Реакция руководителя Национальных Архивов США на скандал с повторным засекречиванием ранее рассекреченных документов

Архивист Соединённых Штатов (руководитель Национальных Архивов США, NARA) Алан Вайнштейн (Allen Weinstein) объявил 2 марта 2006 года о мерах и инициативах, предпринятых им в ходе ведущегося расследования по факту изъятия с открытых полок Национальных Архивов ряда ранее рассекреченных документов. Эти меры включают:

• Мораторий на изъятие для повторного засекречивания каких-либо ранее рассекреченных документов, находящихся в настоящее время в открытом доступе в Национальных Архивах. Мораторий распространяется на сотрудников всех федеральных агентств США и будет действовать до завершения аудита, проводимого Управлением по контролю за информационной безопасностью (Information Security Oversight Office, ISOO – управление в составе NARA, контролирующее исполнение законодательства в отношении работы с секретными документами).


• Проведение на следующей неделе встречи с представителями заинтересованных спецслужб. Цель такой встречи – обеспечить сбалансированность между правом федеральных агентств восстанавливать, по мере необходимости, секретный статус документов, и обязанностью Архивиста обеспечить максимально свободный доступ к документам в соответствии с законодательно-нормативными требованиями и здравым смыслом.


• Обращение к заинтересованным федеральным агентствам объединить усилия с Национальными Архивами и выделить необходимые ресурсы для скорейшего возвращения в открытый доступ максимального количества информации, учитывая при этом необходимость защищать от несанкционированного раскрытия действительно конфиденциальную и секретную информацию, относящуюся к вопросам национальной безопасности.


• Начало работы по пересмотру и улучшению применяемого в Национальных Архивах «внутреннего» порядка реализации решений по установлению/снятию грифов секретности, с тем, чтобы Национальные Архивы были «катализатором» процесса предоставления публике своевременного доступа к документам.


• Поручение ISOO разработать, консультируясь с заинтересованными агентствами, краткое и ясное стандартизованное руководство в отношении изъятия документов с открытых полок с целью засекречивания, предусматривающее достаточно высокий «порог» для принятия подобных решений. Данное документ будет открытым, и будет введен в действие до того, как будет снят временный мораторий на засекречивание открытых документов.


• Требование к сравнительно недавно созданному «Комитету по рассекречиванию в интересах общества» (Public Interest Declassification Board, - комитет образован в 2000 году и подчиняется непосредственно Президенту США. В его задачи входит консультирование высших представителей исполнительной власти по вопросам организации полномасштабного, систематического и координированного рассекречивания материалов, представляющих историческую ценность), - в соответствии с его уставом, представить Архивисту независимые рекомендации по данному вопросу.

Источник:
http://releases.usnewswire.com/GetRelease.asp?id=61752

Великобритания: первые результаты опроса DTI 2006 года об инцидентах в области информационной безопасности

Опубликованы первые результаты опроса DTI Information Security Breaches Survey 2006 об имевших место инцидентах в области безопасности, проводимого раз в два года Министерством торговли и индустрии Великобритании (DTI). Этот опрос считается наиболее авторитетным исследованием такого рода в стране, и его цель – способствовать лучшему пониманию важности информационной безопасности для организаций как государственного, так и частного секторов экономики. Сбор и обработку данных по поручению DTI проводит компания PricewaterhouseCoopers LLP.

Официально полные результаты опроса будут представлены на выставке Infosecurity Europe, которая пройдет в Лондоне 25-27 апреля 2006 года. В настоящее время на сайтах DTI и PricewaterhouseCoopers опубликованы данные об инцидентах, связанных с вирусами и вредоносными программами (malware).

Заражение вирусами оказалось наиболее частой причиной серьёзных инцидентов, произошедших в английских компаниях за последние два года (примерно половина всех случаев). Две трети из них нанесли заметный ущерб деловой деятельности организаций.

