Анализ данных защиты
Политика секретности и государственная политика в Соединенных Штатах
В то время, когда писалась эта книга, создатели государственной политики в Вашингтоне обсуждали практику сбора и обработки данных о персонале в течение цикла их деловой деятельности. В недавних сводках новостей Федеральная торговая комиссия (FTC – Federal Trade Commission) рекомендовала, чтобы конгресс одобрил законы, требующие раскрывать, каким образом компании используют информацию, которую собирают путем доступа к Web-узлам. Этот вопрос встал на повестку после выяснения того, что многие Web-узлы не проводят политику секретности и не соблюдают правила информационной безопасности, описанные ниже.
В настоящее время директивы FTC о секретности представляют собой всего лишь рекомендации и не являются частью государственного законодательства. По просьбе FTC Конгресс рассмотрел эти предложения. По причине множества спорных вопросов прогнозируется, что обсуждение этих предложений затянется очень надолго.
Один из таких вопросов заключается в том, каким образом внедрять политику безопасности, когда ваша организация функционирует вне страны. Компании США, которые занимаются бизнесом в Европе, например, должны соблюдать строгие правовые нормы, охраняющие неприкосновенность личной жизни в Германии и Скандинавии. Несмотря на то, что эти нормы могут быть непопулярными внутри вашей организации, при работе вне Соединенных Штатов следование им может оказаться очень полезным. Подробная информация об этом содержится в Приложении Б.
Когда речь идет о соблюдении правил секретности, нужно установить, что не только организация должна обеспечивать соблюдение конфиденциальности информации, касающейся служащих или клиентов, но и сами служащие должны соблюдать права конфиденциальности организации. Правилами должно быть установлено, что все, что касается конфиденциальности, права собственности и другой подобной информации не может быть доступным без предварительного согласия.
Дать определение политики секретности не так легко. Поскольку правила представляют собой лишь указания, а не являются рабочими инструкциями, некоторые организации предпочитают определять, что необходимо защитить в рабочей документации. Один из наилучших способов разграничить эти понятия, заключается в том, чтобы выяснить, что должно быть включено в правила соблюдения секретности, и составить одну или несколько общих формулировок. Эти формулировки и являются правилами. Таким образом вопрос о том, как обрабатывать информацию, относится уже к области технологии.
Лицензирование COTS
Правила лицензирования коммерческого программного обеспечения COTS (commercial off-the-shelf) должны учитывать, что в большинстве случаев организации не владеют правом собственности на программное обеспечение или данные, регламентированным соответствующими лицензиями. Лицензии COTS разрешают использование программного обеспечения с определенными ограничениями. Это означает, что все правила COTS базируются на соблюдении существующих лицензий.
Индустрия программного обеспечения расширяет правоприменение процедур лицензирования с помощью альянса производителей коммерческого программного обеспечения BSA (Business Software Alliance). Используя обычно сведения, поступающие от недовольных служащих, BSA проводит аудит и докладывает о лицензионном статусе собственнику программного обеспечения. После расследования BSA поддерживает компанию в судебных процессах против компаний, нарушивших законы о хранении и использовании информации.
Строгие правила COTS предусматривают периодический просмотр лицензионных соглашений, нормативов на приобретение прав собственности, подтверждений лицензий на программное обеспечение, а также протоколов регистрации продукции, поступивших от производителей. Кроме того, должны быть разработаны правила, определяющие права копирования, а также установлен строгий контроль за этими ресурсами и отчетность за них.
Обсуждая политику COTS, автор не раз слышал одно широко распространенное суждение: "Лицензии на программное обеспечение являются собственностью и должны рассматриваться в качестве таковой". Эта идея не нова. Такие лицензии представляют собой материальную собственность с определенной стоимостью, которая может быть подсчитана и обесценена так же, как и станочный парк в рабочих цехах. Таким подходом будет доволен финансовый директор компании, если он или она будет учитывать стоимость программного обеспечения при определении суммы амортизационных отчислений на оборудование, установки и материалы.