Инструкции о речевых оборотах

Помогая одной организации писать правила информационной безопасности, некоторые члены комиссии говорили о необходимости добавления в AUP инструкций по использованию речевых оборотов как о стремлении узаконить в организации "политическое словоблудие". Культура этой организации была достаточно неформальной. Руководство относилось к самым рядовым служащим как к равным. Они не хотели выглядеть корпоративным "строгим папашей" и разрушать чувство единой команды, царящее в организации.

Через несколько дней после этих дискуссий газеты напечатали на первых полосах историю о судебном иске против крупной нефтяной компании касательно грубого отношения к сотрудникам и дискриминации. Утверждалось, что должностное лицо было обвинено в дискриминации подчиненных. В качестве улики служащие использовали заархивированное послание этого руководителя по электронной почте. В конечном счете компания публично извинилась и сообщила, что этот руководитель понес наказание.

Данная история возымела эффект. На следующей встрече вице-президент, который спонсировал разработку правил информационной безопасности, передал автору книги листок бумаги. В нем говорилось следующее:

Поскольку мы (!) считаем себя одной семьей, будучи членом этой семьи, вы должны помнить, что каждый из нас - личность, и у каждого из нас имеется свое мнение. Это означает, что вы должны учитывать, что думают люди, когда вы говорите о политике, религии или используете непристойные выражения. Поэтому нельзя говорить или писать обо всем, что может быть расценено как оскорбление, будь то комментарии о расе, возрасте, поле, физическом развитии или сексуальной ориентации. Если вы с этим не согласны, то вам стоит покинуть нашу семью и уволиться.

После небольшой корректировки эта формулировка была включена в документ AUP.

Язык документа AUP

Язык документа AUP
На протяжении этой книги автор использовал очень формализованный язык для примеров формулировок правил (см. "Язык документов политики безопасности" в главе 4 "Физическая безопасность"). При разработке AUP можно использовать тот же язык, который использовался при разработке документов правил безопасности организации. Поскольку AUP обычно является первым документом, с которым знакомятся, попав в организацию, автор постарался использовать в AUP понятный и достаточно информативный языковой стиль.
При выборе языкового стиля необходимо проявлять осторожность. В противном случае смысл документа может быть искажен. Если язык слишком неофициальный или не лаконичный, то AUP могут не воспринимать всерьез. Если же язык будет слишком официальным, то пользователи могут не воспринимать всерьез сами правила. Поэтому, необходимо найти золотую середину.

Документ AUP должен быть простым и четко оформленным. Когда автор помогал организациям разрабатывать документы AUP, то старался строить документ следующим образом.

Введение и назначение. Документ начинается с абзаца, где разъясняется, что такое AUP, его назначение и правила, на которых он базируется. В некоторых организациях, по совету своих юристов, добавляют формулировку, в которой в общих чертах говорится о том, какие области охватывают правила. Одобрение "высших инстанций". AUP разрабатывается на базе уже разработанных правил. Добавляется формулировка, в которой говорится об этом, а также указывается, где пользователь может прочитать копии документов данных правил. Кроме того, пользователь должен знать, что правила могут меняться. Можно включить такую формулировку.

Эти правила надежной работы разработаны на базе правил информационной безопасности организации. Копии документов правил информационной безопасности можно получить у заместителя начальника каждого отдела или в электронном виде во внутренней сети организации.
Эти правила могут меняться. Организация может принять решение об изменении правил без предварительного уведомления. После внесения изменений пользователи будут информированы об этом посредством электронной почты.

Срок. Автор был удивлен, узнав, что в юридические документы такого типа, как и наши правила безопасности, требуется вводить формулировку, определяющую срок их действия. Хорошая общая формулировка может выглядеть следующим образом.

Пользователь согласен подчиняться предписаниям правил надежной работы и правил информационной безопасномти, начиная с даты подписания им этих правил и до тех пор, пока он будет работать в организации.

Обязанности пользователей. Поскольку AUP представляет собой краткое изложение правил, в них следует включить те положения правил, на которых необходимо сделать ударение. Далее в главе будут обсуждаться те постановления, которые стоило бы включить в документ AUP.

Контроль и исследование сетевых данных

Организации испытывают большие затруднения, когда они не информируют о том, что они контролируют сеть и файлы, хранящиеся в системах организации. Обычно это происходит после того, как администратор находит нежелательную информацию на сервере или пересылаемую через сеть, что приводит к дисциплинарным взысканиям. Если пользователь решил подать судебный иск, а на суде выясняется, что руководство организации не информировало пользователей о правилах системного мониторинга, то суд встанет на сторону пользователя.

Всякий раз, когда встает вопрос об информировании или не информировании пользователей, юристы предлагают учесть ошибки в отношении принятия мер предосторожности и внести это в документ AUP. К сожалению, не существует надежных способов добиться того, чтобы организация получила право играть роль "строгого папаши" по отношению к пользователям ее сети. Иногда приходится вводить жесткую формулировку, чтобы не было двоякого толкования правил. Ниже представлен пример жесткой формулировки правил.

Руководство оставляет за собой право исследовать данные, хранящиеся на всех компьютерах и в сетевых системах, с помощью средств физического исследования и электронного мониторинга. Если в собранной информации обнаружены факты нарушения правил информационной безопасности или закона, то организация может использоватъ эти данные для дисциплинарных взысканий или правовых санкций.

Обязанности пользователей Internet

В главе 6 "Правила безопасности Internet" есть раздел, в котором приведены обязанности пользователей. Эти правила являются кодексом поведения для пользователей, подключающихся к Internet. Мы включили отдельный раздел для пользователей Internet по причине растущего значения Internet как производственного ресурса и особого вида коммуникаций.

При разработке документа AUP необходимо учесть, что вводимые в документ правила относятся только к использованию Internet и не являются общими для всех систем и сети. Зная это, вы не будете пытаться повторить эти формулировки в других правилах.

Поэтому, в первую очередь мы должны выделить наиболее важные положения правил Internet и включить их в качестве резюмирующих формулировок в AUP. В процессе обсуждений в главе 6 были определены четыре основных раздела, которые можно включить в документ AUP. Примеры формулировок, охватывающих эти вопросы, следующие.

Каждое сообщение или запрос, отправленные в Internet, включают в себя информацию, идентифицирующую принадлежность пользователя к организации. Поэтому пользователи должны вести себя профессионально и не должны подключаться к узлам, содержащим противозаконную, сексуальную или другую информацию, несовместимую с предписаниями правил безопасности. Пользователи должны быть проинформированы, что коммуникации Internet не являются конфиденциальными. Работая в сети, пользователи должны быть осторожными в вопросах того, какую информацию они могут раскрывать. Пользователи не должны передавать по сети любую информацию, разглашение которой может навредить организации или им самим. Пользователи не должны передавать никакой информации, которая раскрывает сведения об интеллектуальной собственности организации. Это относится и к отправлению документов или других данных посторонним лицам без соблюдения необходимых мер предосторожности. Пользователи, которые загружают программное обеспечение из Internet, должны делать это на защищенных постоянно обновляемым антивирусным программным обеспечением системах. Антивирусное программное обеспечение должно быть в рабочем состоянии, когда загруженное извне программное обеспечение запускается на пользовательской системе. Если для инсталляции программного обеспечения требуется отключитъ антивирусное программное обеспечение, то пользователь должен после завершения инсталляции выполнить полное антивирусное сканирование системы.

И, наконец, если в правила Internet входит программа инструктажа, то в документ AUP нужно добавить простую формулировку, подобную следующей.

Пользователи, желающие иметь доступ к Internet, должны вначале пройти курс обучения.

Обязанности пользователей при регистрации в системе

Начав разработку AUP с приверженности их законам и перечисления компонентов, составляющих эти правила, имеет смысл теперь обсудить что-нибудь попроще, вроде обязанностей пользователей при регистрации в системе. Этот раздел представляет собой краткое изложение правил аутентификации (см. главу 5 "Аутентификация и безопасность сети"). Здесь представлены правила, которые должны знать пользователи, даже если они и не читали все документы, составляющие правила безопасности.

Простейший способ выбрать все важное заключается в составлении списка коротких формулировок для включения их в документ AUP.

