Разработка систем безопасности

         

Обязанности в области информационной безопасности

Те, кто читает эту книгу с первой главы, вероятно, хотел бы, чтобы она сразу начиналась с описания разработки правил безопасности. Однако перед тем как начать разрабатывать правила безопасности, необходимо получить ясное понимание ролей и обязанностей отдельных лиц в организации по отношению к безопасности. Как уже говорилось в первых двух главах, для успеха программы информационной безопасности поддержка руководства является наиболее важным моментом. Наряду с этой поддержкой должна быть и ответственность за дальнейшее участие в этой программе. В этой главе расписываются обязанности руководства и тех, кто претворяет программу в жизнь. Понимание роли этих групп необходимо для успешной реализации программы безопасности. Глава заканчивается обсуждением контрольного инструктажа и материально-технического обеспечения.

Обязанности руководства

Обязанность руководства заключается не только в материально-технической и организационной поддержке. Недостаточно одного благословения программы информационной безопасности: руководство должно признать программу частью производственного процесса. Признание руководством программы информационной безопасности частью производственного процесса показывает, что отношение


руководства к ней точно такое же, как и к другим задачам, стоящим перед организацией.

Обычно, когда такое говорят представителям руководства, их это шокирует и приводит в ужас. Прежде всего, они не обучались технологии или основам информационной безопасности. Им объясняют, что они и не должны понимать, как это работает, но им необходимо быть уверенными, что их бизнес надежно защищен, а решения безопасности не мешают бизнес-процессу. Руководство намечает определенные цели для организации, а большинство профессионалов в сфере безопасности и информационных систем не желают понимать или вникать в эти нюансы. Это не нападки на руководство или на технический персонал, но годы разногласий и непонимания настроили две эти группы враждебно по отношению друг к другу.

Обе группы должны понимать, что безопасность не является чем-то таким, что может быть сложено в красивую папку и поставлено на полку. Она является целью, за осуществление которой должны бороться обе эти стороны. Это становится ясно после анализа степени риска, стоимости и требований гарантии защищенности доступа к информации. Руководящий состав должен нести ответственность за проведение анализа и возложение обязанностей на технический персонал, отвечающий за внедрение правил информационной безопасности.

Комитет по управлению информационной безопасностью

Один из способов перебросить мост между двумя группами заключается в создании Комитета по управлению информационной безопасностью. В обязанности этого комитета будет входить контроль за изменениями в планировании бизнеса и определение того, каким образом правила информационной безопасности должны отражать эти изменения. Другой целью этого комитета может быть анализ производственных процессов и обеспечение гарантий соответствия их правилам безопасности, а также удовлетворение запросов на исключения из этих правил.

Чтобы комитет работал успешно, необходимо, чтобы в него входили специалисты различного профиля, наподобие состава группы, которая разрабатывает документы, определяющие политику безопасности. Однако разница в том, что этот комитет должен состоять исключительно из представителей руководства, которые будут понимать суть политики безопасности с позиций и экономических, и технических перспектив. Техническое руководство должно осознавать суть проблем бизнеса и иметь доступ к информации для того, чтобы оказывать помощь в принятии правильных решений по вопросам безопасности. Необязательно каждому члену комитета быть руководителем исполнительного уровня, но было бы неплохо, чтобы в комитете были представители и исполнительного персонала.

Право на информацию

Одной из самых сложных задач руководства или комитета по управлению является распределение ответственности за информационные ресурсы или средства управления ими, что также называется правом на информацию. Лицо, которому предоставлено право на информацию, становится ответственным за сохранность информационных активов согласно установленным правилам.

Для многих людей право на информацию представляет собой довольно непростую концепцию. В традиционной модели безопасности данные и средства управления ими хранятся на серверах под бдительным надзором администратора или администраторов. Администратор должен понимать, как функционирует система, и как установить средства управления доступом. Проблемы начинаются тогда, когда администратор вынужден иметь дело с набором разнотипных средств управления большим числом разнотипных серверов, баз данных, средств хранения данных или, проще говоря, "ресурсов". Чтобы поддерживать ощущение порядка, администратор следует правилам, пытаясь привести их к единому знаменателю, как-то удовлетворяющему каждой из обслуживаемых им систем.

