Обязанности пользователей
Пересылка важной информации
В последнем разделе в правилах говорилось о том, чтобы не пересылать конфиденциальную информацию "без соответствующих мер предосторожности". Определение соответствующих мер предосторожности зависит от того, как составлены правила, и от требований организации. Требования организации зависят от многих факторов, включая договорные обязательства. Например, подрядчики федерального правительства вводят ограничения на информацию, которую могут пересылать, даже внутри своих локальных сетей.
Другой вопрос, на который необходимо обратить внимание, это непреднамеренное раскрытие информации. Пользователи, которые "бегают" по сети, заходят на узлы, на которых для получения информации требуется заполнить онлайновые формы. Эти формы могут запрашивать некоторую информацию. Поэтому, если много людей посетит этот узел, совокупная информация, которую они все вместе дают, может предоставить кому-то сведения об организации.
В идеале, можно написать правило, следуя которому при запросе пользователя группа безопасности организации заполняет онлайновые формы или сама осуществляет онлайновые запросы, полностью контролируя сообщения. Но на деле все происходит иначе. Можно с уверенностью сказать, что если кому-то потребуется отправить официальный документ компании, сомнительный с точки зрения службы безопасности, вряд ли он захочет представить свой запрос на утверждение. Что же касается правил, то в них необходимо внести такую формулировку, которая будет исполняться, и рассчитывать на то, что обучение персонала, наблюдение и контроль за сетью обеспечат неразглашение важной информации.
Некоторые люди видят два пути решения данной проблемы. Наиболее распространенный способ заключается в обновлении учебных программ, в которых предусмотрена более тщательная проработка этих вопросов. Другое популярное правило требует установить фильтры, которые будут просматривать содержание всей корреспонденции, которая отправляется в Internet. В отношении таких фильтров существуют технические проблемы, которые в этой книге не рассматриваются. Но для некоторых организаций решение настоящей задачи является важным делом. Учитывая это, формулировка правил может выглядеть следующим образом.
Пользователи не должны передавать никакой информации, которая раскрывает сведения об интеллектуальной собственности или деловой активности организации. Пользователи не должны преднамеренно пересылать документы или другие данные клиентам или сторонним лицам без соответствующих мер предосторожности. В меры предосторожности, помимо всего прочего, необходимо включить шифрование, пересылку по выделенному каналу и санкционирование лица, ответственного за эту информацию.
Надежность загружаемой информации
Из истории известно, что департамент безопасности финансировал исследовательские работы ARPANET (Advanced Research Project Agency network – сеть Агентства перспективных исследовательских разработок) с целью создания способа распределения информации. Открытость ARPANET новым идеям и способность распределять информацию делают эту организацию популярной среди технологов, которые пользуются ее услугами.
С развитием Internet положение не изменилось. Множество узлов Internet хранят миллионы гигабайт программного обеспечения различной степени полезности для каждого. Проблема заключается в том, что существуют узлы, на которых выставлены "более чем опасные" программы, замаскированные под что-то полезное. Среди них попадаются и полезные программы, но содержащие дефекты, которые могут причинить ущерб системе и сети. И, наконец, существуют узлы, которые предлагают программное обеспечение, предназначенное для преднамеренного повреждения системы или сети.
С учетом всего этого существует тенденция разрабатывать правила, запрещающие использование всего загружаемого из Internet программного обеспечения. Однако, если это сделать, то пользователи не смогут загружать последние обновления Web-браузеров. Поиск способа избежать проблем с загружаемым программным обеспечением путем создания действенных правил является, в некотором смысле, вызовом. Можно не хотеть допускать вседозволенность, но и можно было бы написать такую формулировку, которая бы предотвратила проблемы.
Пользователи могут загружать программное обеспечение из Internet, которое поможет им выполнять свои функции в организации. Пользователи, которые загружают программное обеспечение, должны делать это в системе, которая защищена постоянно обновляющимися антивирусными программами. Пользователи не должны отключать антивирусное программное обеспечение при запуске загружаемого из Internet в систему пользователя программного обеспечения. Если для инсталляции программного обеспечения необходимо отключить антивирусные программы, то пользователь должен провести полное антивирусное сканирование системы после завершения инсталляции.