Для регистрации в сети вы должны ввести по запросу свое пользовательское имя и пароль. Если вы ввели пароль некорректно три раза подряд, ваша учетная запись будет заблокирована, и вы не сможете войти в систему до тех пор, пока системный администратор не снимет
блокировку. Пароли должны меняться каждые 60 дней. Вам должны напомнить про замену пароля за три дня до этого. Если вы не измените свой пароль по истечении 60 дней, то ваша учетная запись будет заблокирована, и вы не сможете зарегистрироваться в системе до тех пор, пока администратор не снимет блокировку. Вы никогда не должны записывать свой пароль. Вы несете ответственность за защиту ваших пользоватыьских идентификационных реквизитов и пароля. Если вы подозреваете, что ваш пароль знает кто-то еще, то должны изменить его немедленно и доложить об этом администратору. Вы не должны сообщать свои пользовательские идентификационные реквизиты и пароль кому бы то ни было. Если существует требование предоставить право доступа постороннему пользователю, то этот пользователь должен выполнить соответствующие процедуры запроса на получение доступа. Если вы забыли свой пароль или вам необходимо восстановить его с помощью администратора, то эти вопросы вы должны решать лично.

Образец AUP

Образец AUP
Хоть в эту главу включены некоторые образцы формулировок, в Приложении В "Примеры правил" представлен также полный пример AUP.

Ответственность организации и предоставление информации

Пользователи являются не единственными лицами, которые имеют обязанности перед организацией, описанные в правилах информационной безопасности. Организация тоже обязана информировать пользователей о том, какие требования предъявляются к ним правилами и какие они должны выполнять функции, а также какие санкции возможны со стороны руководства организации. Помимо этих обязательств организации, она еще имеет правовые обязательства информировать о том, какие шаги она предпринимает, включая наблюдение и сбор данных, проходящих через сеть. При отсутствии таких требований судебные органы не будут принимать во внимание собранные данные о нарушениях пользователями правил безопасности.

Иногда эти правила довольно сложно внести в документ AUP. Были сообщения о том, что пользователи отрицательно относятся к предписаниям правил. Это приводит к конфликту между руководством и теми, кто непосредственно руководствуется в работе этими правилами, что ухудшает моральный климат в организации. Поэтому, необходимо составить формулировки правил, в которых полностью оговаривается, какие санкции может предпринимать организация, исходя из требований правил, и гарантировать, что ее действия не будут нарушать этику.

Правила надежной работы

Тем читателям, КТО СЛЕДУЕТ УКАЗАНИЯМ настоящей книги, необходимо еще провести большую работу, чтобы завершить разработку правил информационной безопасности. Закончив эту массу работы, следует обратить свое внимание на итоговую версию документа, называемую Правилами надежной работы (Acceptable Use Policy — AUP).

AUP является документом, в котором собраны все необходимые пользователям правила. В AUP собраны фрагменты правил организации, отражающие обязанности пользователей в области обеспечения безопасности. В основном, в этих фрагментах резюмируются отдельные мысли правил, и написаны они простым языком. Хороший документ AUP должен быть кратким и точным. В идеале, AUP должен занимать всего лишь несколько страниц.

Обычно, AUP представляет собой подписанный документ, который является обязательством подчиняться правилам безопасности, на базе которых он составлен. Его можно выдавать вновь принятым на работу сотрудникам, подрядчикам или поставщикам, которым предоставляется доступ к сети, чтобы обеспечить гарантии того, что они будут знать свои обязанности. Цель создания документа - привлечь внимание к документам, составляющим политику организации, не требуя от пользователей читать их все. В документе AUP должно говориться, что пользователь обязан подчиняться правилам, но AUP можно рассматривать как "документ ускоренного начала работы", чтобы разрешить пользователям прочитать полный комплект документов позже.

Работа с системами и в сети

Теперь, когда пользователь может зарегистрироваться в системе или сети, он должен знать, что можно, а что нельзя делать в сети. В этом разделе мы повторяем многие правила безопасности, касающиеся ежедневной работы. Это обычные правила поведения, нашедшие отражение в правилах безопасности. Сюда можно включить следующие правила.

Системы и сети можно использовать только в деловых целях. Использование в других целях разрешается тольков том случае, если это не занимает много времени и не мешает вашей работе. Подключение организации к Internet должно использоваться для производственных целей. Правила пользования Internet такие же, как и вышеописанные. Пользователи не должны использовать системы, сети или подключения к Internet для игр. Организация поддерживает стандартную конфигурацию всех своих систем. Пользователи не должны устанавливать нестандартное программное обеспечение без предварительного разрешения. Пользователи должны быть проинформированы, что информация организации является ее собственностью и не должна передаваться посторонним лицам. В случае необходимости, для выполнения своих производственных задач пользователь может копировать эту информацию. Передавать эту информацию можно только соответствующему персоналу. Если есть необходимость в передаче патентованной информации посторонним пользователям, нужно, руководствуясь правилами, выяснить, как это можно сделать, не нарушая правил безопасности.

Разработка AUP

Несмотря на то, что AUP представляет собой весьма важный документ, он должен быть кратким и исчерпывающим. Одна из проблем, с которой можно столкнуться при разработке AUP, заключается в том, что в нем необходимо учесть различные аспекты деятельности различных организаций. Отдел кадров организации захочет получить гарантии, что в документе описаны правила найма на работу и положения трудового законодательства, которыми он тоже должен руководствоваться. Кроме того, тем, кому приходится сотрудничать с подрядчиками и поставщиками, необходимо будет включить документы AUP и правил в контракты с этими сторонними организациями.

Хоть AUP читается легко, многие находят, что разрабатывать этот документ очень сложно. В одной организации стол переговоров превратился чуть ли не в поле битвы, когда руководство, отдел кадров, управление работы с подрядчиками и юристы попытались утвердить AUP. Чтобы достигнуть консенсуса, им пришлось провести три заседания и обменяться массой сообщений по электронной почте.

в котором описаны все правила,

Резюме

Правила надежной работы (AUP) представляют собой документ, в котором описаны все правила, касающиеся пользователей. В AUP собраны фрагменты правил организации, отражающие обязанности пользователей в области обеспечения безопасности. В основном, в этих фрагментах резюмируются отдельные мысли правил, и написаны они простым языком. Документ AUP должен быть кратким, чтобы его можно было использовать в качестве обязательства подчиняться правилам информационной безопасности. Его можно выдавать вновь принятым на работу сотрудникам, подрядчикам или поставщикам, которым предоставляется доступ к сети, чтобы обеспечить гарантии того, что они будут знать свои обязанности.
1. Разработка AUP. AUP является важным документом. Он должен быть кратким и исчерпывающим. Одна из проблем, с которой можно столкнуться при разработке AUP, заключается в том, что для создания документа необходимо скоординировать работу различных отделов. Обычно документ AUP должен быть простым и четко оформленным. 2. Обязанности пользователей при регистрации в системе. Этот раздел представляет собой краткое изложение правил аутентификации (см. главу 5). Пользователи должны быть информированы о положениях, которые им надлежит знать, даже если они и не читали все документы, составляющие правила безопасности. 3. Работа с системами и в сети. В этом разделе повторяются многие правила безопасности, касающиеся ежедневной работы. Это обычные правила поведения, нашедшие отражение в правилах безопасности. 4. Обязанности пользователей Internet. В правилах Internet описываются обязанности пользователей. Эти правила являются кодексом поведения для пользователей, подключающихся к Internet. Мы включили отдельный раздел для пользователей Internet по причине растущего значения Internet как производственного ресурса и особого вида коммуникаций. В AUP необходимо включить исключительно правила, относящиеся к использованию Internet. Выделите наиболее важные положения правил Internet и включите их в качестве резюмирующих формулировок в AUP. 5. Ответственность организации и предоставление информации. Организация обязана информировать пользователей о том, каких действий требуют от них предписания правил, и какие санкции возможны со стороны pуководства организации. Организация еще имеет правовые обязательства информировать о том, какие шаги она предпринимает, включая наблюдение и сбор данных, проходящих через сеть. Если правилами разрешен мониторинг пересылок по сети или пользовательских файлов, в документе AUP следует написать об этом. Организация должна информировать о том, что она занимается сбором информации о пользователях из любых источников. В правила необходимо включить формулировки о методах сбора и хранения данных. Информирование - это то, что должно предотвратить осложнения, если собранная информация будет служить основанием для дисциплинарных взысканий. 6. Инструкции о речевых оборотах. Можно добавить формулировку о введении инструкций, касающихся речевых оборотов, что поможет предотвратить определенные проблемы в будущем. Эти инструкции обсуждались в предыдущих главах. В некоторых организациях считается более удобным неформальный стиль взаимоотношений. Главное - построить взаимоотношения так, чтобы пользователи прислушивались к руководству.