В этом сценарии типа "безразмерная подгонка на все случаи" администратор устанавливает классификацию, степень важности и средства управления доступом к информации согласно своим представлениям о работе. Нет гарантий того, что эти атрибуты будут соответствовать правилам безопасности в отношении каждого, кто имеет доступ к информации. Могут возникнуть конфликты между пользователями, требующими доступ к информации, и администраторами, которые приняли ошибочные решения.

В качестве альтернативного метода можно было бы предоставлять право на данные и на средства управления. Ответственный за информацию отвечал бы за предоставление доступа к данным и определял бы, каким образом будет осуществляться управление данными. Для управления информационными активами ответственный за информацию работал бы с администраторами безопасности и/или системными администраторами. Он сам бы определял степень важности и классифицировал информацию вместо того, чтобы оставлять это на попечение администратора. В результате управление информационными активами соответствовало бы нуждам ответственного за информацию.

Ответственный за информацию отвечал бы за отклонения от общепринятой практики обработки информации. Если запрос на получение информации требует действий, нарушающих существующие правила, то в таком случае ответственный за информацию будет отвечать за принятые отклонения от правил и за возможные последствия. В некоторых организациях от ответственного за информацию требуют письменного запроса на отклонения от правил, а также он должен подписать заявление о полной ответственности в случае возникновения потенциальных проблем. Поскольку никто не хочет излишне рисковать карьерой из-за такой ответственности, запросы на отклонения от правил появляются нечасто.

Обратная сторона права на информацию заключается в том, что ответственный за информацию должен обеспечивать доступ к информации в соответствии с требованиями правил безопасности. Более того, некоторые ответственные за информацию считают, что несправедливо требовать от них полной ответственности и заставлять рисковать своей карьерой, поэтому они нарушают инструкции и игнорируют правила. Изначально ответственный за информацию должен осознавать ответственность за информацию, которой он или она наделен. Единственный способ решить эту проблему заключается в надлежащем обучении вопросам безопасности, в поддержке руководства и последовательном строгом контроле за соблюдением требований.

Другая проблема, связанная с правом на информацию заключается в том, что эта схема хорошо работает только в таких организациях, где данные можно распределить среди потенциальных ответственных за информацию. Автор книги не замечал, чтобы такая схема хорошо работала в маркетинговых организациях или в таких компаниях, где данные полностью интегрированы в среде. Право на информацию также может стать проблемой в небольших организациях, в которых недостаточно людей для поддержания этой концепции. Одна из компаний, с которой сотрудничал автор, сделала каждого из 20 служащих совладельцами данных. Несмотря на то, что это было сделано, в первую очередь, в целях поддержки морального состояния, такая мера также помогала поддерживать целостность данных.

Если вашу организацию не удовлетворяет предложенная концепция права на информацию, можно откорректировать правила так, чтобы они предусматривали создание ответственных комитетов. Такие небольшие комитеты выполняют ту же работу, что и ответственные за информацию, но ответственность несет не одно лицо, а группа лиц. Еще лучше, когда весь комитет является ответственной стороной. В этом случае при появлении запросов на отклонение от правил создается ситуация, требующая дополнительных проверок и согласований.

Распределение прав на информацию

Первое правило при распределении прав на информацию заключается в том, чтобы заинтересовать ответственного за информацию, сделав его собственником этих данных. Другими словами, ответственным за финансовую информацию должен быть кто-то, кто подчинен финансовому директору. Такое распределение сделать непросто. Не стоит создавать массу различных подразделений, если это не согласуется с бизнес-процессом. Это также означает, что отдел информатизации не должен являться ответственным за всю информацию, разве что это необходимо для таких операций, как конфигурирование системы, идентификация пользователей, службы именования доменов и т.п.

На одном из этапов этого процесса необходимо переговорить с заинтересованными сторонами. Обсудив право на информацию с теми, кто имеет к ней непосредственное отношение, можно выяснить их соображения по этому поводу. Они могут даже предложить идеи касательно того, как распределить или систематизировать ответственность за информацию.

