Стандарт DoD 5015.2 является обязательным для подразделений Министерства обороны США, и уже практически стал стандартом де факто в других государственных агентствах. В январе 2005 года NARA одобрила использование действующей, второй версии стандарта в делопроизводстве «гражданских» государственных учреждений.

Джоаб Джексон (Joab Jackson)

Источник: «Правительственные компьютерные новости» (Government Computer News), 19 октября 2005 года
http://www.gcn.com/vol1_no1/daily-updates/37320-1.html

пятница, 30 сентября 2005 г.

США, Рабочая группа Sedona: Принципы управления документами и информацией в электронную эпоху


Данные принципы содержатся в опубликованном в сентябре 2005 года «Рекомендациях Конференции Sedona  по управлению информацией и документами в электронную эпоху» (The Sedona Guidelines for Managing Information and Records in the Electronic Age, September 2005, http://apps.americanbar.org/scitech/annual/2006/pdf/23.pdf )

1. В организации должны быть разумные политика (регламент) и процедуры управления информацией и документами.

a.    В электронную эпоху управление документами и информацией имеет большое значение

b.    Главной отличительной чертой политики организации в области управления информацией и документами должна быть разумность (reasonableness).

c.    Соответствующие законодательно-нормативным требованиям политики (регламенты) не обязаны требовать сохранение всей информации и документов.


2. Политика и процедуры организации по управлению информацией и документами должны быть реалистичными, практичными, и увязанными с теми обстоятельствами, в которых организация работает.

a.    Не существует такого единственного стандарта или модели, которые могли бы полностью покрыть уникальные потребности организации.

b.    В управлении информацией и документами требуются практические, гибкие и масштабируемые решения, учитывающие различия в потребностях организаций, в их операциях, ИТ-инфраструктуре и в законодательно-нормативной ответственности.

c.    При разработке политики в области управления информацией и документами, организация должна выяснить и оценить относящиеся к ней законодательно-нормативные требования по сохранению и уничтожению информации и документов.

d.    При разработке программы по управлению информацией и документами, организация должна определить оперативную и стратегическую ценность своей информации и документов.

e.    Цели плана по обеспечению непрерывности деловой деятельности и по восстановлению после катастроф отличаются от целей программы управления информацией и документами.


3. Организация не обязана сохранять всю когда-либо созданную или полученную электронную информацию.

a.    Уничтожение – допустимый этап в жизненном цикле информации. Организация может уничтожать или стирать электронную информацию в тех случаях, когда она более не представляет ценности, и нет необходимости сохранять её.

b.    Систематическое уничтожение электронной информации – не то же самое, что умышленное уничтожение улик.

c.    В отсутствие предусматривающих противное законодательно-нормативных требований, принятая организацией программа управления информацией и документами может предусматривать регулярное стирание определённые записанных сообщений, таких как мгновенные и текстовые сообщения, и сообщения электронной и голосовой почты.

d.    В отсутствие предусматривающих противное законодательно-нормативных требований, организации могут повторно использовать или уничтожать оборудование и носители, содержащие данные, сохранённые в целях программ обеспечения непрерывности деловой деятельности или восстановления деятельности после катастроф.

e.    В отсутствие предусматривающих противное законодательно-нормативных требований, организации могут систематически стирать или уничтожать остаточные, дублирующие (shadowed) или стёртые (deleted) данные.

f.    В отсутствие предусматривающих противное законодательно-нормативных требований, организации не обязаны сохранять метаданные.


4. При разработке политики управления информацией и документами, организация должна также разработать процедуры, регламентирующих создание, идентификацию, сохранение в течении установленного срока, извлечение и окончательному решение судьбы либо уничтожение информации и документов.

a.    Политика в области управления информацией и документами должна реализовываться на практике.

b.    Политика и процедуры управления информацией и документам должны документироваться.

c.    Организация в своей политике в области  управления информацией и документами должна определить роли и ответственность за руководство программой и её администрирование.

d.    Организация должна инструктировать сотрудников относительно того, как идентифицировать и сохранять информацию, нужную для деловой деятельности либо подлежащую сохранению в соответствии с законодательно-нормативными требованиями.

e.    В управлении электронными документами, организация может разделить роли и ответственность за сохранность содержания (контента - content custodian) и за обеспечение «технической» сохранности (technology custodian).

f.    Организация должна принимать во внимание влияние современных технологий (включая потенциальные выгоды), на процессы создания, хранения и уничтожения информации и документов.

g.    Организация должна осознать важность обучения сотрудников в отношении про-граммы, политики и процедур управления информацией и документами.

h.    Организация должна подумать о проведении периодических проверок соответствия политике и процедурам управления информацией и документами, и должным образом реагировать на результаты этих проверок.

i.    Политика и процедуры организации в области управления и сохранения электронной информации и документов должны быть скоординированы и/или интегрированы с политикой по использования собственности и информации, включая права и обязанности в отношении персональной информации.

j.    Политики и процедуры должны пересматриваться по мере необходимости, в ответ на изменения в структуре организации, в кадровой структуре, в деловой практике, в технологиях или в законодательно-нормативных требованиях.


