Мониторинг, средства управления и меры наказания
Наиболее дискуссионная тема правил информационной безопасности касается мониторинга, средств управления и меры наказания при нарушениях. Дебаты возникают из-за некоторых правил мониторинга и управления, которые могут быть использованы при правовой защите информационной безопасности организации. Признавая их законными, некоторые адвокаты видят в этих методах нарушение прав неприкосновенности частной жизни. Работая со многими организациями, автор советовал соблюдать осторожность и разработать правила, которые помогут в работе, а не вызовут недоверие или негативную реакцию.
Проблема заключается в том, что статистика показывает
наибольшее количество нарушений безопасности именно внутри организации,
в то время как основное внимание уделяется защите от внешних действий.
Благодаря тому, что об этом много говорят, во многие правила включены
постановления, касающиеся применения санкций к посторонним нарушителям.
Необходимо изучить внешнюю угрозу и рассмотреть внутреннюю опасность. Даже если организация не хочет, чтобы правила выглядели как набор предписаний для создания полицейского государства, все равно необходимо обеспечить возможность контроля исполнения правил и возможность принудительного их применения.
Мониторинг
Первый шаг по созданию правил мониторинга заключается в определении прав организации на наблюдение. Несмотря на то, что эти правила могут быть направлены на утверждение прав руководства на мониторинг, в их предписаниях может быть сказано, что руководство имеет право назначить кого-либо для осуществления мониторинга. В конце концов можно посадить несколько исполнителей из отдела информационных технологий перед мониторами для наблюдения за сетевым трафиком. Правила могут выглядеть следующим образом.
Руководство имеет право наблюдать за всей деятельностью в системе и за сетевым трафиком для проведения в жизнь постановлений правил безопасности. Руководство имеет право возложить обязанности по мониторингу и другие обязанности на отдельных администраторов.
Управление
Правила управления утверждают право организации на внедрение алгоритмов, позволяющих встроить в систему определенные средства управления. Хотя другие правила разрешают организации устанавливать средства управления доступом и требования аутентификации и использования паролей, эти правила определяет право реализовывать их постановления. Как бы странно это не звучало, некоторые юристы считают, что введение таких правил может оказаться необходимым для предотвращения потенциальных проблем, если организация будет выступать ответчиком в суде. Даже если судьи этого не требуют, вреда от введения этого постановления не будет. Правило может звучать достаточно просто.
Руководство должно установить средства управления согласно требованиям этих правил.
Наряду с определением управления, в правилах должно указываться, кто имеет право администрировать и тестировать эти средства управления. Организации не хотят, чтобы кто-то посторонний тестировал их средства безопасности. Помимо доступности бесплатных средств через Internet, риск такого тестирования увеличивается из-за пользователей, которые очень любопытны или умышленно нарушают правила безопасности.
Дело Рэндала Шварца
В громком деле знаменитый автор и эксперт фирмы Pearl Рэндап Шварц (Randal
Schwartz) был осужден за компьютерное преступление в штате Орегон. Обвинявшийся,
помимо всего прочего, в несанкционированном тестировании средств защиты
сети и систем корпорации Intel, когда он работал на Intel в качестве подрядчика,
Шварц заявил, что он это сделал с наилучшими намерениями. Независимо от
мнения читателя об этом деле, представим, будто читатель несет ответственность
за безопасность сети. Никто никогда не знает, с какими намерениями осуществляется
зондирование системы — с благородными или не совсем, особенно, если это,
якобы благородное, лицо делает это без разрешения. Как можно об этом знать
наверняка? Что предпринял бы читатель в этой ситуации? Об этом стоит подумать
при разработке ваших правил.
Формулировки этих правил очень сильно зависят от законов, касающихся вашей деятельности. Чтобы эти правила были эффективными и, при необходимости, могли служить для обеспечения правовой защиты, законодательство или прецедентное право включает требование о том, чтобы организация руководствовалась в работе своими собственными правилами, во избежание юридического разбирательства. Люди, занимающиеся техническими вопросами, так не думают, но, тем не менее, необходимо изменить свой менталитет и всегда обращаться за помощью к адвокатам. Нижеследующую формулировку можно использовать в качестве руководства по разработке правил управления.