Права на информацию должны быть распределены на основе систематизации информационных активов верхнего уровня. Можно использовать те же результаты систематизации информации, которая была проведена во время подготовительных работ (описанных в главе 1 "Что собой представляет политика информационной безопасности"). Мы рекомендуем использовать систематизацию верхнего уровня, так как в этом случае не будет слишком много лиц, ответственных за информацию. Это может потребовать дополнительного анализа того, кто и за какую информацию должен отвечать, но ограничение числа ответственных лиц даст возможность управлять этим процессом. Таким образом, в соответствии с классификатором информации каждый важный вид информации должен иметь назначенного ответственного за этот вид информации.

Обязанности ответственных за информацию

Если организация приняла решение распределить права на информацию, необходимо рассмотреть, какие обязанности имеют ответственные за информацию лица. Инструкции, изложенные в правилах безопасности, должны определять круг ответственных за информацию лиц, кому разрешен доступ к особым средствам управления информацией. Слово "особые" подразумевает, что ответственные за информацию имеют доступ к таким средствам управления, с которыми не могут работать все остальные. Подобные формулировки правил могут быть составлены и для администрирования средств управления доступом в рамках тех функций, которые дозволены администратору.

Самая важная обязанность ответственного за информацию заключается в разрешении и отмене права доступа к информации компании. При разработке правил, которые связаны с правом доступа к информации, необходимо учитывать, что в правилах должна быть регламентирована работа и самого ответственного за информацию. Кроме того, в правилах доступа к информации необходимо оговорить возможность восстановления данных и функций управления доступом. Например, в правилах могут быть следующие формулировки.

Если ответственное за информацию лицо будет отсутствовать, то нужно назначить кого-то, кто будет действовать от его имени. Пароли, используемые при управлении информацией, в свою очередь должны содержать пароль или ключ, с помощью которого можно получить доступ к этим паролям в случае, если с ответственным за информацию что-то случится. Должны существовать механизмы для замены ответственного за информацию.

Следует помнить, что рассматриваемые механизмы являются частью правил безопасности. Нужно избегать соблазна регламентировать последовательность действий ответственного за информацию.

Согласование планов информационной безопасности

При обсуждении обязанностей и служебного соответствия руководителей необходимо уделить внимание тому, как руководство следит за соблюдением правил, а также, как оно реагирует на нарушения правил. Эти условия касаются не только поддержки руководства. Необходимо обсудить роли, которые будет выполнять руководство на арене информационной безопасности.

При проведении обучения присутствие представителей руководства может быть эпизодическим и нерегулярным по сравнению с присутствием прочего персонала компании. Но не стоит разделять руководителей на какие-то категории, лучше посмотреть, нельзя ли объединить их в едином плане безопасности. Постарайтесь сделать руководство активным участником. Если нет необходимости контролировать системные журналы или проводить независимые проверки (хотя это могло бы быть неплохой идеей), руководство может быть привлечено к организации совещаний, а также к рассмотрению дел служащих, которые нарушили правила безопасности. Если же проблемы затрагивают правовые аспекты, члены руководящего состава должны стать активными участниками расследования.

Такой метод бывает трудно преподнести нетехническому руководящему составу. Даже в процессе автоматизации бизнес-процессов руководство, которое не понимает технологии, старается спрятаться за спины технического персонала или консультантов. Несмотря на то, что информационная безопасность на самом деле не является техническим вопросом, все выглядит именно так. Один из способов включить руководство в процесс разработки политики безопасности заключается в том, чтобы сделать руководство ответственным за эти процессы подобно наделению правом на информацию управляющих нижнего уровня. Сделав их ответственными за безопасность, можно быть уверенным, что их деятельность сразу станет плодотворной, а вопросы безопасности не будут попадать под сукно в их кабинетах или гибнуть в проволочках различных управленческих комитетов. Для этого звена руководства, чьи амбиции нуждаются в постоянной подпитке, назначение ответственности будет весьма кстати.


Роль отдела информационной безопасности

Отдел информационной безопасности отвечает за внедрение и сопровождение всего спектра документов, составляющих правила информационной безопасности организации. стандартов, инструкций и руководств. Этот отдел проводит обучение персонала основам безопасности и контролирует, чтобы каждый сотрудник знал свою роль в проведении политики безопасности. Короче говоря, отдел информационной безопасности обеспечивает механизмы, поддерживающие программу безопасности, намеченную политикой.