Сбор конфиденциальных данных

Если организация контролирует данные, то желательно, чтобы некоторые из этих данных были собраны. Даже если организация не проводит активного наблюдения за сетью, существуют другие посторонние источники информации, с помощью которых организация также может собирать записи. Независимо от того, занимается ли организация в настоящее время сбором информации, она должны уведомить, какие данные она собирает, описать методы сбора и способы хранения.

Для некоторых организаций это представляет собой довольно сложный вопрос, поскольку его нужно внести в AUP в качестве дополнения к правилам управления персоналом. Возникает впечатление, что в документе AUP не уделяется внимание кадровым вопросам, что может вызвать негативную реакцию. Лучше всего посоветоваться с отделом кадров для определения того, что нужно внести в документ AUP, а что оставить на усмотрение отдела кадров. В любом случае есть несколько вопросов, которые необходимо рассмотреть в формулировках правил. Ниже следует далеко не полный перечень этих вопросов.

Предоставление информации о том, какую информацию можно собирать о пользователях. Организация может заявить, что она не будет собирать информацию о высказываниях пользователей о первой поправке к конституции (США). Прежде всего должна быть обоснована необходимость сбора конфиденциальной информации. Организация понимает, что распространение собранных конфиденциальных данных запрещено. Должно быть определено, разрешен ли мониторинг в организации и, если разрешен, то какой тип мониторинга. Правила должны гарантировать сохранение в тайне собранных данных, если их разрешено было собирать, за исключением тех случаев, когда разглашение требуется на основании судебного ордера. Замечание от юристов: можно включить право отказа от ответственности, где говорится, что организация может использовать свои полномочия без уведомления об этом, и снять с себя ответственность за потерю или искажение данных по причине сбоев программного обеспечения.

Аудит и сбор данных

За определенное время администраторы могут собрать много данных. Независимо от того, выбираются эти данные из системных журналов или являются копией системного или сетевого трафика, их можно использовать для проверки эффективности применения правил. В качестве одного из этапов периодического аудита, проводимого для оценки эффективности применения правил, эти данные могут оказаться полезными при изучении проблем, вызванных применением правил или выявленных в результате применения правил.

Автор обнаружил, что эти данные полезны для того, чтобы лучше понять, как работает организация, и полезны для совершенствования правил. Дополнительно к этому, они также могут предоставить информацию о загрузке сети, а это может помочь организации провести изменения для повышения эффективности работы сети. Поэтому, в правила аудита необходимо также включить требование по сохранению информации для последующего изучения. Формулировка правил может быть довольно проста.

Данные, необходимые для обработки информации о нарушениях информационной безопасности и об инцидентах, должны сохраняться, чтобы их можно было использовать во время анализа правил информационной безопасности на эффективность применения.

Дело Рэндала Шварца

Дело Рэндала Шварца
В громком деле знаменитый автор и эксперт фирмы Pearl Рэндап Шварц (Randal Schwartz) был осужден за компьютерное преступление в штате Орегон. Обвинявшийся, помимо всего прочего, в несанкционированном тестировании средств защиты сети и систем корпорации Intel, когда он работал на Intel в качестве подрядчика, Шварц заявил, что он это сделал с наилучшими намерениями. Независимо от мнения читателя об этом деле, представим, будто читатель несет ответственность за безопасность сети. Никто никогда не знает, с какими намерениями осуществляется зондирование системы — с благородными или не совсем, особенно, если это, якобы благородное, лицо делает это без разрешения. Как можно об этом знать наверняка? Что предпринял бы читатель в этой ситуации? Об этом стоит подумать при разработке ваших правил.

Формулировки этих правил очень сильно зависят от законов, касающихся вашей деятельности. Чтобы эти правила были эффективными и, при необходимости, могли служить для обеспечения правовой защиты, законодательство или прецедентное право включает требование о том, чтобы организация руководствовалась в работе своими собственными правилами, во избежание юридического разбирательства. Люди, занимающиеся техническими вопросами, так не думают, но, тем не менее, необходимо изменить свой менталитет и всегда обращаться за помощью к адвокатам. Нижеследующую формулировку можно использовать в качестве руководства по разработке правил управления.

Руководство и назначенные администраторы должны нести ответственность за тестирование средств управления доступом и тестирование сети на наличие уязвимых мест. Пользователи не должны проводить тестирование на наличие уязвимых мест и тестирование средств управления доступом вручную или программными средствами.
Когда уязвимые места становятся известны, пользователи не должны использовать их возможности вручную или с помощью программных средств.
Руководство и назначенные администраторы должны иметь доступ к средствам, которые могут помочь в управлении и тестировании системы обеспечения информационной безопасности. Пользователи не должны иметь доступ к этим средствам через сеть организации и не должны загружать эти средства в любую область сети или "скачивать" их оттуда.

Консультации у юриста

Консультации у юриста
На протяжении всей книги приводятся примеры формулировок правил, которые можно использовать в качестве образца при разработке своих правил. Можно также эти примеры целиком вставлять в разрабатываемые правила. Но не следует забывать, что эти примеры базируются на личном опыте автора, поэтому следует их доработать согласно конкретным юридическим нормам.Поэтому мы настоятельно рекомендуем, для проверки законности этих формулировок проконсультироваться у юриста той страны, в которой компания занимается бизнесом.

Меры наказания

К каждому правилу и закону прилагаются инструкции по назначению наказаний и взысканий. В правила информационной безопасности необходимо также включить формулировку, касающуюся мер наказания. Одна из причин сделать это заключается в том, чтобы в случае нарушения безопасности, не возникало вопросов, имеет ли организация право применять меры наказания. Поскольку нарушения могут совершаться и внутри организации, и сторонними взломщиками, в правилах должны быть учтены оба варианта.

Исходя из юридического опыта автора, разработка такого правила начинается с общей формулировки, в которой говорится, что пользователю запрещено наносить вред системам, сетям и т.п. Формулировка может быть составлена таким образом, чтобы охватить основные постановления по правоприменению всех имеющихся правил. Она может выглядеть следующим образом.

Категорически запрещено любое поведение, которое неблагоприятно отражается на работе других лиц в системах и сетях компании или которое может навредить другим лицам.

Далее, устанавливаются правила применения мер наказания по отношению к пользователям, которые нарушают правила. Автор предпочитает использовать две формулировки. Одна формулировка правил адресована ко всем пользователям. Ее предлагается использовать при применении мер наказания по отношению к внутренним пользователям, например, собственным служащим. Другая формулировка похожа на первую, но предназначена для внешних пользователей или подрядчиков, которые пользуются сетью на основе особого разрешения. В этой формулировке нужно показать причину, по которой они допущены к пользованию сетями и системами, например, ссылку на контракты или договоры, на основе которых им предоставлен доступ. Ниже представлен пример таких формулировок.

Руководство имеет право аннулировать любые привилегии доступа пользователей и в любой момент разорвать с ними трудовое соглашение за нарушения предписаний правил безопасности или за поведение, мешающее нормальной работе сети и компьютерных систем организации.
Руководство имеет право разорвать контракты и договоры с подрядчиками и другими внешними пользователями, если они нарушают предписания правил или демонстрируют поведение, которое мешает нормальной работе сети и компьютерных систем организации.

И, наконец, правила должны охватывать незаконную деятельность, осуществляемую внутренними пользователями и внешними взломщиками. Можно записать в правила отдельную формулировку, которая отражает реакцию организации на все виды незаконной деятельности. Для этой формулировки нет краткой формы. В ней должно быть сказано, что в соответствии с местными законами ожидает тех, кто нарушает законы.

Клиент, который хотел по собственному усмотрению привлекать правоохранительные органы и систему закона, вместо того, чтобы делать это в обязательном порядке, опирался на приведенную ниже формулировку правил. Руководство понимало, что в некоторых случаях увольнение служащего является достаточным наказанием. Поскольку об увольнении было сказано в предыдущей формулировке правил, мы разработали такую формулировку.

