Обязанности пользователей
Правила, устанавливающие обязанности пользователей, служат в организации для того, чтобы пользователи знали, каким образом разрешено им работать в Internet. В некоторых организациях из тех, с которыми сотрудничал автор, данный раздел служил для определения характера и стиля правил, особенно касающихся тех аспектов, которыми больше всего интересуются пользователи.
Обучение
Пользователи могут полагать, что им не нужен инструктаж для получения доступа к Internet, но здесь имеется в виду инструктаж не о том, как им получить доступ в Internet, a об их ответственности за работу в Internet. Организации должны быть осторожными при разрешении какого-то типа трафика, потому что посредством его можно со стороны получить представление об организации. Очень важно, как воспринимается организация внешней средой, и это должно быть поставлено во главу угла в вашей программе обучения.
Все организации могут проводить тот или иной инструктаж. Самые мелкие организации могут использовать простую программу обучения наподобие собеседования, когда кто-нибудь непосредственно беседует с пользователем. Есть такие организации, в которых инструктаж является элементом программы набора новых служащих, а также есть организации, которые составляют в расширенной форме правила безопасности для ознакомления с ними пользователей. Как вы организуете инструктаж, от этого зависит восприятие его пользователями. Но в первую очередь необходимо зафиксировать это в правилах.
Пользователи, имеющие доступ к Internet, должны предварительно пройти программу обучения, где будет разъяснена политика компании в сфере безопасности и ответственность пользователей за представление компании в мировой сети. Пользователи не должны пользоваться Internet до тех пор, пока полностью не пройдут установленную программу обучения.
Понимание возможностей, предоставляемых Internet
Когда автор помогал организациям разрабатывать правила безопасности, он старался удержать их от попыток включить в правила формулировки, которые являются частью программы инструктажа. Одним из таких понятий, которые не должны попасть в правила, является разъяснение того, что значит для организации соблюдение правил безопасности. В организации хотели, чтобы это понятие было записано в правилах, потому что этот документ утверждается высшим руководством. Такую логику, конечно, трудно оспорить.
В процессе тщательного анализа выявляются два пункта, которые должны присутствовать в данном разделе. Во-первых, формулировка должна разъяснять, что, получив доступ к ресурсам Internet, сотрудники для окружающего мира являются уже представителями организации. Независимо от того, приходит запрос с IP-адреса или в письменном виде, трафик пользователей, их слова и действия отражаются на деятельности организации.
Другой вопрос заключается в том, какая информация организации становится доступной при работе пользователей в Internet. В предыдущих главах описывалось, каким образом с помощью протоколов может разглашаться информация о сети организации. Все, что сделано для защиты сети, может стать бесполезным, если пользователь пересылает информацию, которая не должна разглашаться. Кроме того, пользователи вообще должны быть осторожны при распространении информации, причем речь идет не только об информации организации, но и о личной информации.
Эти формулировки правил необязательно конкретизировать, но они должны очень четко разъяснять, какой информацией организация может быть представлена в сети. Ниже представлена формулировка, которая была написана для одной организации.
Пользователи должны помнить, что, поскольку они имеют доступ к ресурсам Internet, они будут представлять организацию через TCP/IP протоколы. Поэтому, пользователям следует получать доступ к ресурсам в соответствии с их должностными инструкциями. Пользователи могут получать доступ к узлам в личных целях, но этот доступ нужно свести к минимуму. Пользователи не должны обращаться к узлам, которые содержат запрещенную, сексуальную и прочую информацию, получение которой противоречит данному и другим правилам, принятым в организации.
Работая в онлайновом режиме пользователи должны быть осторожны в вопросах предоставления информации. Им следует помнить, что посланная по электронной почте информация не является приватной, и все, что они отсылают, может быть прочитано по пути прохождения информации. Кроме того, пользователи не должны пересылать никакой информации, которая может нанести ущерб репутации организации или их личной. Конфиденциальная информация, как это сказано и в других правилах, не должна пересылаться без соответствующих мер предосторожности. Пользователям следует принимать такие же меры предосторожности и при пересылке личной информации.
Стоит также отметить формулировку из первого абзаца ограничений. Хотя ограничение доступа к определенным узлам будет описано в этой главе позже, данные формулировки служат в качестве еще одного подтверждения тому, что можно ожидать от пользователей. Остальные формулировки относятся к другим правилам.