Этот отдел должен поддерживать баланс между образованием и административным принуждением. Установить такой баланс довольно сложно. В правилах безопасности для этого отдела должны быть четко определены все обязанности. Отдел должен рассматриваться как партнер в бизнесе, поскольку если он будет заниматься исключительно применением административных мер, то он будет попросту внушать страх. Страх может вызвать негативную реакцию, что будет препятствовать внедрению правил информационной безопасности.

Глава 12 "Согласование и внедрение", как видно из названия, посвящена согласованию и административным мерам как неотъемлемым компонентам обучения основам информационной безопасности. Те, кто до начала разработки правил безопасности хочет иметь больше информации о роли обучения, могут заглянуть вперед и прочитать эту главу.

Инструктаж по вопросам безопасности
Невозможно переоценить важность инструктажа и образования вообще для проведения в жизнь политики безопасности. После разъяснения предписаний политики и инструктажа всех, кого она затрагивает, касательно их роли в ее проведении, служащие будут воспринимать политику безопасности как неотъемлемую часть своей работы. Но добиться этого нелегко. Одна из проблем состоит в том, что уже более десяти лет ведущие компании-производители при выпуске своей продукции демонстрируют свою полную незаинтересованность в вопросах безопасности. В результате выпускается продукция, которая не соответствует полностью стандартам безопасности, а ее применение не позволяет эффективно реализовывать программу информационной безопасности. Эта дихотомия может сбить с толку.
Техническое обучение в области безопасности строится на развитых общественных связях. Организация могла бы нанять в отдел безопасности технически подготовленного специалиста по связям с общественностью. Это лицо занималось бы организацией переподготовки, развитием отношений отдела с пользователями и действовало бы в качестве посредника между пользователями и отделом. Используя опыт такого специаписта по связям с общественностью, можно поднять уровень пользователей в вопросах защиты информации на соответствующий требованиям отдела уровень.

Привлечение консультантов по защите информации

Привлечение внешних ресурсов стало основой деятельности компьютерной индустрии с тех пор, как компании стали предлагать компьютерную обработку информации на мощных компьютерах в режиме разделения времени. Современные внешние ресурсы могут обеспечить компании обработку любого рода информации, включая и обеспечение защиты информации.

Ниже представлены серьезные аргументы в пользу привлечения консультантов или независимых компаний, специализирующихся на защите информации. При определении целей политики безопасности в отношении внешнего окружения необходимо рассмотреть несколько вопросов.

Работа с собственным отделом информационной, безопасности. Даже в том случае, когда защита информации проводится независимыми организациями или для этой работы примечены консультанты со стороны, настоятельно рекомендуется, чтобы в организации существовал хотя бы небольшой собственный отдел безопасности, пусть его штат состоит хотя бы из одного специалиста по информационной безопасности. Информационная безопасность требует доверительных взаимоотношений между пользователями и теми, кто проводит в жизнь политику безопасности. Для некоторых довольно трудно преодолеть психологический барьер и доверить это дело сторонним специалистам. Разработать четкие инструкции. В любом договоре со сторонними организациями или с подрядчиками необходимо четко оговорить функциональные обязанности и ответственность этих аутсайдеров. Но бывает, что высшие интересы организации не позволяют предоставлять свободный доступ аутсайдерам к информационным активам организации. Поэтому, в каждый договор со сторонними организациями, обеспечивающими защиту информации, должны быть внесены рабочие предписания (SOW —statement of work), являющиеся четкими инструкциями для работы. SOW не должны быть документами, определяющими политику безопасности, но их инструкции должны быть утверждены руководством. Определение обязанностей. Другой аспект SOW заключается в определении ответственности сторонних специалистов или подрядчиков за работу, связанную с информационной безопасностью организации. В правилах безопасности необходимо определить ответственность каждого, кто связан с информационной безопасностью организации.

Прочие аспекты защиты информации

Для успеха любой программы защиты информации необходимо охватить ею всю деятельность организации. Программой защиты информации должны быть охвачены рабочие инструкции и должностные обязанности каждого, кто занят в данном бизнесе, описания рабочих процессов, а также методы аудита и сопровождения.