Руководство имеет право применить собственные меры наказания вместо соответствующих санкций по криминальному или гражданскому законодательству против любого, кто использует, злоупотребляет или атакует сеть организации и информационные системы таким образом, что это может быть отнесено к нарушениям закона и предписаний этих правил.

Мониторинг

Первый шаг по созданию правил мониторинга заключается в определении прав организации на наблюдение. Несмотря на то, что эти правила могут быть направлены на утверждение прав руководства на мониторинг, в их предписаниях может быть сказано, что руководство имеет право назначить кого-либо для осуществления мониторинга. В конце концов можно посадить несколько исполнителей из отдела информационных технологий перед мониторами для наблюдения за сетевым трафиком. Правила могут выглядеть следующим образом.

Руководство имеет право наблюдать за всей деятельностью в системе и за сетевым трафиком для проведения в жизнь постановлений правил безопасности. Руководство имеет право возложить обязанности по мониторингу и другие обязанности на отдельных администраторов.

Мониторинг средства управления и меры наказания

Мониторинг, средства управления и меры наказания

Наиболее дискуссионная тема правил информационной безопасности касается мониторинга, средств управления и меры наказания при нарушениях. Дебаты возникают из-за некоторых правил мониторинга и управления, которые могут быть использованы при правовой защите информационной безопасности организации. Признавая их законными, некоторые адвокаты видят в этих методах нарушение прав неприкосновенности частной жизни. Работая со многими организациями, автор советовал соблюдать осторожность и разработать правила, которые помогут в работе, а не вызовут недоверие или негативную реакцию.

Проблема заключается в том, что статистика показывает наибольшее количество нарушений безопасности именно внутри организации, в то время как основное внимание уделяется защите от внешних действий. Благодаря тому, что об этом много говорят, во многие правила включены постановления, касающиеся применения санкций к посторонним нарушителям. Необходимо изучить внешнюю угрозу и рассмотреть внутреннюю опасность. Даже если организация не хочет, чтобы правила выглядели как набор предписаний для создания полицейского государства, все равно необходимо обеспечить возможность контроля исполнения правил и возможность принудительного их применения.

Обязанности администраторов

В предыдущем разделе этой главы были описаны, в основном, обязанности руководства по внедрению правил безопасности. Руководство может назначить администраторов для мониторинга и проверки соответствия, но об их обязанностях не было ничего сказано, так как это отнесли к деталям реализации. В правилах для администраторов необходимо указать те вопросы, за которые отвечает администратор.

Некоторые правила предназначены не только для системных администраторов или администраторов безопасности. В правилах администрирования могут быть также отражены административные обязанности, которые являются обязанностями лиц, ответственных за данные или за технологию, а также - обязанности пользователей. Эти правила охватывают вопросы административного согласования и внедрения, которые не входят в сферу административного управления.

В зависимости от полноты и широты охвата ваших правил количество вопросов, которые должны быть в них учтены, может показаться несметным. Прежде чем приступать к разработке правил, необходимо продумать, что именно должно входить в правила администрирования. Ниже представлен краткий список предлагаемых вопросов.

Периодический пересмотр и повторная авторизация прав пользовательского доступа для служащих и подрядчиков. Требование достоверного учета всех пользователей, даже если они отнесены к другим руководителям или другому коллективу. Идентификация тех лиц, кто проводит учет пользователей систем и сетей. Сопровождение главной базы данных или каталога идентификационной базы пользователей и прав доступа. Выполнение операций по изменению прав и должностных обязанностей. Управление вспомогательными средствами, используемыми в работе по реализации положений этих правил. Контроль соответствия при переводе систем в онлайновый режим или их обновлении. Определение соглашений по присвоению имен для систем и других компонентов сети.

В правиле, которое имеет смысл обсудить особо, рассматривается, какие действия следует предпринять, когда служащий или подрядчик разрывает трудовое соглашение с организацией. Независимо от того, является это добровольным уходом или нет, администраторы должны разработать процедуры аннулирования права доступа к ресурсам организации. Поддерживая актуальность идентификационной базы пользователей, можно уберечь сеть от возможных атак.

Процедуры по работе с уволенными пользователями не должны входить в эти правила. Однако, предписаниями правил могут устанавливаться обязанности по решению вопросов в отношении уволенных пользователей. Некоторые из этих вопросов касаются назначения лиц, которые несут ответственность за своевременное аннулирование права доступа, освобождение ресурсов, выделенных этому пользователю, выявление в пользовательских ресурсах нарушений безопасности и других ошибок, а также за архивное хранение пользовательских файлов и других данных. Упрощенная формулировка, в которой говорится об аннулировании и архивном хранении, может выглядеть следующим образом.

Права доступа к ресурсам организации пользователей, которые разорвали трудовые отношения с организацией, должны быть немедленно аннулированы. Администраторы должны привести в порядок программы и другие данные, с которыми работали эти пользователи. Администраторы должны разработать процедуры аннулирования прав доступа этих пользователей.

Отчетность о нарушениях безопасности

Подчинение этим правилам должно стать обязанностью каждого, а не только администраторов. В вышеописанные правила включены указания пользователям содействовать внедрению этих правил, но ни в одном из правил не отражается в полной мере значение документирования случаев нарушения безопасности. Разработка правил составления отчетности о нарушениях безопасности очень похож на разработку всех других правил, описанных в этой главе, — они в высшей степени зависят от конфигурации окружения и правовых требований к внедрению этих правил.

Публикация документов правил и требования по уведомлению

Разработанные правила не улучшат работу организации, если их поставят пылиться на полке. Этот документ должен быть не только действующим, но и доступным для всех пользователей. Общепринятый способ сделать это заключается в публикации документов правил во внутренней сети организации. Таким способом можно сделать документы правил доступными для всех пользователей и сэкономить деньги организации на распечатке этих документов. Кроме того, все последующие обновления будут осуществляться в одном месте, и не нужно заботиться об их распространении.

В правилах, определяющих работу в данной области, нужно не только регламентировать публикацию документов, но необходимо записать требования по регистрации сроков публикации или обновления. В предписаниях этих правил необходимо также указать, кто будет отвечать за эту работу. Во многих организациях стараются возложить эти обязанности на отдел кадров. Однако, в некоторых мелких компаниях, которые пользуются услугами сторонних отделов кадров (кадровых агентств), могут назначить ответственной за публикацию документов правил иную службу. Одна из версий такого типа правил звучит следующим образом.

Отдел кадров должен нести ответственность за публикацию во внутренней сети организации документов правил информационной безопасности и всех последующих обновлений, и должен обеспечить каждому свободный доступ к документам правил.
После публикации документов правил или последующих их обновлений отдел кадров должен уведомить о публикации документов правил и способе доступа к ним каждого пользователя.

В одной компании, с которой сотрудничал автор книги, высказали беспокойство о том, что электронная копия может оказаться недоступной. Серверы могут отказать в работе, сетевое оборудование может выйти из строя, а внутренняя сеть может оказаться недоступной для некоторых удаленных пользователей. Они хотели, чтобы в предписаниях правил было требование публиковать печатную версию документов, доступную для всех отделов, а также для всех, кто не имеет доступа к внутренней сети. Посовещавшись, мы составили такую формулировку.

Отдел кадров должен нести ответственность за обеспечение всех отделов и тех, кто не имеет доступа к внутренней сети, печатными копиями документов правил одновременно с публикацией электронной версии.

Работа с отчетностью об инцидентах затрагивающих информационную безопасность

Работа с отчетностью об инцидентах, затрагивающих информационную безопасность

Отчеты об инцидентах могут приходить из нескольких источников. Проблемы с защитой обнаруживают администраторы, и для того, чтобы пользователи могли фиксировать нарушения, они должны иметь правила, определяющие, как это делать. Отчеты об инцидентах могут приходить и извне организации, зафиксированные посторонними службами администрирования, так как проблемы могут быть связаны с сайтом организации, правовыми нарушениями или с контролирующими органами и т.п. И, наконец, может быть широковещательное оповещение о проблемах, которое может исходить от поставщика или группы реагирования на инциденты.

В первую очередь, в данных правилах устанавливаются требования по отчетности для администраторов и пользователей. При разработке этих правил желательно ввести в них формулировку с требованием, чтобы отчетность составлялась строго по определенным методикам. Это означает, что кто-то должен разработать эти методики. Формулировка может выглядеть следующим образом.