Как показывает анализ собранных данных, при заражении вирусами нарушение нормального хода деятельности организации гораздо более вероятно, чем при любых других инцидентах. И хотя в большинстве случаев последствия были незначительными, тем не менее у четверти тех компаний, у которых наиболее серьёзный инцидент был связан с вирусами, в результате возникли серьёзные проблемы, когда, например, такие важные службы, как электронная почта, не работали более суток.

Риски, связанные с вредоносными программами, сейчас велики как никогда, в первую очередь в связи с тем, что большинство (88%) английских компаний использует высокоскоростной доступ в Интернет. Деловой мир отреагировал на эту опасность, и сейчас практически все организации используют антивирусное программное обеспечение. В итоге, несмотря на возросший уровень угрозы, число пострадавших от вирусов компаний оказалось меньше, чем два года назад. При этом, однако, среднее число заражений у тех, кто пострадал, поднялось примерно до одного случая в день. Ряд организаций сообщили о сотнях случаев инфицирования в день!

Основные результаты телефонного опроса 1000 компаний следующие:

• Четверть английских компаний не имеет и не использует средств защиты от программ-шпионов (spyware). Как следствие, с ними связан каждый седьмой из инцидентов, вызванных вредоносными программами;


• Два года назад доминировало небольшое число вирусов. Сейчас ситуация изменилась. За последний год не было случаев широкомасштабного заражения, изменилась как природа вирусов, так и мотивация их создателей.

 Некоторые вирусы (известные как «боты») захватывают контроль над компьютерами и организуют их в сети зараженных машин-зомби, которые часто используются для совершения компьютерных преступлений. Ликвидация последствий подобных инцидентов может потребовать недель работы.

• Укрепилась дисциплина в части установки обновлений, закрывающих «дыры» в системе безопасности – 9 из 10 компаний устанавливают обновления для ОС в течение недели с момента их выпуска.


• Компании, устанавливающие критические обновления в течение дня, меньше страдают от вирусных атак по сравнению с теми, кто ждёт месяц и более.


• Компании, вообще не использующие антивирусной защиты, сообщили о сравнительно небольшом числе инцидентов. По мнению авторов опроса, это можно объяснить тем, что кто серьёзно пострадал от инфекций, тут же устанавливают антивирусы.

В отношении этой группы компаний больше всего беспокоит то, что, в связи с изменившимся поведением вирусов, многие из них могут и не подозревать, что их системы уже заражены.

• 80% компаний обновляет антивирусные базы в течение дня.


• Ликвидация последствий вирусных атак требует бóльших усилий, чем при других инцидентах – иногда на это уходит до 50 дней.

По словам руководителя проводящей опрос группы Криса Поттера (Chris Potter), «Приятно наблюдать у английских компаний прогресс в части установки антивирусного ПО и своевременной установки обновлений ОС. Однако тех, кто сегодня продолжает вести вчерашние войны, поджидает опасность. Раньше вирусы были рассчитаны на широкомасштабное причинение ущерба без разбора – обычно путем нарушения работы сетей. Вирусы сегодняшнего дня гораздо более коварны: они прячутся «в глубине» зараженных машин, собирая информацию и охотясь за ценными данными. Киберпреступники используют вирусы в качестве средства для скрытного преодоления систем защиты и кражи конфиденциальной информации.

Ущерб от вирусов не ограничивается компьютерными системами – в конечном итоге могут пострадать клиенты компании, деловые связи и репутация. Уровень опасности никогда не был столь высок, так что бдительность терять нельзя. Битвы завтрашнего дня только начались, и в них наилучшую защиту обеспечит многоуровневая оборона, включающая своевременную установку обновлений операционной системы, использование «свежего» антивирусного ПО и баз, а также использование программного обеспечения, способного предотвращать и детектировать вторжение.»