Интеграция информационной безопасности в бизнес-процесс организации

Основной целью распределения обязанностей по защите информации является интеграция информационной безопасности в среду бизнеса. В качестве одного из этапов этой интеграции необходимо определить должности, которые обеспечивают безопасность всей работы. Например, один из способов осуществления этого заключается в распределении обязанностей и контроля над активами организации путем координирования работы каждого, включая ответственных за информацию и материально ответственных сотрудников. При таком подходе, не возникнет двусмысленностей относительно того, кто, за что и когда отвечает.

Еще одним аспектом исследований является вопрос, каким образом организовано управление безопасностью в организации. Обычно в организации формируется главная группа управления информационной безопасностью. Главная группа отвечает за внедрение и контролирует исполнение правил безопасности и процедур. Будем рассматривать подход, принятый для неограниченных систем (см. главу 2 "Определение целей политики"), когда главная группа управления информационной безопасностью назначает администраторов безопасности для многопользовательских систем, в которых имеется большое число подразделений. Тогда в каждом подразделении будет свой собственный сотрудник безопасности или посредник, который будет помогать внедрению программы безопасности подразделения. Таким образом можно обеспечить более тесное сотрудничество тех, кто следит за безопасностью, с пользователями Это похоже на институт участковых милиционеров, принятый в милиции.

Тесное сотрудничество сотрудников службы безопасности с остальным персоналом будет полезным и при управлении связями в реальном времени со сторонними организациями. Но утроза безопасности исходит не только от собственных служащих, но и от клиентов, поставщиков, а также от каждого, кто, подключаясь к информационным активам организации, имеет возможность нарушить правила безопасности. Посредники должны отвечать за обучение перечисленных выше аутсайдеров, а также контролировать их деятельность и стимулировать ее. Так работают в небольших организациях. Во многих из них, особенно в сторонних организациях, немногочисленный персонал делят на "отделы", в которых один человек назначается посредником со службой безопасности.

Тем не менее, это не лучшее решение. Некоторые люди, работающие в организации достаточно большой период времени, могут найти способы разобраться в тонкостях работы системы и злоупотребить этим в каких-то своих целях. Единственный способ предотвратить это заключается в том, чтобы не допускать пребывание сотрудника продолжительное время в роли посредника по безопасности, например, не более одного-двух лет. По завершению этого срока они передают свою работу кому-нибудь другому. Другой способ заключается в том, чтобы установить порядок проверок и учета. Система снабжения организации является одним из управляемых процессов. Даже несмотря на то, что большая часть закупок проходит этап утверждения руководством, часто такое утверждение проходит формально, и оплата проходит без последующих уведомлений. Зато посредник безопасности в бухгалтерии будет следить за нарушениями в порядке закупок и отгрузки заказов.

Один ревизор поделился впечатлениями о своей работе, которую все считают очень сложной. Мало кто способен выполнять эту работу. Ревизор должен знать все тонкости бизнеса, особенности клиентов и поставщиков, знать старые и новые правила делопроизводства, а также - денежные потоки организации. Только зная все это, ревизор сможет разобраться в счет-фактурах и заявках на закупки и определить, нет ли в них каких-то нарушений.

И последним аспектом, который следует учесть в процессе реализации программы защиты информации, является цикл развития программного обеспечения. Независимо от того, разрабатывалось ли программное обеспечение собственными силами или организацией-подрядчиком, или же были закуплены коммерческие программные продукты (COTS - Commercial Off-The-Shelf), целью должно быть создание безопасных систем, в которых можно бы было легко локализовать ошибки или попытки вторжения. Внедрение стандартов кодирования и тестирования также будет содействовать обеспечению качественных производственных процессов. Более того, использование такой парадигмы как живучесть, также может стать основой для проектирования программного обеспечения, с которым не будет проблем при развертывании или в процессе эксплуатации.

