Ответственность организации и предоставление информации
Пользователи являются не единственными лицами, которые имеют обязанности перед организацией, описанные в правилах информационной безопасности. Организация тоже обязана информировать пользователей о том, какие требования предъявляются к ним правилами и какие они должны выполнять функции, а также какие санкции возможны со стороны руководства организации. Помимо этих обязательств организации, она еще имеет правовые обязательства информировать о том, какие шаги она предпринимает, включая наблюдение и сбор данных, проходящих через сеть. При отсутствии таких требований судебные органы не будут принимать во внимание собранные данные о нарушениях пользователями правил безопасности.
Иногда эти правила довольно сложно внести в документ AUP. Были сообщения о том, что пользователи отрицательно относятся к предписаниям правил. Это приводит к конфликту между руководством и теми, кто непосредственно руководствуется в работе этими правилами, что ухудшает моральный климат в организации. Поэтому, необходимо составить формулировки правил, в которых полностью оговаривается, какие санкции может предпринимать организация, исходя из требований правил, и гарантировать, что ее действия не будут нарушать этику.
Контроль и исследование сетевых данных
Организации испытывают большие затруднения, когда они не информируют о том, что они контролируют сеть и файлы, хранящиеся в системах организации. Обычно это происходит после того, как администратор находит нежелательную информацию на сервере или пересылаемую через сеть, что приводит к дисциплинарным взысканиям. Если пользователь решил подать судебный иск, а на суде выясняется, что руководство организации не информировало пользователей о правилах системного мониторинга, то суд встанет на сторону пользователя.
Всякий раз, когда встает вопрос об информировании или не информировании пользователей, юристы предлагают учесть ошибки в отношении принятия мер предосторожности и внести это в документ AUP. К сожалению, не существует надежных способов добиться того, чтобы организация получила право играть роль "строгого папаши" по отношению к пользователям ее сети. Иногда приходится вводить жесткую формулировку, чтобы не было двоякого толкования правил. Ниже представлен пример жесткой формулировки правил.
Руководство оставляет за собой право исследовать данные, хранящиеся на всех компьютерах и в сетевых системах, с помощью средств физического исследования и электронного мониторинга. Если в собранной информации обнаружены факты нарушения правил информационной безопасности или закона, то организация может использовать эти данные для дисциплинарных взысканий или правовых санкций.
Сбор конфиденциальных данных
Если организация контролирует данные, то желательно, чтобы некоторые из этих данных были собраны. Даже если организация не проводит активного наблюдения за сетью, существуют другие посторонние источники информации, с помощью которых организация также может собирать записи. Независимо от того, занимается ли организация в настоящее время сбором информации, она должны уведомить, какие данные она собирает, описать методы сбора и способы хранения.
Для некоторых организаций это представляет собой довольно сложный вопрос, поскольку его нужно внести в AUP в качестве дополнения к правилам управления персоналом. Возникает впечатление, что в документе AUP не уделяется внимание кадровым вопросам, что может вызвать негативную реакцию. Лучше всего посоветоваться с отделом кадров для определения того, что нужно внести в документ AUP, а что оставить на усмотрение отдела кадров. В любом случае есть несколько вопросов, которые необходимо рассмотреть в формулировках правил. Ниже следует далеко не полный перечень этих вопросов.
- Предоставление информации о том, какую информацию можно собирать о пользователях.
- Организация может заявить, что она не будет собирать информацию о высказываниях пользователей о первой поправке к конституции (США).
- Прежде всего должна быть обоснована необходимость сбора конфиденциальной информации.
- Организация понимает, что распространение собранных конфиденциальных данных запрещено.
- Должно быть определено, разрешен ли мониторинг в организации и, если разрешен, то какой тип мониторинга.
- Правила должны гарантировать сохранение в тайне собранных данных, если их разрешено было собирать, за исключением тех случаев, когда разглашение требуется на основании судебного ордера.
- Замечание от юристов: можно включить право отказа от ответственности, где говорится, что организация может использовать свои полномочия без уведомления об этом, и снять с себя ответственность за потерю или искажение данных по причине сбоев программного обеспечения.