Руководство и назначенные администраторы должны нести ответственность
за тестирование средств управления доступом и тестирование сети на наличие
уязвимых мест. Пользователи не должны проводить тестирование на наличие
уязвимых мест и тестирование средств управления доступом вручную или программными
средствами.
Когда уязвимые места становятся известны, пользователи не должны использовать
их возможности вручную или с помощью программных средств.
Руководство и назначенные администраторы должны иметь доступ к средствам,
которые могут помочь в управлении и тестировании системы обеспечения информационной
безопасности. Пользователи не должны иметь доступ к этим средствам через
сеть организации и не должны загружать эти средства в любую область сети
или "скачивать" их оттуда.
Меры наказания
К каждому правилу и закону прилагаются инструкции по назначению наказаний и взысканий. В правила информационной безопасности необходимо также включить формулировку, касающуюся мер наказания. Одна из причин сделать это заключается в том, чтобы в случае нарушения безопасности, не возникало вопросов, имеет ли организация право применять меры наказания. Поскольку нарушения могут совершаться и внутри организации, и сторонними взломщиками, в правилах должны быть учтены оба варианта.
Исходя из юридического опыта автора, разработка такого правила начинается с общей формулировки, в которой говорится, что пользователю запрещено наносить вред системам, сетям и т.п. Формулировка может быть составлена таким образом, чтобы охватить основные постановления по правоприменению всех имеющихся правил. Она может выглядеть следующим образом.
Категорически запрещено любое поведение, которое неблагоприятно отражается на работе других лиц в системах и сетях компании или которое может навредить другим лицам.
Далее, устанавливаются правила применения мер наказания по отношению к пользователям, которые нарушают правила. Автор предпочитает использовать две формулировки. Одна формулировка правил адресована ко всем пользователям. Ее предлагается использовать при применении мер наказания по отношению к внутренним пользователям, например, собственным служащим. Другая формулировка похожа на первую, но предназначена для внешних пользователей или подрядчиков, которые пользуются сетью на основе особого разрешения. В этой формулировке нужно показать причину, по которой они допущены к пользованию сетями и системами, например, ссылку на контракты или договоры, на основе которых им предоставлен доступ. Ниже представлен пример таких формулировок.
Руководство имеет право аннулировать любые привилегии доступа
пользователей и в любой момент разорвать с ними трудовое соглашение за
нарушения предписаний правил безопасности или за поведение, мешающее нормальной
работе сети и компьютерных систем организации.
Руководство имеет право разорвать контракты и договоры с подрядчиками
и другими внешними пользователями, если они нарушают предписания правил
или демонстрируют поведение, которое мешает нормальной работе сети и компьютерных
систем организации.
И, наконец, правила должны охватывать незаконную деятельность, осуществляемую внутренними пользователями и внешними взломщиками. Можно записать в правила отдельную формулировку, которая отражает реакцию организации на все виды незаконной деятельности. Для этой формулировки нет краткой формы. В ней должно быть сказано, что в соответствии с местными законами ожидает тех, кто нарушает законы.
Клиент, который хотел по собственному усмотрению привлекать правоохранительные органы и систему закона, вместо того, чтобы делать это в обязательном порядке, опирался на приведенную ниже формулировку правил. Руководство понимало, что в некоторых случаях увольнение служащего является достаточным наказанием. Поскольку об увольнении было сказано в предыдущей формулировке правил, мы разработали такую формулировку.
Руководство имеет право применить собственные меры наказания вместо соответствующих санкций по криминальному или гражданскому законодательству против любого, кто использует, злоупотребляет или атакует сеть организации и информационные системы таким образом, что это может быть отнесено к нарушениям закона и предписаний этих правил.
