McAfee 安全觀點

McAfee 安全觀點

符合規範的實務指南

金融服務公司今日必須利用安全性技術和安全內容管理產品，來幫助他們達成目前法規，如美國健康保險攜帶性和責信法案 (HIPPA)、沙賓法案和美國金融服務現代化法 (GLBA) 等的規定，並維持遵守。 金融服務行號，例如零售業與商業銀行和保險公司 甚或是一些對金融服務業提供服務 (例如代管) 的公司，也必須符合這些法規。

每個法規都處理不同的問題，也都有其遵守的基本需求；但是，法規不會明確告知金融服務組織真正要做些什麼，才能達成遵守法規。

CIA 三角關係

目前法規的重點是放在「CIA 三角關係」—機密性 (Confidentiality)、完整性 (Integrity) 和可用性 (Availability) 的不同區域上。 例如，沙賓法案是由美國國會與 2002 年立法通過，本法約束 CEO 和 CFO 對於其財務報告的精確性需負擔個人責任。

「沙賓法案講的就是完整性，要確保財務報告是完整而且精確的，或者至少確定產生這些報表的控制項是正確的。」McAfee 安全顧問 Peter Schawacker 表示。

另一方面，1999 年簽定的美國金融服務現代化法，其中有規定金融服務行號對於所收集要作為投資建議的機密個人資訊，可以進行的一些處置。 Schawacker 指出，「這其中包括了機密性，因為舉例來說，公司應該要確保在合併與收購以及仲介業務之間有築起一道牆。」

HIPAA 是在 1996 年通過的，它的重點是保護病人的資料，其範圍涵蓋 CIA 三角關係的所有三個重點。 HIPPA 特別與保險公司以及其他處理病人病歷記錄的公司有關。 Schawacker 說，「隱私這一部分每個人都喜歡說，但是還有完整性和可用性這兩部分要注意」。 「例如，必須要避免用藥錯誤，此外每個要進行外科急診的人都一定可以拿到他的所有檢查圖表。」

HIPAA 所影響到的不只是醫療機構和保險公司。 事實上，該法規需要任何處理病人資訊的公司都必須遵守 HIPAA 隱私規則。 這包括提供健康照護給付給員工的僱主，以及作為交易票據交換所的金融機構；交易票據交換所會將非傳統交易轉換為標準交易，或反向轉換。

先建構良好的安全性，再檢查是否遵守法規規定

許多金融服務行號甚至必須在法律制定之前就長期採取一些步驟，朝著符合法律規定邁進。 「一些結構較為成熟的組織會先採取一些步驟來建構良好的安全計劃，然後在檢查該計劃是否符合法規規定，」Schawacker 這樣表示。 「法規會有好幾年的時間明白的告訴人們應該做些什麼，所以這也是為什麼金融服務行號很輕鬆的就能夠遵守法規。」

在公司必須做些什麼才能真正符合法規規定方面，法律是模糊的。 Schawacker 說，「有些法規會儘量模糊的原因，是因為這些法規必須適用於許多不同類型的組織。」 「HIPAA 和 GLBA 較為具體，因為它們處理的是垂直市場。 產業愈具特定性，需求也愈明確。 在大部分的情況下，組織只需努力表現有實際審核，並遵守法律的精神。」

雖然目前有些法規在目的和遵守需求上是不同的，但有件事是相同的：需要遵守這些法規的公司必須不能拒絕設置安全的系統。

公司所要著重的—無論任何產業—是確定一開始即設有一組良好的安全控制規範，接下來公司對著重稽核的法規 (如沙賓法規和 GLBA) 所做所有事只是將這些規範製成文件。 HIPAA 則不同，因為它不是是否遵守稽核導向法規的問題。 這需要將它的安全規範作業化。

無論公司決定要如何達到遵守法規的需求，並維持下去，它們必須要能夠透過文件來表明它們的努力、提供可靠的報表、並確實稽核內容。 「只有三件事，那就是文件化、文件化、文件化。」Schawacker 指出，「文件化可以是將歷史訊息製成表單、報告用途，並能立即對規範設定的狀態產生某種文件。」

公司應開發風險管理策略，讓公司將資源優先專用在對企業最嚴重的威脅上。 安全團隊可透過了解資訊資產的價值、其弱點，並評估資產本身實際的威脅，來測量風險。

這可以表示您已經盡最大的努力表現出您遵守法規。McAfee 工程部總監 Mark Harris 解釋。 「McAfee ® ePolicy Orchestrator ® (ePO™ ) 可以顯示所涵蓋範圍的報表，以確定每個人的狀況都是最新的。 System Compliance Profiler (SCP) 已整合至 ePO 中，可供檢閱所安裝修補檔案的最新版本。」他說。 「再次說明，這可以證明您已經盡最大的努力讓您的機器和控制室都遵守法規，並產生資料來證明。」

Harris 附加說明了在遵守法規的行為中，有一項是追蹤性，能夠監控已經通訊和尚未通訊的內容。 「我們擁有安全內容傳訊產品線。 所有產品均共用一些相同的功能，如檢閱電子郵件訊息、附件、Word 文件和試算表、展開文字內容和搜尋文字。」Harris 指出。

「您可以設定規則將要寄出組織外的訊息封鎖，或是將任何使用電子郵件訊息或附件中密碼或口令的電子郵件加以記錄。」Harris 解釋。 「您為整個組織或是公司中的重要人士設定這樣的規則。」

Schawacker 繼續表示，任何可以產生多樣性設定報表的技術會有助於金融服務公司能達成更高等級責任性、透明性和測量性，這些對於遵守法規而言都是很重要的。 「在每個法規中，您必須有某種您必須組合在一起的資產矩陣，而 ePO 中的不良系統保護對此是很幫助的。」他如此表示。

另一個 McAfee 供應的產品是 McAfee® Foundstone® Enterprise 弱點管理解決方案，它對於協助金融服務行業遵守法規方面很有幫助。 企業等級安全解決方案是為了管理並減輕與數位弱點有關的企業風險，它可以透過資產搜尋、記錄和排定優先順序、威脅智慧和相關性、修正追蹤和報表製作，來保護網路裝置。 Foundstone Enterprise Threat Correlation Module 可讓客戶根據特定的威脅自訂一段時間的追蹤進度，讓客戶可以確定他們符合內部原則和法規遵守原則。

自從撰寫這篇文章以來，McAfee 已經推出許多新的產品，它們也都提供類似的功能。 如果想要其他的資訊，請參閱我們的產品介紹。

了解更多資訊

了解McAfee Foundstone Enterprise 弱點管理解決方案如何幫您達成符合法規的需求。