5. Существующие в организации политика и процедуры должны предписывать приостановление обычной практики и процедур уничтожения, когда возникает необходимость обеспечить соответствие требованиям по сохранению информации и документов в связи с имеющим место или предполагаемым из разумных соображений судебным иском, государственным расследованием или аудитом.

a.    Организация должна осознать, что приостановление нормальной процедуры решения судьбы электронной информации и документов необходимо при определённых обстоятельствах.

b.    Программа организации по управлению информацией и документами должна предусмотреть обстоятельства, при возникновении которых нормальная процедура уничтожения будет приостановлена.

c.    Организация должна определить лиц, имеющих право приостановить нормальные процедуры уничтожения и отдать соответствующее распоряжение (impose a legal hold).

d.    Процедуры управления информацией и документами в организации должны предусматривать, и могут описывать процесс приостановления нормального уничтожения документов и информации, и определять лиц, ответственных за отдание соответствующего распоряжения и за контроль его исполнения.

e.    Приостановка уничтожения и соответствующие процедуры должны применяться в соответствии с  текущей ситуацией.


f.    Одним из важных элементов программы организации по управлению информацией и документами должно стать быстрое распространение распоряжения о приостановлении уничтожения.

g.    Полезно документировать действия, предпринятые для приостановления уничтожения.

h.    Если организация предприняла разумные меры для приостановления уничтожения, она не должна нести ответственность за поступки отдельного лица, действующего за пределами своих полномочий и/или образом, несоответствующим отданному распоряжению о приостановлении уничтожения.

i.    Приостановление уничтожения является исключением из обычной практики сохранения документов, и когда причина приостановления исчезает (т.е. исчезает необходимость сохранять информацию), организация имеет право отменить распоряжение о приостановлении уничтожения.


Источник: сайт Конференции Sedona
https://thesedonaconference.org/publication/Managing%20Information%20%2526%20Records

суббота, 2 апреля 2005 г.

США: Крупнейшая американская страховая компания AIG попала в переплёт. Если подтвердится факт уничтожения документов, то будут предъявлены обвинения в совершении серьёзного уголовного преступления


Генеральный прокурор Нью-Йорка Элиот Спитцер, Комиссия по ценным бумагам (SEC) и Министерство юстиции ведут расследование того, как AIG использовала сложные схемы перестрахования для манипулирования финансовой отчётностью.

В результате уже ушёл с своего поста Морис Гринберг, долгое время бывший руководите-лем AIG. На этой неделе компания была вынуждена признать «несоответствия» в своей бухгалтерской отчётности, в результате чего её суммарная рыночная стоимость снизилась на 1,77 миллиарда долларов.

Однако всё изменилось в ещё худшую для компании стороны после опубликованного в «Уолл-стрит джорнал» сообщения о том, что сотрудник AIG уничтожил компьютерные документы и ленты с записями деловых совещаний в офисе компании на Бермудах.

«Уничтожение документов – дело чрезвычайно серьёзное, влечёт за собой колоссальные последствия для компании и меняет отношение к сотрудникам и директорам компании», - сказал в интервью для прессы бывший руководитель SEC Харви Питт. «Это самое худшее, что можно сделать во время продолжающегося расследования, поскольку в этом случае правительственные органы теряют всякое доверие к компании и её сотрудникам».

Если сведения об уничтожении документов подтвердятся, следствие, скорее всего, предъя-вит компании и ряду её сотрудников уголовные обвинения в противодействии правосудию. Для прокуратуры это более простой и удобный вариант, чем попытка доказать, что исполь-зованные AIG схемы перестрахования представляли собой мошенничество.

Дело AIG начинает напоминать другие крупные корпоративные скандалы, такие как дела компании «Артур Андерсен», Франка Куаттроне и Марты Стюарт. Во всех этих случаях корпорации и частные лица сильнее всего пострадали именно вследствие попыток замести следы. Стюарт получила тюремный срок за ложные показания, а первоначально обвинение в мошенничестве было снято. Банкир Куаттроне был обвинен в противодействии правосу-дию и посажен в тюрьму после того, как направил коллеге электронное письмо с просьбой уничтожить документы. Компания «Артур Андерсен» была аудитором крупнейшей энерге-тической компании «Энрон», банкротство которой вызвало много шума, и также обвиня-лась в уничтожении документов – и в результате прекратила своё существование.

Чтобы предотвратить предъявление уголовных обвинений в адрес компании в целом, совет директоров AIG согласился сотрудничать со следствием, и также убрал Гринберга с нового руководящего поста, на который он был перемещён после ухода с должности руководителя  AIG. Компании теперь предстоят непростые переговоры с SEC о мировом соглашении, в ходе которых будет определён размер штрафных санкций. Возможны также и судебные иски со стороны акционеров компании.

Юристы не сомневаются, что в отношении непосредственных виновников уничтожения документов, включая руководителей, отдавших соответствующие распоряжения, будут за-ведены уголовные дела.

Источник:
http://cbs.marketwatch.com/news/story.asp?guid={615384E2-FE52-4161-B9CA-36909C9AC1DE}&siteid=google&dist=google