Интеллектуальные компьютерные технологии защиты информации

1.2.3.5 Каковы права и обязанности пользователей?

Политика безопасности должна содержать положения о правах и обязанностях пользователей применительно к использованию компьютерных систем и сервисов предприятия. Должно быть явно оговорено, что пользователи обязаны понимать и выполнять правила безопасной эксплуатации систем. Ниже приведен перечень тем, которые целесообразно осветить в

данном разделе политики безопасности:

• Каковы общие рамки использования ресурсов? Существуют ли ограничения на ресурсы и каковы они?

• Что является злоупотреблением с точки зрения производительности системы?

• Разрешается ли пользователям совместное использование счетов?

• Как «секретные» пользователи должны охранять свои пароли?

• Как часто пользователи должны менять пароли? Каковы другие аналогичные ограничения и требования?

• Как обеспечивается резервное копирование - централизованно или индивидуально?

• Как реагировать на случаи просмотра конфиденциальной информации?

• Как соблюдается конфиденциальность почты?

• Какова политика в отношении неправильно адресованной почты или отправлений по спискам рассылки или в адрес дискуссионных групп (непристойности, приставания и т.п.)?

• Какова политика по вопросам электронных коммуникаций (подделка почты и т.п.)?

Каждая организация должна разработать политику защиты права сотрудников на тайну. Рекомендуется, чтобы эта политика охватывала все возможные среды, а не только электронную почту.

Предлагается пять критериев оценки подобной политики:

• Согласуется ли политика с существующим законодательством и с обязанностями по отношению к третьим сторонам?

• Не ущемляются ли без нужды интересы работников, работодателей или третьих сторон?

• Реалистична ли политика и вероятно ли ее проведение в жизнь?

• Затрагивает ли политика все виды передачи и хранения информации, используемые в организации?

• Объявлена ли политика заранее и получила ли она одобрение всех заинтересованных сторон?

1.2.3.6 Каковы права и обязанности администраторов безопасности по отношению к другимпользователям?

Должен соблюдаться баланс между правом пользователей на тайну и обязанностью администратора безопасности собирать достаточно информации для разрешения проблем и расследования случаев нарушения режима безопасности. Политика должна определять границы, в пределах которых администратор безопасности вправе исследовать пользовательские файлы с целью разрешения проблем и для иных нужд, и каковы права пользователей. Можно также сформулировать положение относительно обязанности администраторов соблюдать конфиденциальность информации, полученной при оговоренных выше обстоятельствах. Политика должна содержать ответы на несколько вопросов:

• Может ли администратор отслеживать или читать пользовательские файлы при каких-либо обстоятельствах?

• Какие обязательства администратор при этом берет на себя?

• Имеют ли право администраторы исследовать сетевой трафик?

1.2.3.7 Как работать с конфиденциальной информацией?

Прежде чем предоставлять пользователям доступ к вашим сервисам, следует определить, каков уровень защиты данных на вашей системе. Тем самым вы сможете определить уровень конфиденциальности информации, которую пользователи могут у вас размещать. Наверное, вы не хотите, чтобы пользователи хранили секретные сведения на компьютерах, которые вы не собираетесь как следует защищать. Следует сообщить пользователям, какие сервисы (при наличии таковых) пригодны для хранения конфиденциальной информации. Должны рассматриваться различные способы хранения данных (на диске, ленте, файловом сервере и т.д.). Этот аспект политики должен быть согласован с правами системных администраторов по отношению к обычным пользователям.

1.2.4 Что делать, когда политику безопасности нарушают

Очевидно, что любая официальная политика, вне зависимости от ее отношения к информационной безопасности, время от времени нарушается. Нарушение может явиться следствием пользовательской небрежности, случайной ошибки, отсутствия должной информации о текущей политике или ее непонимания. Возможно также, что некое лицо или группа лиц сознательно совершают действия, прямо противоречащие утвержденной политике безопасности.

Необходимо заранее определить характер действий, предпринимаемых в случае обнаружения нарушений политики, чтобы эти действия были быстрыми и правильными. Следует организовать расследование, чтобы понять, как и почему нарушение стало возможным. После этого нужно внести коррективы в систему защиты. Тип и серьезность коррективов зависят от типа случившегося нарушения.

1.2.4.1 Выработка ответа на нарушение политики

Политику безопасности могут нарушать самые разные лица. Некоторые из них являются своими, местными пользователями, другие нападают извне. Полезно определить сами понятия «свои» и «чужие», исходя из административных, правовых или политических положений. Эти положения очерчивают характер санкций, которые можно применить к нарушителю - от письменного выговора до привлечения к суду. Таким образом, последовательность ответных действий зависит не только от типа нарушения, но и от вида нарушителя; она должна быть продумана задолго до первого инцидента, хотя это и непросто.

Следует помнить, что правильно организованное обучение - лучшая защита. Вы обязаны поставить дело так, чтобы не только внутренние, но и внешние легальные пользователи знали положения вашей политики безопасности. Если вы будете располагать свидетельством подобного знания, это поможет вам в будущих правовых акциях, когда таковые понадобятся.

Проблемы с нелегальными пользователями в общем те же. Нужно получить ответы на вопросы о том, какие типы пользователей нарушают политику, как и зачем они это делают. В зависимости от результатов расследования вы можете просто заткнуть дыру в защите и удовлетвориться полученным уроком или предпочтете более крутые меры.

1.2.4.2 Что делать, когда местные пользователи нарушают политику безопасности стороннейорганизации

Каждое предприятие должно заранее определить набор административных санкций, применяемых к местным пользователям, нарушающим политику безопасности сторонней организации. Кроме того, необходимо позаботиться о защите от ответных действий сторонней организации. При выработке политики безопасности следует учесть все юридические положения, применимые к подобным ситуациям.

1.2.4.3 Спецификация контактов с внешними организациями и определение ответственных

Политика безопасности предприятия должна содержать процедуры для взаимодействия с внешними организациями, в число которых входят правоохранительные органы, другие организации, команды «быстрого реагирования», средства массовой информации. В процедурах должно быть определено, кто имеет право на такие контакты и как именно они совершаются. Среди прочих нужно дать ответы на следующие вопросы:

• Кто и по каким вопросам может общаться с прессой?

 Скачать реферат