Администраторы и пользователи должны докладывать обо всех нарушениях правил безопасности и связанных с ними процедур, в которых используются утвержденные методики составления отчетности.

Затем, в правилах необходимо рассмотреть, что следует предпринимать, когда отчет об инциденте приходит из внешних источников. Большинство организаций, с которыми пришлось иметь дело, предпочитают относиться к этим сообщениям серьезно и хотят с ними разобраться. На этом основании можно написать следующую формулировку.

Администраторы должны серьезно относиться к сообщениям об инцидентах от всех внешних источников и проверять их достоверность. Результатами этих проверок необходимо оперировать, руководствуясь утвержденными правилами.

В этих правилах ничего не говорится о том, что делать, если сообщение об инциденте приходит от правоохранительных органов. В большинстве организаций довольно болезненно воспринимают ситуации, когда полиция стучится к ним в дверь по поводу каких-то проблем. В одной организации, с которой сотрудничал автор книги, хотели разработать правило, предписывающее прямую ответственность руководства за все, что относится к расследованиям, связанным с правоприменением. Если утвердить такое правило, то не избежать проблемы, вызванной тем, что ответственное руководящее лицо недостаточно осведомлено в вопросах безопасности и не может руководить этими расследованиями. В организации решили включить в правила такую формулировку, рассчитывая разработать специальные процедуры позже. Формулировка выглядела следующим образом.

Меры реагирования на нарушения закона необходимо координировать с руководством. Руководство должно выступать в роли ведущего собственного следователя, а также нести ответственность за связи и взаимодействие с правоохранительными органами.

Заключительный аспект правил составления отчетности относится к работе с широковещательными сообщениями о проблемах, поступающими от поставщиков и групп реагирования на инциденты. Здесь возникает спорный вопрос, касающийся того, какие отчеты каких групп реагирования принимать в качестве достоверного источника сообщений о потенциальных проблемах. Некоторые советуют прислушиваться к мнению поставщиков, хотя их критикуют за слишком медленное реагирование. Другие для получения надежной информации предпочитают работать с такими организациями, как координационный центр CERT (CERT/CC). Однако CERT/CC критикуют за то, что он не реагирует на все инциденты. Кроме того, они не рассматривают доклады поставщиков антивирусного обеспечения о вирусах.

Все вышесказанное усложняет разработку правил широковещательного раскрытия информации. Разработчики правил имеют тенденцию включать в правила принципы работы со всеми группами реагирования на инциденты для обеспечения гарантий того, что ничего не будет упущено. Вместо того чтобы разрабатывать комплексные правила, лучше включить в правила формулировку, предписывающую разработку процедур, которые можно менять при изменении требований. Формулировка может выглядеть следующим образом.

Администраторы должны отслеживать широковещательные публикации организаций, сообщающих об инцидентах, ошибках и других проблемах, которые могут повлиять на безопасность сети и систем организации. В список этих организаций должны входить поставщики информационных систем, используемых в организации, по крайней мере, две ведущие организации, а также выбранный организацией поставщик антивирусного программного обеспечения.

Работа с правоохранительными органами

Если организация планирует работать с правоохранительными органами, то необходимо определить характер этой работы. Во-первых, далеко не каждое силовое ведомство способно заниматься расследованиями компьютерных преступлений. Большинство местных полицейских управлений не способно выполнять требования, необходимые для таких расследований. Так что если дело происходит в Соединенных Штатах, то все расследования такого типа ложатся на ФБР.

Для работы с любой правоохранительной организацией не существует никаких формул. Перед разработкой правил может возникнуть желание связаться с местным бюро расследований или периферийным отделением ФБР, чтобы выяснить их требования, касающиеся отчетности организации о преступлениях. При разработке правил воспользуйтесь этой информацией.

Для обеспечения гарантий защищенности систем

Резюме

Для обеспечения гарантий защищенности систем и сети нужно определить правила согласования и внедрения, в которых разъясняются меры, принимаемые при нарушениях правил безопасности. Правила согласования и внедрения выходят за рамки технической сферы, в которой работает большинство профессионалов в области безопасности. Разработка этих правил требует знания различных корпоративных правил, а также соответствия различным законам, включая закон об интеллектуальной собственности, трудовое законодательство и, возможно, уголовное право.
1. Тестирование и эффективность правил. Согласование является весьма субъективным процессом. В этом разделе правила охватывают процессы сбора статистики и составления отчетов. Руководство должно поощрять проведение обучения по вопросам безопасности, чтобы каждый сотрудник организации понимал правила безопасности и их влияние на производственные процессы. В правила можно включить положение об обычных мерах, используемых для тестирования правил на их эффективность. 2. Публикация документов правил и требования по уведомлению. В правилах публикации нужно регламентировать публикацию документов и записать требования по уведомлению о сроках публикации. В этих правилах необходимо также указать, кто будет отвечать за эту работу. 3. Мониторинг, средства управления и меры наказания. Первый шаг по созданию правил мониторинга заключается в определении прав организации на наблюдение. Правила управления утверждают право организации на внедрение алгоритмов, позволяющих встроить в систему определенные средства управления. Кроме того, необходимо определить состав лиц, которые будут заниматься администрированием и тестированием этих средств управления. В правилах необходимо утвердить разработанные инструкции по назначению наказаний. Они не должны вызывать вопросов о том, имеет ли организация право применять меры наказания при нарушениях правил безопасности. Правила должны охватывать незаконную деятельность, осуществляемую внутренними пользователями и внешними взломщиками. 4. Обязанности администраторов. В правилах администрирования могут быть также отражены административные обязанности, которые являются обязанностями лиц, ответственных за данные или за технологию, а также - обязанности пользователей. Эти правила охватывают вопросы административного согласования и внедрения, которые не входят в сферу административного управления. Правила, определяющие действия, когда служащий или подрядчик разрывает трудовое соглашение с организацией, и устанавливающие круг лиц, которые несут ответственность за своевременное аннулирование права доступа, освобождение ресурсов, выделенных этому пользователю, выявление в пользовательских ресурсах нарушений безопасности и других ошибок, а также за архивное хранение пользовательских файлов и других данных. 5. Соображения по регистрации событий. Один из методов, применяемых администраторами при наблюдении за работой системы, заключается в проверке журналов, которые создаются в системе и в основных пакетах программного обеспечения. В журналах, создаваемых этими компонентами, фиксируются все операции, которые пользователи выполняют в системе или сети, а также фиксируются все ошибочные и успешные попытки доступа к системе. Правила регистрации довольно сложны, поскольку невозможно составить общую формулировку, подходящую для любой конфигурации системы. Может быть непрактично регистрировать каждую операцию, выполняемую в компьютерной системе, но необходимо обеспечить поддержку сервисных систем, обслуживающих базы данных. В правилах может быть сказано, что в журналы должны заноситься все важные события, но кто может сказать, какие события являются "важными" для каждой сети и системы? В правилах регистрации событий нужно еще описать, как должна обрабатываться информация из журналов. Правила обновления журналов могут меняться в зависимости от рода деятельности организаций, а также от разновидности журналов. 6. Отчетность о нарушениях безопасности. Отчеты об инцидентах могут приходить из нескольких источников. Проблемы с защитой обнаруживают администраторы, и для того, чтобы пользователи могли фиксировать нарушения, они должны иметь правила, определяющие, как это делать. В правилах устанавливаются требования по отчетности для администраторов и пользователей. В большинстве организаций довольно болезненно воспринимают ситуации, когда полиция стучится к ним в дверь по поводу каких-то проблем. В правила работы с открытыми широковещательными отчетами необходимо включить методы разделения информации: какую информацию считать достоверной, а какую проверять. После сообщения об инциденте собираются улики, и применяются правовые санкции, базирующиеся на этом сообщении. Недостаточно просто сообщить о том, что что-то произошло. Если в ходе расследования инцидента установлено, что требуется применить меры наказания, которые могут ограничиваться дисциплинарными мерами или применением мер, предусмотренных законодательством, то в правилах должны быть описаны требования по обработке этих улик. 7. Соображения, касающиеся действий после совершения компьютерных преступлений. Бороться с компьютерными преступлениями довольно нелегко. Несмотря на то, что некоторые правоохранительные органы пытаются обучиться работе на этом новом фронте, кажется, пока только ФБР имеет достаточно ресурсов, необходимых для расследования некоторых преступлений. Перед разработкой правил может возникнуть желание связаться с местным бюро расследований или периферийным отделением ФБР, чтобы выяснить их требования, касающиеся отчетности организации о преступлениях. Чтобы успешно расследовать компьютерные преступления, очень важно сохранить улики, чтобы доказать факт совершения преступления — с учетом требований правоохранительных органов и государственных прокуроров, которые будут преследовать злоумышленников в судебном порядке. Возможно, прежде чем разрабатывать правила, нужно будет проконсультироваться с местным окружным прокурором или Генеральным Прокурором, чтобы выяснить требования по предоставлению улик.