Конкретные задачи информационной безопасности

Единственным способом, гарантирующим, что любой из работающих в настоящее время в организации или принимаемый на работу служащий, или пользователь будет знать, что обеспечение безопасности является частью его или ее работы, является включение соответствующих записей в должностные инструкции. Изложение функциональных обязанностей и требований безопасности в должностных инструкциях демонстрирует сотруднику важность информационной безопасности и заставляет осознать, что она является неотъемлемой частью его работы. После того, как эти обязанности и требования введены в должностные инструкции, к ним начинают относиться с пониманием того, что они влияют на оценку профессиональной пригодности работника.

Сторонние подрядчики, поставщики или другие лица, которые предоставляют услуги непосредственно в сети компании, должны включать подобные формулировки в свои рабочие предписания (SOW). Как и в случае с собственными служащими, такие записи документально подкрепляют обязательства компании, а также заставляет подрядчиков и поставщиков строго следовать правилам требований безопасности организации, так как по этим показателям будет оцениваться качество предоставляемых ими услуг.

Аудит и контроль

Аудит и контроль важны при внедрении и контроле за соблюдением требований безопасности. Однако если эта работа не будет составной частью бизнес-процесса, то есть вероятность того, что эти меры никогда не будут осуществлены. Необходимо осознать, что эта работа является контролем качества выполнения программы информационной безопасности. В результате работа по обеспечению внутреннего аудита средств управления информационной системы, будет выполняться постоянно, а не отдельными кавалерийскими наскоками.

Позже в этой книге мы поговорим о проведении независимой экспертизы. Однако в этой главе мы ограничились рассмотрением функций того, кто организовывает и следит за проведением такой экспертизы.


Понятие управления безопасностью и применения закона

Во время написания этой книги стало известно, что Microsoft, якобы, подверглась атаке хакеров из-за океана. В сообщениях говорилось, что предположительно, хакеры использовали для внедрения в программы вирусы "троянский конь" и смогли извлечь исходные тексты программ, разработанных Microsoft. Имели место и другие известные вторжения и последующее преследование злоумышленников. К сожалению, за исключением нескольких особых случаев, большинство правонарушителей так и не были пойманы.

По сравнению с другими сферами применения закона юриспруденция компьютерных преступлений и информационной безопасности находится в зачаточном состоянии. Как и во времена Дикого Запада, преступники изобретают новые преступления, а полиция должна решать новые проблемы. Прежде всего, проблемы касаются юрисдикции. Среда Internet, многонациональные корпорации и бурный рост всемирных коммуникаций делает условными границы между штатами, провинциями, странами и континентами. Даже если будут найдены злоумышленники, причинившие ущерб компании Microsoft, и выяснится, что они из-за океана, то, собственно, законы какой страны применять по отношению к этим правонарушителям?

Под чью юрисдикцию это подпадало?
В 1999 году компьютерные студенты на Филиппинах создали вирус, который атаковал популярную коммерческую почтовую программу, что причинило убытки на миллионы долларов, исходя из предполагаемых затрат на восстановление программного обеспечения. Когда эксперты вычислили, что сообщения с вирусами приходили с Филиппин, министерство юстиции Соединенных Штатов стало работать вместе с должностными лицами Филиппин, чтобы арестовать хакеров. Представители министерства юстиции заявили, что их юрисдикция распространяется на все преступления, даже если злоумышленники являются гражданами Филиппин. Но власти Филиппин не смогли арестовать преступников, поскольку на Филиппинах не существовало закона, согласно которому можно бы было предъявить обвинения хакерам.
Между Соединенными Штатами и Филиппинами заключен договор об экстрадиции, но достаточно ли он эффективен для того, чтобы хакеры предстали перед судом в Соединенных Штатах? До сих пор хакеры обвиняются в преступлении, но все еще пребывают на Филиппинах. Пройдет немало времени, прежде чем дипломаты осознают, какой вред наносят компьютерные преступления и заключат эффективные договоры, способные защитить национальные и международные инфраструктуры.

Другая проблема заключается в том, чтобы понять, как повлияло на закон появление компьютеров. Несмотря на то, что существует много законов, касающихся компьютерных преступлений, все они написаны и приспособлены для бумажного мира. Даже, несмотря на то, что существуют законы, отражающие развитие телефонии, правоведы все еще набираются опыта, оставляя нас среди множества разнообразных и противоречивых законов.