Источники:
http://continuitycentral.com/news02393.htm
http://www.pwc.com/extweb/pwcpublications.nsf/docid/7FA80D2B30A116D7802570B9005C3D16

Согласованное использование COBIT, ITIL и ISO 17799 в интересах деловой деятельности

Стандарты и своды хорошей деловой практики, такие как COBIT, ITIL и ISO 17799, широко используются во всем мире для повышения эффективности, отдачи и лучшего контроля над инвестициями в ИТ-технологии. До сегодняшнего дня их цель и значение обсуждались в основном среди ИТ-специалистов. В современной деловой обстановке этого недостаточно. Высшее руководство должно иметь общее понятие об этих стандартах и о том, как их можно интегрировать и использовать в управлении информационными технологиями в организации.

Для того, чтобы помочь руководителям понять значение этих сводов хорошей деловой практики, и способы их согласованного использования для получения максимальной пользы для деловой деятельности, Институт управления информационными технологиями (IT Governance Institute, ITGI) и Управление государственной коммерции Великобритании (UK Office of Government Commerce, OGC) совместно выпустили руководство под названием «Согласованное использование COBIT, ITIL и ISO 17799 в интересах деловой деятельности» (Aligning COBIT, ITIL and ISO 17799 for Business Benefit), которое можно бесплатно скачать на сайтах http://www.isaca.org и http://www.itil.co.uk .

По оценке старшего аналитика OGC и одного из соавторов публикации Джима Клинча (Jim Clinch), «Эта публикация содержит предназначенное для руководителей краткое описание трёх наиболее авторитетных сводов знаний, разработанных ведущими мировыми специалистами в области ИТ и бизнеса. В ней говорится о том, как использовать эти знания, чтобы сделать организацию сильнее, безопаснее, лучше подготовленной на будущее».

В руководстве говорится, что использование COBIT, ITIL и ISO 17799 является важным фактором для успеха и роста организации, поскольку:

• Высшее руководство требует большей отдачи от инвестиций в информационные технологии;


• Стандарты и своды хорошей деловой практики помогают исполнять требования законодательства в таких областях, как финансовая отчётность и защита персональных данных;


• Организации сталкиваются с серьёзными рисками, связанными с использованием ИТ-технологий (например, с проблемой обеспечения безопасности сетей);


• Своды хорошей деловой практики дают организации возможность оценить уровень своей деятельности по сравнению с общепринятыми стандартами.

Данная публикация также описывает, как именно можно применять стандарты совместно – взяв COBIT в качестве общей схемы управления ИТ-технологиями, и используя детальные описания стандартизованных процессов из ITIL и ISO. Приведены таблицы соответствия 34-х ИТ-процессов и целей управления COBIT и разделов ITIL и ISO 17799.

Как отметил Гэри Харди, советник комитета ITGI и соавтор документа, «Управление информационными технологиями обещает немалые деловые выгоды. Эффективный контроль над ИТ не только позволяет снизить уровень рисков и обеспечить соответствие законодательно-нормативным требованиям, он также позволяет компаниям воспользоваться преимуществами новых технологий и продвигаться вперёд в конкурентной борьбе на рынке».

Источник: PRNewswire, 9 ноября 2005 года
http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&STORY=/www/story/11-09-2005/0004212119&EDATE=

Американские компании не обращают должного внимания на обеспечение сохранности электронной почты и электронных документов

Обзор вскрыл недостатки в политиках управления электронными документами, следствием которых является массовое несоответствие законодательно-нормативным требованиям

AIIM (Международная ассоциация управляющих контентом), ARMA International (Международная ассоциация специалистов по управлению информацией и документами) и компания Cohasset Associates, Inc., объявили о результатах совместного опроса на тему «Управление электронными документами». Несмотря на усилившееся давление со стороны законодателей и судов, почти половина американских компаний всё еще не разработала политик и регламентов по сохранению сообщений электронной почты и других электронных документов.

По данным опроса, участие в котором приняли 2100 специалистов по управлению информацией и документами, 49% компаний и государственных агентств не имеют политики по сохранению электронной почты.