Согласование и внедрение

После завершения разработки правил информационной безопасности наступает этап утверждения и внедрения этих правил. Хорошо, если можно было бы доверять пользователям и всем остальным, кто имеет доступ к системам и сети организации. Для обеспечения гарантий защищенности систем и сети нужно определить правила согласования и внедрения, в которых разъясняются меры, принимаемые при нарушениях правил безопасности.

Правила согласования и внедрения выходят за рамки технической сферы, в которой работает большинство профессионалов в области безопасности. По своей природе разработка этих правил требует знания различных корпоративных правил, а также соответствия различным законам, включая закон об интеллектуальной собственности, трудовое законодательство и, возможно, уголовное право. Поэтому весьма важно, чтобы в обсуждении этих правил участвовали представители всех сфер деятельности, на которые будут влиять правила.

Соображения касающиеся действий после совершения компьютерных преступлений

Соображения, касающиеся действий после совершения компьютерных преступлений

В последние годы компьютерные преступления стали центром внимания служб безопасности. Поскольку организации стали относиться к вопросам безопасности своих информационных активов более серьезно, все громче слышны требования сурово наказывать тех, кто совершает компьютерные преступления. В этом ключе Конгресс США, многие государства и даже такие международные сообщества, как Европейский Союз, приняли законы, направленные на борьбу с компьютерными преступлениями.

Тем не менее, бороться с компьютерными преступлениями довольно нелегко. Несмотря на то, что некоторые правоохранительные органы пытаются обучиться работе на этом новом фронте, кажется, пока только ФБР имеет достаточно ресурсов, необходимых для расследования некоторых преступлений. Однако их ресурсы тоже ограничены, поэтому они установили нижний порог наносимого компьютерным преступлением материального ущерба, ниже которого преступление не подлежит расследованию.

Далеко не каждая организация захочет докладывать о компьютерных преступлениях. Ведь в случае раскрытия этой информации организация сталкивается с трудностями и возможными негативными последствиями на рынке, что может вызвать к ней недоверие. Из состава акционеров крупного банка вышел акционер, державший большой пакет акций, после того как обнаружилось, что взломщик похитил 10 миллионов долларов через Internet. Банк раскрыл эту информацию только по предписанию судебного ордера. В противном случае никто бы никогда об этом и не узнал.

Соображения по регистрации событий

Независимо от того, насколько тщательно в организации проводится контроль за безопасностью, большая часть нарушений всплывает только после того, как они были сделаны. В большинстве случаев администратор замечает признаки нарушений без чьей-либо помощи. Один из методов, применяемых администраторами при наблюдении за работой системы, заключается в проверке журналов, которые создаются в системе и в основных пакетах программного обеспечения. В журналах, создаваемых этими компонентами, фиксируются все операции, которые пользователи выполняют в системе или сети, а также фиксируются все ошибочные и успешные попытки доступа к системе.

Правила регистрации довольно сложны, поскольку невозможно составить общую формулировку, удовлетворяющую любой конфигурации системы. В тех случаях, когда считается непрактичным регистрировать каждую операцию, выполняемую в компьютерной системе, необходимо обеспечить поддержку сервисных систем, обслуживающих базы данных. В правилах может быть сказано, что в журналы должны заноситься все важные события, но кто может сказать, какие события являются "важными" для каждой сети и системы? Кроме того, для некоторых систем в отдельных организациях ведение журналов может быть необязательно. Например, в сервере, обслуживающем печать, функции регистрации могут быть отключены, поскольку вспомогательные системы печати могут хранить эту информацию в ином месте.

При рассмотрении правил регистрации событий необходимо разработать формулировку, которая предписывает регистрировать в журналах события, имеющие отношение к безопасности. Таким образом можно гарантировать, что для юридических разбирательств имеется информация, в которой зафиксированы факты нарушения безопасности. Ясно, что это может быть далеко не вся информация, используемая в таких случаях, но такая информация необходима. Дополнительные соображения по этому вопросу выглядят так.

Журналы регистрации должны обеспечивать их проверку теми же системными средствами, какими создаются записи в этих журналах. Журналы регистрации должны предоставлять достаточно информации для обеспечения идентификации и отслеживания всех привилегированных операций системы. Журналы регистрации должны включать записи, фиксирующие подключение нового пользователя, а также все его действия, которые имеют отношение к безопасности. Что касается баз данных, то журналы регистрации могут понадобиться при восстановлении запорченной производственной информации.

В правилах регистрации событий нужно еще описать, как должна обрабатываться информация из журналов. Это очень важный процесс в технологии контроля безопасности, поэтому в правилах должны быть определены инструкции по обработке содержащейся в журналах информации. Этим будет гарантирована доступность содержимого журналов для администраторов. Некоторые полагают, что эти правила слишком обобщены, и что администраторы в них не нуждаются. Автор книги предполагает, что не все могут самостоятельно сделать необходимые выводы, поэтому рекомендует все-таки включить такие формулировки в правила. Обобщенный набор формулировок может выглядеть следующим образом.

Администраторы должны регулярно просматривать системные и другие журнагы регистрации.
Просматривать файлы журналов могут только пользователи, которым даны на это права.
Администраторы должны предпринять необходимые меры предосторожности, чтобы исключить отключение заполнения журналов, их исправление или удаление.
При обнаружении нарушений этих правил или безопасности сетей администраторы должны выполнить установленные процедуры.

В отношении последней формулировки правил нужно сказать, что несмотря на легкость создания процедур обработки журнальных записей, их очень сложно реализовывать. Проблема заключается не в сборе информации, что относительно просто, а в том, что это действительно искусство — методическая работа с регистрационными записями и определение с их помощью, что же произошло на самом деле. Это требует большого опыта и времени.

И. наконец, в правилах необходимо оговорить, что делать с системными журналами по прошествии времени. Администраторы понимают, что записи в журналах должны циклически обновляться и даже удаляться из системы, чтобы дать возможность системе фиксировать новые события. Для такого управления работой с журналами должны быть разработаны правила, определяющие порядок замены и обновления журналов. При разработке этих правил нужно учитывать наличие в системе свободного дискового пространства и других системных ресурсов, а также требования к продолжительности хранения журналов.

Правила обновления могут меняться в зависимости от рода деятельности организаций, а также от разновидности журналов. Например, финансовые организации могут хранить записи о финансовых сделках сроком до 10 лет. чтобы можно было в будущем провести аудит. Кроме того, может потребоваться разработка правил обслуживания носителей, на которых записаны эти регистрационные журналы. Эти правила могут походить на правила создания резервных копий, которые обсуждалась в главе 2 "Определение целей политики".

Соображения по сохранению улик

Правоохранительные органы все еще работают по принципам обеспечения физической безопасности территории, и эти принципы они распространяют на расследования любых преступлений. К сожалению, место совершения компьютерных преступлений невозможно оградить сплошной желтой лентой. Однако при расследовании компьютерных преступлений, очень важно сохранить улики, чтобы доказать факт совершения преступления — с учетом требований правоохранительных органов и государственных прокуроров, которые будут преследовать злоумышленников в судебном порядке.

При разработке правил, касающихся этой области, должны быть изучены все аспекты взаимодействия с правоохранительными органами, чтобы четко определить требования правил. Для крупных организаций, обладающих возможностями размещать свои офисы в различных штатах и странах, необходимо рассмотреть все вопросы, связанные как с юрисдикцией вообще, так и с особенностями применения законов, связанными с местом размещения офиса. Дело в том, что правовые нормы для различных местных, относящихся к юрисдикции штатов и принадлежащих федеральному правительству органов, могут быть совершенно разными. Иногда наилучшим выходом может оказаться разработка простых правил, в которых говорится, что организация будет работать с правоохранительными органами в соответствии с их нормативами. Детали можно оставить для раскрытия их в связанных с правилами процедурах после обсуждения всех деталей в местном отделении адвокатской конторы.