Но все это сказано не для того, чтобы вы опустили руки, столкнувшись с преступлениями такого рода. Наоборот, необходимо готовиться к тяжелым битвам, чтобы виновные в преступлении все-таки предстали перед судом. Первое, что нужно сделать — это изучить законодательство. Ясно, что администраторы и персонал службы безопасности раньше не изучали законодательство, но существует множество источников, из которых можно узнать, какую защиту обеспечивает закон (ссылки можно найти в Приложении Б "Ресурсы").

Иной важный аспект законодательства заключается в определении того, что требуется в юрисдикции для предъявления обвинения в преступлении. Законы различны не только в разных странах: в различных судебных округах США федеральный закон также применяется по-разному. К сожалению, федеральные окружные суды напоминают феодальные поместья; прецеденты в одном из них никак не влияют на другие до тех пор, пока дело не дойдет до Верховного Суда. Это означает, что необходимо понимать, какие нормы права действуют в округе, в котором будет рассматриваться ваше дело.

Один из лучших способов определить, какие действуют правовые нормы, проконсультироваться у местных юристов. Среди профессионалов в области физической безопасности общепринято обсуждать свои планы с полицией и прокуратурой. Тем не менее, за исключением ФБР, сотрудничества с национальным центром безопасности инфраструктур (NIPC— National Infrastructure Protection Center), может и не получиться, поскольку они могут и не понимать, как можно оказать помощь.

Нуждаемся ли мы в NIPC?
Национальной центр безопасности инфраструктур был организован в 1998 году на основании указа президента, в качестве службы, в которой правоохранительные органы могли бы получать информацию о том, как обеспечивать безопасность появляющихся важных информационных инфраструктур. Несмотря на такую благородную концепцию, кое-кто считает, что ФБР не должно собирать и хранить такую информацию. Некоторые даже с содроганием вспоминают времена Гувера (J.Edgar Hoover), когда в архивах хранились файлы с компрометирующей информацией. Нужно ли привлекать ФБР, если будут собираться данные такого рода?
Работая пока не очень уверенно, NIPC уже предоставил массу полезной информации службам, следящим за соблюдением закона. Программа NIPC InfraGuard разработана для того, чтобы объединить усилия государственною и частного секторов экономики для защиты информационных ресурсов. Успех этого мероприятия зависит от развития сотрудничества в экономике. Тот, кто хочет получить больше информации о NIPC, может посетить Web-сайт www.nipc.gov.

Главное, на чем нужно сосредоточить внимание после совершения преступления — сбор улик. Поэтому, в качестве этапа предварительной подготовки, ознакомьтесь с правилами сбора свидетельских показаний. Эти правила изложены в инструкциях, которыми руководствуются прокуроры при представлении этих показаний в суде. Поэтому, правила информационной безопасности нужно разрабатывать на основании этих инструкций, чтобы уметь правильно обработать данные, системы, сети и системные журналы после того, как было совершено преступление. Это нужно представить в виде четких руководств, прилагаемых к правилам, работая по которым можно быть уверенным в надлежащей защите улик. Нельзя забывать, что без предоставления соответствующих доказательств прокурор может использовать формулировку "за недостатком улик", и преступники окажутся на свободе.


Обучение и поддержка в области защиты информации

После разработки правил безопасности необходимо организовать обмен мнениями между разработчиками, руководством и каждым сотрудником организации, чтобы всем разъяснить предписания политики и ее значение. На этом заключительном этапе планирования необходимо запланировать обучение персонала. Это обучение необходимо каждому, кто имеет доступ к компьютерам и сетям компании. Сотрудники должны располагать необходимыми записями, включая программу обучения и сам курс обучения, а также все утвержденные документы принятых корпоративных правил безопасности.

Руководство должно не только выделить время на обучение, оно должно всячески поощрять его. Автор был привлечен в одну компанию для проведения обучения в специально выделенное время, а именно, когда служащие не были заняты с клиентами или не были больны, они должны были посещать занятия. Предписания политики позволяли не выплачивать служащим жалованье до тех пор, пока они не пройдут курс обучения или не просмотрят его на видеопленке. Необязательно доходить до таких крайностей, но такой способ дает гарантию 100%.

