Учебное пособие: Интеллектуальные компьютерные технологии защиты информации
Следует помнить, что правильно организованное обучение - лучшая защита. Вы обязаны поставить дело так, чтобы не только внутренние, но и внешние легальные пользователи знали положения вашей политики безопасности. Если вы будете располагать свидетельством подобного знания, это поможет вам в будущих правовых акциях, когда таковые понадобятся.
Проблемы с нелегальными пользователями в общем те же. Нужно получить ответы на вопросы о том, какие типы пользователей нарушают политику, как и зачем они это делают. В зависимости от результатов расследования вы можете просто заткнуть дыру в защите и удовлетвориться полученным уроком или предпочтете более крутые меры.
1.2.4.2 Что делать, когда местные пользователи нарушают политику безопасности стороннейорганизации
Каждое предприятие должно заранее определить набор административных санкций, применяемых к местным пользователям, нарушающим политику безопасности сторонней организации. Кроме того, необходимо позаботиться о защите от ответных действий сторонней организации. При выработке политики безопасности следует учесть все юридические положения, применимые к подобным ситуациям.
1.2.4.3 Спецификация контактов с внешними организациями и определение ответственных
Политика безопасности предприятия должна содержать процедуры для взаимодействия с внешними организациями, в число которых входят правоохранительные органы, другие организации, команды «быстрого реагирования», средства массовой информации. В процедурах должно быть определено, кто имеет право на такие контакты и как именно они совершаются. Среди прочих нужно дать ответы на следующие вопросы:
• Кто и по каким вопросам может общаться с прессой?
• Когда следует обращаться в правоохранительные органы?
• Если соединение выполняется из сторонней организации, имеет ли право системный администратор обратиться в эту организацию?
• Какого рода сведения об инцидентах могут выходить за пределы организации?
Детальная информация по контактам должна быть постоянно доступна вместе с ясно определенными процедурами отработки этих контактов.
1.2.4.4 Каковы обязанности по отношению к соседям и другим пользователям Интернет?
Рабочая группа по политике безопасности (SecurityPolicyWorkingGroup, SPWG) сообщества Интернет опубликовала документ под названием «Основы политики для безопасной работы в Интернет». В нем Интернет трактуется как совместное предприятие, в котором пользователи должны помогать друг другу в поддержании режима безопасности. Это положение следует учитывать при разработке политики предприятия. Главный вопрос состоит в том, какой информацией можно делиться с соседями, а какой нет. Ответ зависит как от типа организации (военная, учебная, коммерческая и т.д.), так и от характера возможных угроз.
1.2.4.5 Процедурные вопросы реагирования на нарушения
Помимо политических положений необходимо продумать и написать процедуры, исполняемые в случае обнаружения нарушений режима безопасности. Такие процедуры должны быть заготовлены заранее и отрепетированы для всех видов нарушений.
1.2.5 Пресекать или следить?
Когда на организацию совершается нападение, грозящее нарушением информационной безопасности, стратегия ответных действий может строиться под влиянием двух противоположных подходов.
Если руководство опасается уязвимости предприятия, оно может предпочесть стратегию «защититься и продолжить». Главной целью подобного подхода является защита информационных ресурсов и максимально быстрое восстановление нормальной работы пользователей. Действиям нарушителя оказывается максимальное противодействие, дальнейший доступ предотвращается, после чего немедленно начинается процесс оценки нанесенных повреждений и восстановления. Возможно, при этом придется выключить компьютерную систему, закрыть доступ в сеть или предпринять иные жесткие меры. Оборотная сторона медали состоит в том, что пока злоумышленник не выявлен, он может вновь напасть на эту же или другую организацию прежним или новым способом.
Другой подход, «выследить и осудить», опирается на иные философию и систему целей. Основная цель состоит в том, чтобы позволить злоумышленнику продолжать свои действия, пока организация не сможет установить его личность. Та?