Тестирование и эффективность правил

Этот раздел иногда называют Правилами правил. Здесь рассматриваются различные вопросы, начиная с того, каким образом оценивать эффективность проводимой политики. Мы говорим не о тестировании алгоритмов, а о том, насколько внедрение правил делает бизнес более эффективным, благодаря проводимым процедурам согласования.

Проверка правил на соответствие является весьма субъективным процессом. Большинство организаций, с которыми работал автор, предпочитают хранить в тайне статистику выявленных нарушений и разрешенных нарушений правил. Поэтому не удается получить информацию, которую можно бы было использовать при доработке правил информационной безопасности. Вот поэтому правила, разрабатываемые в этом разделе, охватывают процессы сбора статистики и составления отчетов. Кроме того, для подкрепления этих процессов рекомендуется включить в правила формулировку о проведении инструктажа по безопасности.

Что же касается инструктажа по безопасности, то после разработки правил необходима совместная работа разработчиков правил, руководства и каждого сотрудника организации для изучения правил и их применения. Руководство должно не только выделить для этого время, но и всячески содействовать проведению обучения. Введение требований проведения инструктажа в качестве первой формулировки правил в этом разделе говорит о том, что инструктаж является очень важным компонентом в плане обеспечения безопасности. Это может быть отражено в следующей формулировке.

Все пользователи для получения права доступа к сети и системам организации должны пройти инструктаж по безопасности для ознакомления с правилами безопасности. Пользователи, которые уже работают в сети, должны пройти инструктаж в течение 30 дней после введения в действие этих правил.

После ознакомления пользователей с правилами информационной безопасности следующим шагом нужно продемонстрировать степень соответствия правил реальной работе. Это будет мерой эффективности работы по данным правилам. Следует помнить, что речь идет о правилах, так что не стоит углубляться в специфику. В правилах может быть записано, что заниматься сбором и обработкой статистических данных и другой информации о нарушениях безопасности, а также о разрешенных нарушениях правил должны администраторы. Таким образом, в правила вводится следующая формулировка.

Администраторы безопасности и системные администраторы должны делать записи обо всех нарушениях безопасности. Эти записи должны быть достаточно подробны, чтобы их можно было использовать для наложения дисциплинарных взысканий и при доработке правил безопасности. Администраторы безопасности должны вносить каждое разрешенное нарушение правил в журналы допустимых рисков. Руководители, которым необходимо нарушить отдельные предписания этих правил, должны расписаться в таком журнале и тем самым взять на себя ответственность за безопасность систем и сетей.

Требуемые действия

После сообщения об инциденте собираются улики и применяются правовые санкции, базирующиеся на этом сообщении. Недостаточно просто сообщить о том, что что-то произошло. Если в ходе расследования инцидента установлено, что требуется применить меры наказания, которые могут ограничиваться дисциплинарными мерами или применением мер, предусмотренных законодательством, то в правилах должны быть описаны требования по обработке этих улик.

Для правильного применения некоторых правил требуются познания в области работы с уликами, которые необходимы для применения юридических санкций. Все это можно отразить в нескольких общих формулировках правил. Разрабатывая эти формулировки, необходимо учитывать правила, касающиеся следующих вопросов.

Если рассматривать обобщенно, правила, охватывающие работу с информацией, связаны с нарушениями безопасности или нарушениям этих правил. Чтобы избежать проблем с законом, правила можно написать так. чтобы детали реализации не попали в них, а были рассмотрены на этапе внедрения. Расширение правил в отношении отчетности и устранения заражения вирусами. Как документировать и реагировать на запрошенную отчетность о неисправностях программного обеспечения и других изъянах. Предупреждение потенциальных проблем при получении сообщений о проблемах от групп реагирования на инциденты.

Управление

Правила управления утверждают право организации на внедрение алгоритмов, позволяющих встроить в систему определенные средства управления. Хотя другие правила разрешают организации устанавливать средства управления доступом и требования аутентификации и использования паролей, эти правила определяет право реализовывать их постановления. Как бы странно это не звучало, некоторые юристы считают, что введение таких правил может оказаться необходимым для предотвращения потенциальных проблем, если организация будет выступать ответчиком в суде. Даже если судьи этого не требуют, вреда от введения этого постановления не будет. Правило может звучать достаточно просто.

Руководство должно установить средства управления согласно требованиям этих правил.

Наряду с определением управления, в правилах должно указываться, кто имеет право администрировать и тестировать эти средства управления. Организации не хотят, чтобы кто-то посторонний тестировал их средства безопасности. Помимо доступности бесплатных средств через Internet, риск такого тестирования увеличивается из-за пользователей, которые очень любопытны или умышленно нарушают правила безопасности.

Что необходимо включить в правило пересмотра

В первых трех главах этой книги описаны основные принципы разработки таких правил. Рекомендуется также руководствоваться этими принципами в процессе пересмотра. Одна из причин таких рекомендаций заключается в том, чтобы по возможности повторно использовать информацию, собранную в процессе исследований. В течение некоторого времени разработанные для обеспечения работы по этим правилам руководства и процедуры будут способствовать этим исследованиям и давать дополнительную информацию, которая должна учитываться в процессе пересмотра.

Очень важно при пересмотре учесть информацию, полученную в результате оценки степени риска или аудита. Как уже говорилось в главе 1 "Что собой представляет политика информационной безопасности", оценка степени риска и аудит могут оказаться прекрасным инструментом при оценке степени влияния систем защиты и правил безопасности на работу сети организации. Кроме того, мы настоятельно рекомендуем, чтобы этот анализ проводил кто-то сторонний, чтобы исключить предвзятое отношение к результатам анализа. Это лучший способ обеспечить беспристрастную оценку эффективности программы защиты.

Кроме того, в процесс необходимо включить полезную информацию о технологиях, которую предоставляет руководство. Руководство определяет стратегию развития организации и может использовать эти знания, чтобы обеспечить полезное применение правил безопасности для развития организации. Например, если руководство знает о том, что ведутся переговоры о партнерстве, пример которого приводился выше, то оно может распорядиться о разработке правила работы с VPN, которое будет готово к сроку реализации условий соглашения.

Несмотря на то, что некоторая информация может показаться не заслуживающей внимания, нужно проанализировать в процессе пересмотра и ее, чтобы оценить степень ее важности. Наиболее важные данные могут предоставить сетевые и системные администраторы. Администраторы ежедневно имеют дело с пользователями, поэтому они больше всего знают о проблемах. Группа, занимающаяся пересмотром, может использовать эту информацию для определения степени влияния правил на работоспособность сети и на эффективность использования самих правил. Менеджеры, в свою очередь, предоставляют информацию о пользователях и советы, полученные от клиентов. Всю эту информацию необходимо собрать вместе и проанализировать с учетом рекомендаций по усовершенствованию правил, чтобы исключить проблемы в будущем.

Необходимо также учитывать функциональные особенности систем. Правила могут способствовать раскрытию новых возможностей системы, связанных с установлением новых конфигураций и подключений. Кроме того, они могут содействовать повышению степени доверия путем демонстрации защиты сетевых операций. Эту информацию также можно использовать для предотвращения проблем.

Комиссия по пересмотру правил

В идеале, комиссия по пересмотру правил должна состоять из представителей всех заинтересованных сторон, которые были привлечены для разработки правил. Помимо сотрудников, руководителей и различных администраторов, обслуживающих информационные технологии, в состав комиссии должен входить представитель отдела кадров и юрист. Если пересмотр отдельных правил требует юридических познаний (например, пересмотр правил шифрования), то необходимо либо присутствие юриста, сведущего в этих вопросах, либо консультация у него.

На деле для некоторых организаций является проблемой создание комиссии. Небольшие организации могут попросту не располагать достаточными человеческими ресурсами, даже если в них осознают необходимость создания комиссии. Если, отсутствует возможность физически собрать всех заинтересованных лиц, то будет достаточно самого минимального представительства.