Свыше половины (53%) не включают электронные документы в число документов, не подлежащих уничтожению в рамках обычной практики уничтожения документов с истекшими сроками хранения, в связи с проводимыми расследованиями и судебными разбирательствами. Таким образом, становится возможной ситуация, когда могут быть уничтожены документы, критически важные для решения юридического вопроса.

Более двух третей компаний (68%) не имеют плана сохранения тех электронных документов, для которых, чтобы обеспечить постоянную доступность информации, необходима миграция (перенос на другие носители и/или перевод в другие форматы).

Несмотря на неоднократно поднимавшиеся за последние два года серьёзные вопросы по поводу состояния корпоративного делопроизводства и документооборота, все эти недостатки по-прежнему имеют место.

Обзор был проведён компанией Cohasset Associates, Inc; она же подготовила исследовательский отчёт под названием «Опрос по поводу состояния управления электронными документами 2005 года – Повторный призыв к действию» (2005 Electronic Records Management Survey - A Renewed Call to Action). Спонсорами опроса стали две ведущие профессиональные ассоциации в области управления информацией и документами – AIIM и ARMA International.

По мнению Роберта Уильямса (Robert Williams), президента Cohasset Associates, «Большинство опрошенных организаций не готовы обеспечить исполнение значительной части настоящих и будущих законодательно-нормативных требований, юридических обязательств и обязательств в области корпоративного управления, - в связи с недостатками их текущего способа управления электронными документами». Уильямс также отметил, что «Наиболее серьёзные проблемы, связанные с управлением информационными ресурсами, могут иметь разрушительные последствия в плане профессиональной карьеры специалистов и даже корпоративной репутации – достаточно вспомнить результаты порочной практики управления документами в таких компаниях, как Arthur Andersen и Morgan Stanley».

Президент AIIM Джон Манчини (John Mancini) пояснил, что «У сообщений электронной почты и у электронных документов есть свой жизненный цикл, – рождение, жизнь и смерть, - как и у любых других документов. Это основополагающий принцип управления документами, но его с трудом воспринимают многие специалисты бизнеса и ИТ. Необходимость разработки и практической реализации регламентов и процедур работы с электронными документами никогда не была так велика в деловом мире, как сегодня».

«Хорошая деловая деятельность и хорошее управление документами идут рука об руку», - добавил исполнительный директор ARMA International Питер Херман (Peter Hermann). «Хорошее корпоративное управление подразумевает соответствие законодательно-нормативным требованиям и должное управление документами и информацией, независимо он носителей, на которых они создаются и хранятся, - и является ключевым элементом в усилиях организации по исполнению требований законодательства».

Опрос проводится дин раз в два года. Результаты опроса этого года показывают, что, возможно, «ветер переменился». Последствия закона Сарбейнса-Оксли и постоянная нарастающая стоимость процесса выемки электронных документов в ходе судебных разбирательств (особенность судебной практики в США), заставили многие организации начать как-то решать существующие проблемы.

Особое внимание в опросе было обращено на управление резервными копиями и архивной информацией. Оказалось, что все вместе две тысячи участвовавших в опросе организаций управляют 130 миллионами компьютерных лент, причем две трети из них (67%) сталкиваются с разного рода трудностями при поиске и извлечении информации, хранящейся на этих носителях. Стоимость выемки информации с лент чрезвычайно велика и не поддается контролю.

Хотя ряд компаний принимают необходимые меры уже сейчас, данные опроса ясно показали, что в тревожно большом числе организаций работа по управлению документами всё еще не выполняется. Результаты опроса требуют от высшего руководства коммерческих и государственных организаций уделить гораздо большее внимание эффективности делопроизводства и документооборота, и особенно – проблемам, связанным с электронными документами.

В заключение Уильямс отметил: «Хотя результаты опроса показали, что имеется определенный прогресс о ряду направлений управления электронными документами, они также ясно документируют и тот факт, что многие очень серьёзные проблемы продолжают существовать, на уровне, представляющем опасность для большинства организаций».

Источник: Market Wire, 27 октября 2005 года
http://www.marketwire.com/mw/release_html_b1?release_id=99397