Цель защиты
Некоторые организации понимают, что необходимо помнить о юридических проблемах, возникающих в результате работы программ сканирования информации на пользовательских системах. Многие же считают, что об этом не стоит беспокоиться, и в вашей организации могут никогда не узнать, насколько неправильно можно истолковывать правила, пока сами не столкнутся с данными проблемами (см. главу 11 "Правила надежной работы"). Это не означает, что проблем нельзя избежать. Но многие корпоративные юристы хотят ввести формулировку о необходимости защиты от вирусов и праве организации выбирать антивирусное программное обеспечение.
Предостережение от традиционного подхода к защите от вирусов
Традиционный подход к защите от вирусов заключается в том, чтобы заниматься только проблемами, возникающими в системах, построенных на платформах Windows различных версий, или в других приложениях, разработанных компанией Microsoft. Однако, проблемы с вирусами возникают и в других системах независимо от того, на какой операционной системе они базируются. Вирусы, которые появляются в определенных приложениях, могут инфицировать любую систему, в которой эти приложения запускаются. Одним из примеров является система Lotus Notes, которая может распространять вирусы на серверы UNIX, запускающие сервер Notes, но также и в том случае, когда запускается Windows NT. Существуют даже "неудаляемые" (proof-of-concept) вирусы для устройств, работающих в PalmOS.
Если организация работает с межплатформными приложениями, то правила должны требовать защиту всех платформ, а не только систем, работающих в Windows.
Один из способов обеспечения ответственности за безопасность информации заключается в том, чтобы включить в правила требование запускать антивирусную программу, причем в правилах должно быть подчеркнуто, что область действия правил ограничивается только этой программой. Несмотря на то, что существует определенная специфика, основанная на стратегии использования антивирусной программы (т.е. централизованные или распределенные программы), следует начать с установки программы. Ниже следует пример формулировки, предложенной юристом.
Организация должна использовать все возможности для предотвращения распространения компьютерных вирусов, "червей" и "троянских коней" в сетевых системах. Эти средства необходимо использовать исключительно для предотвращения распространения таких проблем по сети.
Пользователи должны принимать участие в этой программе и никакими действиями не препятствовать ее проведению.
На консультации у юриста
В старой шутке говорится, что если вы пригласите двух юристов, то будете иметь три разных мнения, и ни одно из них не будет правильным, когда речь идет о юридических правах и информационной безопасности. Несмотря на то, что автор склоняется к тому, что юристам можно позволить накладывать запрет на отдельные технические решения при разработке правил информационной безопасности, не следует бояться задавать вопросы по поводу их правовых решений по отдельным пунктам.
Один юрист говорил, что наибольшие ошибки юристы совершают при подаче сомнительных исков. Например, если формулировка правил может быть воспринята как касающаяся кадровых вопросов, они полагают, что любые проблемы возможно разрешить на основе трудового законодательства.
Не в каждой организации хотят иметь в правилах формулировку, похожую на статью уголовного кодекса. Если предположить, что в организации будет установлено антивирусное программное обеспечение на всех системах вместо того, чтобы использовать сетевые фильтры, то желательно включить в правила формулировку подобную следующей.
На всех пользовательских системах еще до того, как они будут подключены к сети, следует установить программное обеспечение для защиты от вирусов. Пользователи должны содействовать обновлению этого программного обеспечения, а также не должны отключать эти средства. Если антивирусное программное обеспечение по каким-то причинам отключено, например, по причине установки нового программного обеспечения, то пользователю необходимо провести полное сканирование системы перед ее использованием.