Предотвращение нецелевого использования средств обработки информации

 

Средства обработки информации организации предназначены для обеспечения потребностей бизнеса.

 

Руководство должно определить уровни полномочий пользователей в отношении использования средств обработки информации. Любое использование этих средств для непроизводственных или неавторизованных целей, без одобрения руководства, следует расценивать как нецелевое. Если такая деятельность выявлена мониторингом или другими способами, то на это следует обратить внимание непосредственного руководителя сотрудника для принятия соответствующих мер дисциплинарного воздействия.

 

Законность использования мониторинга зависит от действующего в стране законодательства и может потребоваться, чтобы сотрудники были осведомлены и дали документированное согласие на проведение мониторинга. Перед осуществлением мониторинга необходимо получить консультацию юриста.

 

Многие страны имеют или находятся в процессе введения законодательства по защите от неправильного использования компьютеров. Возможны случаи использования компьютера для неавторизованных целей с преступным умыслом. Поэтому важно, чтобы все пользователи были осведомлены о четких рамках разрешенного им доступа. Это может быть достигнуто, например, путем ознакомления пользователей с предоставленной им авторизацией в письменной форме под роспись, а организации следует безопасным способом хранить копию этого документа. Необходимо, чтобы сотрудники организации и пользователи третьей стороны были осведомлены о том, что во всех случаях они имеют право доступа только к тем данным, использование которых им разрешено.

 

Необходимо, чтобы при регистрации доступа к системе на экране компьютера было отражено предупреждающее сообщение, указывающее, что система, вход в которую пользователи пытаются осуществить, является системой с ограниченным доступом, и что неавторизованный доступ к ней запрещен. Пользователь должен подтвердить это прочтение и реагировать соответствующим образом на него, чтобы продолжить процесс регистрации.

 

Регулирование использования средств криптографии

 

В некоторых странах приняты соглашения, законы, регулирующие требования или другие инструменты, определяющие мероприятия по обеспечению безопасности доступа к криптографическим средствам и их использованию. Такие мероприятия обычно включают:

 

- ограничения импорта и/или экспорта аппаратных и программных средств для выполнения криптографических функций;

 

- ограничения импорта и/или экспорта аппаратных и программных средств, которые разработаны таким образом, что имеют, как дополнение, криптографические функции;

 

- обязательные или дискреционные методы доступа со стороны государства к информации, зашифрованной с помощью аппаратных или программных средств для обеспечения конфиденциальности ее содержания.

 

Для обеспечения уверенности в соответствии политики использования криптографических средств в организации национальному законодательству необходима консультация юриста. Прежде чем зашифрованная информация или криптографическое средство будут переданы в другую страну, необходимо также получить консультацию юриста.

 

Сбор доказательств

 

12.1.7.1 Правила использования и сбора доказательств

 

Необходимо иметь адекватные свидетельства, чтобы поддерживать иски или меры воздействия, направленные против физического лица или организации, которые нарушили правила управления информационной безопасностью.

 

Всякий раз, когда эти меры воздействия являются предметом внутреннего дисциплинарного процесса, свидетельства должны быть описаны в соответствии с внутренними процедурами.

 

Когда меры воздействия/иски затрагивают вопросы как гражданского, так и уголовного права, необходимо, чтобы представленные свидетельства соответствовали требованиям к сбору свидетельств, изложенными в соответствующих правовых нормах или требованиям конкретного суда, в котором будет рассматриваться данный вопрос. В общем случае, эти правила предусматривают:

 

- допустимость свидетельств: действительно ли свидетельства могут использоваться в суде или нет;

 

- весомость свидетельств: качество и полнота свидетельств;

 

- адекватное свидетельство того, что эти меры контроля (процесс сбора свидетельств) осуществлялись корректно и последовательно в течение всего периода, когда установленное свидетельство инцидента нарушения информационной безопасности было сохранено и обработано системой.

 

12.1.7.2 Допустимость доказательств

 

Чтобы достичь признания допустимости свидетельств, организациям необходимо обеспечить уверенность в том, что их информационные системы соответствуют всем юридическим требованиям и правилам в отношении допустимых свидетельств.

 

12.1.7.3 Качество и полнота доказательств

 

Чтобы достичь качества и полноты свидетельств, необходимо наличие убедительных подтверждений свидетельств. В общем случае, такие убедительные подтверждения могут быть достигнуты следующим образом:

 

- для бумажных документов: оригинал хранится безопасным способом и фиксируется, кто нашел его, где он был найден, когда он был найден и кто засвидетельствовал обнаружение. Необходимо, чтобы любое исследование подтвердило, что оригиналы никто не пытался исказить;

 

- для информации на компьютерных носителях: копии информации, для любых сменных носителей информации, для жестких дисков или из основной памяти компьютера, следует выполнять таким образом, чтобы обеспечить их доступность. Журнал всех действий, выполненных в течение процесса копирования, необходимо сохранять, а сам процесс копирования необходимо документировать. Одну копию носителей информации и журнал следует хранить безопасным способом.

 

Когда инцидент обнаруживается впервые, не очевидно, что он может привести к возможным судебным разбирательствам. Поэтому, существует опасность, что необходимое показание будет случайно разрушено прежде, чем осознана серьезность инцидента. Целесообразно на самом раннем этапе привлекать юриста или милицию в любом случае предполагаемых судебных разбирательств и получать консультацию относительно требуемых свидетельств.

 

12.2 Пересмотр политики безопасности и техническое соответствие требованиям безопасности

 

Цель: обеспечение соответствия систем политике безопасности организации и стандартам.

 

Безопасность информационных систем необходимо регулярно анализировать и оценивать.

 

Такой анализ (пересмотр) необходимо осуществлять в отношении соответствующих политик безопасности, а программные средства и информационные системы должны подвергаться аудиту на предмет соответствия этим политикам.