Мониторинг, средства управления и меры наказания
Дело Рэндала Шварца
В громком деле знаменитый автор и эксперт фирмы Pearl Рэндап Шварц (Randal Schwartz) был осужден за компьютерное преступление в штате Орегон. Обвинявшийся, помимо всего прочего, в несанкционированном тестировании средств защиты сети и систем корпорации Intel, когда он работал на Intel в качестве подрядчика, Шварц заявил, что он это сделал с наилучшими намерениями. Независимо от мнения читателя об этом деле, представим, будто читатель несет ответственность за безопасность сети. Никто никогда не знает, с какими намерениями осуществляется зондирование системы – с благородными или не совсем, особенно, если это, якобы благородное, лицо делает это без разрешения. Как можно об этом знать наверняка? Что предпринял бы читатель в этой ситуации? Об этом стоит подумать при разработке ваших правил.
Формулировки этих правил очень сильно зависят от законов, касающихся вашей деятельности. Чтобы эти правила были эффективными и, при необходимости, могли служить для обеспечения правовой защиты, законодательство или прецедентное право включает требование о том, чтобы организация руководствовалась в работе своими собственными правилами, во избежание юридического разбирательства. Люди, занимающиеся техническими вопросами, так не думают, но, тем не менее, необходимо изменить свой менталитет и всегда обращаться за помощью к адвокатам. Нижеследующую формулировку можно использовать в качестве руководства по разработке правил управления.
Руководство и назначенные администраторы должны нести ответственность за тестирование средств управления доступом и тестирование сети на наличие уязвимых мест. Пользователи не должны проводить тестирование на наличие уязвимых мест и тестирование средств управления доступом вручную или программными средствами.
Когда уязвимые места становятся известны, пользователи не должны использовать их возможности вручную или с помощью программных средств.
Руководство и назначенные администраторы должны иметь доступ к средствам, которые могут помочь в управлении и тестировании системы обеспечения информационной безопасности. Пользователи не должны иметь доступ к этим средствам через сеть организации и не должны загружать эти средства в любую область сети или "скачивать" их оттуда.
Меры наказания
К каждому правилу и закону прилагаются инструкции по назначению наказаний и взысканий. В правила информационной безопасности необходимо также включить формулировку, касающуюся мер наказания. Одна из причин сделать это заключается в том, чтобы в случае нарушения безопасности, не возникало вопросов, имеет ли организация право применять меры наказания. Поскольку нарушения могут совершаться и внутри организации, и сторонними взломщиками, в правилах должны быть учтены оба варианта.
Исходя из юридического опыта автора, разработка такого правила начинается с общей формулировки, в которой говорится, что пользователю запрещено наносить вред системам, сетям и т.п. Формулировка может быть составлена таким образом, чтобы охватить основные постановления по правоприменению всех имеющихся правил. Она может выглядеть следующим образом.
Категорически запрещено любое поведение, которое неблагоприятно отражается на работе других лиц в системах и сетях компании или которое может навредить другим лицам.
Далее, устанавливаются правила применения мер наказания по отношению к пользователям, которые нарушают правила. Автор предпочитает использовать две формулировки. Одна формулировка правил адресована ко всем пользователям. Ее предлагается использовать при применении мер наказания по отношению к внутренним пользователям, например, собственным служащим. Другая формулировка похожа на первую, но предназначена для внешних пользователей или подрядчиков, которые пользуются сетью на основе особого разрешения. В этой формулировке нужно показать причину, по которой они допущены к пользованию сетями и системами, например, ссылку на контракты или договоры, на основе которых им предоставлен доступ. Ниже представлен пример таких формулировок.
Руководство имеет право аннулировать любые привилегии доступа пользователей и в любой момент разорвать с ними трудовое соглашение за нарушения предписаний правил безопасности или за поведение, мешающее нормальной работе сети и компьютерных систем организации.
Руководство имеет право разорвать контракты и договоры с подрядчиками и другими внешними пользователями, если они нарушают предписания правил или демонстрируют поведение, которое мешает нормальной работе сети и компьютерных систем организации.
И, наконец, правила должны охватывать незаконную деятельность, осуществляемую внутренними пользователями и внешними взломщиками. Можно записать в правила отдельную формулировку, которая отражает реакцию организации на все виды незаконной деятельности. Для этой формулировки нет краткой формы. В ней должно быть сказано, что в соответствии с местными законами ожидает тех, кто нарушает законы.
Клиент, который хотел по собственному усмотрению привлекать правоохранительные органы и систему закона, вместо того, чтобы делать это в обязательном порядке, опирался на приведенную ниже формулировку правил. Руководство понимало, что в некоторых случаях увольнение служащего является достаточным наказанием. Поскольку об увольнении было сказано в предыдущей формулировке правил, мы разработали такую формулировку.
Руководство имеет право применить собственные меры наказания вместо соответствующих санкций по криминальному или гражданскому законодательству против любого, кто использует, злоупотребляет или атакует сеть организации и информационные системы таким образом, что это может быть отнесено к нарушениям закона и предписаний этих правил.