Следует помнить, что разработав большое число различных правил безопасности, нужно позаботиться, чтобы все они были применимы в ваших конкретных условиях. Это означает, что невозможно спланировать программу обучения персонала как "одну для всех". Планы обучения должны быть тесно согласованы с политикой безопасности организации. Необходимо также понимать, что не каждому служащему необходимо обучение по всем аспектам безопасности. Например, персоналу технического сопровождения не нужно изучать правила безопасности, установленные для разработчиков программного обеспечения. При разработке планов и программ изучения правил безопасности следует обеспечить, чтобы каждый аспект правил безопасности был изучен соответствующим персоналом.


Для успеха программы защиты информации

Для успеха программы защиты информации поддержка руководства имеет решающее значение. Наряду с заявленной поддержкой должна быть и ответственность за успешное проведение в жизнь этой программы. Особое значение мы придаем назначению ответственных руководителей и роли того персонала, кто реализует административные меры внедрения правил безопасности. Программа безопасности будет иметь успех, если персонал и руководители будут хорошо знать свои функции и будут готовыми к решительным действиям. А этого можно добиться только в том случае, если каждый будет хорошо знать правила безопасности, пройдя полный курс по программе изучения информационной безопасности.
1. Обязанности руководства. Участие и поддержка Комитета по управлению информационной безопасностью. Право на информацию включает распределение обязанностей по управлению информационными активами: назначаются ответственные за информацию, которые классифицируют информацию по степени ее важности и допускают отклонения в ее обработке от общепринятой практики. Разработка и согласование с руководством планов зашиты информации. 2. Роль отдела информационной безопасности. Правилами должно быть установлено, что отдел информационной безопасности полностью отвечает за внедрение и сопровождение в организации правил информационной безопасности, а также стандартов, инструкций и процедур. Этот отдел отвечает за обучение, использование административных мер и покровительство со стороны руководства. При привлечении сторонних организаций или консультантов по информационной безопасности отдел обеспечивает их работу по инструкциям, принятым для работы собственным отделом информационной безопасности. 3. Прочие аспекты защиты информации. Что касается внедрения информационной безопасности в бизнес-процесс, необходимо распределить обязанности и ответственность за управление активами компании, координировать деятельность каждого, включая ответственных за информацию и материально-ответственных лиц. Назначить администратора безопасности для всех многопользовательских систем, а в каждом подразделении выделить посредника по информационной безопасности. Определить ответственных за безопасность обмена информацией со сторонними организациями в реальном времени. Принять меры для судебного пересмотра платежей по закупкам и продажам, проведенным с нарушениями закона. Включить положения об ответственности за соблюдение норм безопасности в должностные инструкции и в договоры со сторонними организациями, и следить за их соблюдением. Что касается аудита и контроля, то ключевую роль занимает включенный в бизнес-процесс внутренний аудит средств управления информационными системами. 4. Право на информацию и ответственность за ее сохранность. При распределении прав на информацию отдел информационных систем не назначается ответственным за информацию за исключением той информации, с которой он непосредственно работает. Распределение прав на информацию должно быть проведено только после инвентаризации верхнего уровня информационных активов. Должен быть назначен, по крайней мере, один ответственный за каждый из основных типов информации. К распределению обязанностей по обеспечению безопасности информационных активов относится и определение дозволенных средств управления и методов администрирования этих средств. Необходимо иметь инструкции для предоставления и лишения прав доступа к информационным активам компании, а также для восстановления информации в случае ее потери. 5. Понятия управления безопасностью и применения закона. Знать и сознательно соблюдать законы и правила в пределах своих юридических прав. Соблюдать правила сбора улик и обеспечить юридические гарантии принятия их судом. Предварительно планировать взаимодействие компании с органами правосудия и прокуратурой, чтобы на этой основе обрабатывать данные и проводить расследование в случае совершения преступления. 6. Обучение и поддержка информационной безопасности. Обучаться должны все работники, имеющие доступ к компьютерам и сетям компании. Служащие должны подписать обязательства с требованиями пройти обучение, а также иметь на руках документ, подтверждающий прохождение курса
обучения. Руководство должно выделить время на обучение и способствовать его проведению. Обучение должно отвечать требованиям политики безопасности.