Организации, которые не обладают ресурсами для создания комиссии, могут пойти по другому пути. Через год после разработки (с помощью автора книги) правил для небольшой организации (насчитывающей менее 50 пользователей) ее представители попросили автора помочь им скоординировать процесс пересмотра. Вместо того чтобы организовывать физическую встречу, автор проводил консультации посредством электронной почты. После того как результаты аудита были направлены всем заинтересованным сторонам, их попросили прислать по электронной почте предложения по изменению правил. Автор обработал все предложения и провел совещание, используя регулируемую группу электронной почты.

Когда представители комиссии достигли консенсуса, автор разработал измененные правила и отправил их по электронной почте в комиссию для одобрения. Автор получил копию результатов обсуждения и начал новый раунд согласования. После шести недель обсуждения и согласования комиссия внесла три изменения в свои правила, а затем была распущена, каждый участник которой остался доволен своей работой и способом ее проведения.

После разработки правил и наличия процесса пересмотра, работа по обеспечению безопасности сети организации только начинается. Администраторы безопасности должны теперь разработать или обновить процедуры и начать использовать эти средства для наблюдения и внедрения этих правил. Информационная безопасность должна стать превентивной работой, а не реакцией на неприятности.

Определение модели безопасности

Определение модели безопасности
Когда администраторы внедряют и контролируют правила, они могут обнаружить, что при одних и тех же обстоятельствах поступают заявки на выполнение операций в обход правил, или во время проверок регистрационных журналов выявляются факты многократных попыток нарушить правила безопасности. Существует много способов выявить и систематизировать факты и составить модель пересмотра правил по разрешенным отказам от правил, по регистрационным журналам и отчетам о нарушениях. В некоторые коммерческие пакеты, такие как системы обнаружения вторжений, включены дополнительные модули статистического анализа, которые могут помочь при решении этих задач. Другие системы типа универсальных вычислительных машин предоставляют эти средства анализа в виде утилит операционных систем.
Однако автоматизированных средств может оказаться недостаточно. Администраторам будет необходимо проводить обследование и руководствоваться интуицией для определения модели пересмотра правил, которые зависят от знания модели функционирования вашей сети. Например, в среде UNIX нередко бывают попытки зарегистрироваться в качестве основного пользователя или "суперпользователя". Несмотря на то, что эти попытки могут осуществляться различными пользователями, оказалось, что они делались с одного терминала или с одной и той же удаленной системы в этой сети. Рассмотрев такую модель можно сделать вывод, что была попытка взлома системы, проведенная с другой, уже взломанной системы. Однако, если удаленная система используется, в основном, разработчиками организации, то они могли бы попытаться провести ее диагностику и устранить проблему.
В результате такого анализа может быть разработано правило, разрешающее присваивать разработчикам право суперпользователя или предоставлять им право суперпользователя при необходимости. Однако, единственный путь прийти к такому решению - сопоставить факты нарушений с принципами работы систем или сети.

В организациях, в которых только начинают разрабатывать свою политику, беспокоятся о том, смогут ли эти правила стать фундаментом для серьезной программы защиты информации. Таким организациям рекомендуется пересматривать правила каждые шесть месяцев в течение нескольких первых лет. Побочный эффект этого процесса заключается в том, что не нужно будет включать эти сроки в правило пересмотра. Изменения в правила могут не вноситься после очередного пересмотра, а будут внесены при следующем пересмотре, если те, кто проводил пересмотр, решат, что правила достаточно стабильны и могут не корректироваться более длительный период. Чтобы утвердить процесс пересмотра, достаточно включить в правила такую упрощенную формулировку.

Правила информационной безопасности должны пересматриваться каждые шестъ месяцев.

Как нам всем хорошо известно, сети и компьютеры в руках человека могут вести себя непредсказуемо. Даже самые лучшие разработчики правил могут что-то упустить, потому что невозможно предвидеть все проблемы, которые могут возникнуть в системах. Положения о применении санкций и о разрешенном нарушении правил должны обеспечить защиту сети и в то же время разрешить определенную свободу действий, так как неизбежно, что что-то может случиться, и случается, что не учтено принятыми правилами. Возьмем пример: небольшая организация, которая занимается продажей новейшей популярной продукции, установила партнерские отношения с другой организацией. Согласно договору обе организации будут делиться информацией друт с другом для распространения продукции. В пунктах соглашения указано, что обе организации должны совместно пользоваться информацией посредством виртуальной частной сети (VPN). Однако одна из организаций не предусмотрела возможность использования такой схемы работы и не располагает правилами работы с VPX.

В случае частых изменений производственного процесса некоторые организации оказываются перед необходимостью вводить правило разрешенных нарушений или отклонений (см. главу 3 "Обязанности в области информационной безопасности"). "Разрешенное нарушение" представляет собой соглашение, подписанное ответственным за данные или технологию лицом, в котором говорится, что безопасная работа будет базироваться на отдельных отклонениях от существующих правил, описанных в новом документе. В вышеописанном примере в этом "разрешенном нарушении" может быть указано, что подключение к VPN будет произведено так же, как и подключение к Internet с некоторыми дополнительными ограничениями. Другой способ заключается в разработке правила, в котором будет положение о возможности проведения внерегламентного пересмотра правил, когда необходимо добавить или откорректировать некоторые правила в случае аварийных ситуаций. Формулировка может выглядеть следующим образом.

Руководство должно сформировать временную комиссию для разработки, обновления или пересмотра правил на тот случай, если необходимо внести значительные изменения, не дожидаясь планового пересмотра правил.

Периодический пересмотр документов правил

Определенных рекомендаций по поводу того, как часто нужно пересматривать правила, не существует. В период сотрудничества автора с различными организациями он советовал, чтобы пересмотр производился с периодичностью от шести месяцев до одного года. Шести месяцев вполне достаточно, чтобы выявить факты, требующие корректировки правил. Однако кое-кто считает, что для этого требуется больший период времени. Если период пересмотра больше года, то могут возникнуть проблемы застоя - постепенное пренебрежение соблюдением правил и, в конце концов, полное их игнорирование.

Процесс пересмотра правил

Итак, в организации разработали и внедрили правила безопасности. Пользователи прошли обучение, время от времени случаются инциденты, и все осведомлены о требованиях информационной безопасности. Но мы знаем, что правила безопасности являются всего лишь средством для внедрения в работу собственных положений. Рано или поздно вы обнаружите, что некоторые правила устарели и только мешают нормальной работе.

Правила безопасности не должны быть "мертвыми" документами. Они должны изменяться и развиваться по мере развития организации и появления новых технологий. Для этого необходимо периодически пересматривать правила. Для того чтобы этот процесс был перманентным, необходимо разработать последнее правило в нашем наборе - правило, устанавливающее процесс пересмотра. Этот процесс базируется как на собранной информации, так и на результатах анализа работы по внедренным правилам.

Документы правил безопасности не должны

Резюме

Документы правил безопасности не должны быть "мертвыми" документами, изменяясь и развиваясь по мере развития организации и появления новых технологий. Для этого необходимо периодически пересматривать правила, чтобы поддерживать их актуальность. Заключительное правило должно утвердить процесс пересмотра правил, во время которого анализируется информация, собранная в результате реализации правил.
1. Периодический пересмотр документов правил. Определенных рекомендаций по поводу того, как часто нужно пересматривать правила, не существует. Однако рекомендуется, чтобы этот срок был в пределах от шести месяцев до одного года. В положения процесса пересмотра нужно включить требование создания временной комиссии при срочной необходимости внесения в правила значительных изменений. 2. Что необходимо включить в правило пересмотра. Информацию, собранную в результате процесса анализа. Данные, собранные в процессе внедрения правил и процедур, созданных на базе этих правил. Информацию, собранную в процессе анализа степени риска и аудита. Руководство должно предоставить описание бизнес-технологий и всю информацию, связанную с ними. Даже устная информация, полученная от кого угодно, в которой высказывается отношение и оценка правил и применения процедур, может рассматриваться как очень важная. 3. Комиссия по пересмотру правил. В идеале, комиссия по пересмотру правил должна состоять из представителей всех заинтересованных сторон, которые были привлечены для разработки правил. Небольшие организации могут не располагать достаточными ресурсами для создания комиссии. Эти организации могут использовать другие способы работы вместо организации встреч и совещаний.

Главная сайта