Обязанности пользователей |
Правила, устанавливающие обязанности
пользователей, служат в организации для того, чтобы пользователи
знали, каким образом разрешено им работать в Internet. В некоторых
организациях из тех, с которыми сотрудничал автор, данный раздел
служил для определения характера и стиля правил, особенно касающихся
тех аспектов, которыми больше всего интересуются пользователи.
Обучение
Пользователи могут полагать,
что им не нужен инструктаж для получения доступа к Internet,
но здесь имеется в виду инструктаж не о том, как им получить
доступ в Internet, a об их ответственности за работу в Internet.
Организации должны быть осторожными при разрешении какого-то
типа трафика, потому что посредством его можно со стороны получить
представление об организации. Очень важно, как воспринимается
организация внешней средой, и это должно быть поставлено во
главу утла в вашей программе обучения.
Все организации могут проводить
тот или иной инструктаж. Самые мелкие организации могут использовать
простую программу обучения наподобие собеседования, когда кто-нибудь
непосредственно беседует с пользователем. Есть такие организации,
в которых инструктаж является элементом программы набора новых
служащих, а также есть организации, которые составляют в расширенной
форме правила безопасности для ознакомления с ними пользователей.
Как вы организуете инструктаж, от этого зависит восприятие его
пользователями. Но в первую очередь необходимо зафиксировать
это в правилах.
Пользователи, имеющие доступ к
Internet, должны предварительно пройти программу обучения, где
будет разъяснена политика компании в сфере безопасности и ответственность
пользователей за представление компании в мировой сети. Пользователи
не должны пользоваться Internet до тех пор, пока полностью не
пройдут установленную программу обучения.
Понимание возможностей, предоставляемых
Internet
Когда автор помогал организациям
разрабатывать правила безопасности, он старался удержать их
от попыток включить в правила формулировки, которые являются
частью программы инструктажа. Одним из таких понятий, которые
не должны попасть в правила, является разъяснение того, что
значит для организации соблюдение правил безопасности. В организации
хотели, чтобы это понятие было записано в правилах, потому что
этот документ утверждается высшим руководством. Такую логику,
конечно, трудно оспорить.
В процессе тщательного анализа
выявляются два пункта, которые должны присутствовать в данном
разделе. Во-первых, формулировка должна разъяснять, что, получив
доступ к ресурсам Internet, сотрудники для окружающего мира
являются уже представителями организации. Независимо от того,
приходит запрос с IP-адреса или в письменном виде, трафик пользователей,
их слова и действия отражаются на деятельности организации.
Другой вопрос заключается в том,
какая информация организации становится доступной при работе
пользователей в Internet. В предыдущих главах описывалось, каким
образом с помощью протоколов может разглашаться информация о
сети организации. Все, что сделано для защиты сети, может стать
бесполезным, если пользователь пересылает информацию, которая
не должна разглашаться. Кроме того, пользователи вообще должны
быть осторожны при распространении информации, причем речь идет
не только об информации организации, но и о личной информации.
Эти формулировки правил необязательно
конкретизировать, но они должны очень четко разъяснять, какой
информацией организация может быть представлена в сети. Ниже
представлена формулировка, которая была написана для одной организации.
Пользователи должны помнить, что,
поскольку они имеют доступ к ресурсам Internet, они будут представлять
организацию через TCP/IP протоколы. Поэтому, пользователям следует
получать доступ к ресурсам в соответствии с их должностными
инструкциями. Пользователи могут получать доступ к узлам в личных
целях, но этот доступ нужно свести к минимуму. Пользователи
не должны обращаться к узлам, которые содержат запрещенную,
сексуальную и прочую информацию, получение которой противоречит
данному и другим правилам, принятым в организации.
Работая в онлайновом режиме пользователи должны быть осторожны
в вопросах предоставления информации. Им следует помнить, что
посланная по электронной почте информация не является приватной,
и все, что они отсылают, может быть прочитано по пути прохождения
информации. Кроме того, пользователи не должны пересылать никакой
информации, которая может нанести ущерб репутации организации
или их личной. Конфиденциальная информация, как это сказано
и в других правилах, не должна пересылаться без соответствующих
мер предосторожности. Пользователям следует принимать такие
же меры предосторожности и при пересылке личной информации.
Стоит также отметить формулировку
из первого абзаца ограничений. Хотя ограничение доступа к определенным
узлам будет описано в этой главе позже, данные формулировки
служат в качестве еще одного подтверждения тому, что можно ожидать
от пользователей. Остальные формулировки относятся к другим
правилам.
Пересылка важной информации
В последнем разделе в правилах
говорилось о том, чтобы не пересылать конфиденциальную информацию
"без соответствующих мер предосторожности". Определение
соответствующих мер предосторожности зависит от того, как составлены
правила, и от требований организации. Требования организации
зависят от многих факторов, включая договорные обязательства.
Например, подрядчики федерального правительства вводят ограничения
на информацию, которую могут пересылать, даже внутри своих локальных
сетей.
Другой вопрос, на который необходимо
обратить внимание, это непреднамеренное раскрытие информации.
Пользователи, которые "бегают" по сети, заходят на
узлы, на которых для получения информации требуется заполнить
онлайновые формы. Эти формы могут запрашивать некоторую информацию.
Поэтому, если много людей посетит этот узел, совокупная информация,
которую они все вместе дают, может предоставить кому-то сведения
об организации.
В идеале, можно написать правило,
следуя которому при запросе пользователя группа безопасности
организации заполняет онлайновые формы или сама осуществляет
онлайновые запросы, полностью контролируя сообщения. Но на деле
все происходит иначе. Можно с уверенностью сказать, что если
кому-то потребуется отправить официальный документ компании,
сомнительный с точки зрения службы безопасности, вряд ли он
захочет представить свой запрос на утверждение. Что же касается
правил, то в них необходимо внести такую формулировку, которая
будет исполняться, и рассчитывать на то, что обучение персонала,
наблюдение и контроль за сетью обеспечат неразглашение важной
информации.
Некоторые люди видят два пути
решения данной проблемы. Наиболее распространенный способ заключается
в обновлении учебных программ, в которых предусмотрена более
тщательная проработка этих вопросов. Другое популярное правило
требует установить фильтры, которые будут просматривать содержание
всей корреспонденции, которая отправляется в Internet. В отношении
таких фильтров существуют технические проблемы, которые в этой
книге не рассматриваются. Но для некоторых организаций решение
настоящей задачи является важным делом. Учитывая это, формулировка
правил может выглядеть следующим образом.
Пользователи не должны передавать
никакой информации, которая раскрывает сведения об интеллектуальной
собственности или деловой активности организации. Пользователи
не должны преднамеренно пересылать документы или другие данные
клиентам или сторонним лицам без соответствующих мер предосторожности.
В меры предосторожности, помимо всего прочего, необходимо включитъ
шифрование, пересылку по выделенному каналy и санкционирование
лица, ответственного за эту информацию.
Надежность загружаемой информации
Из истории известно, что департамент
безопасности финансировал исследовательские работы ARPANET (Advanced
Research Project Agency network — сеть Агентства перспективных
исследовательских разработок) с целью создания способа распределения
информации. Открытость ARPANET новым идеям и способность распределять
информацию делают эту организацию популярной среди технологов,
которые пользуются ее услугами.
С развитием Internet положение
не изменилось. Множество узлов Internet хранят миллионы гигабайт
программного обеспечения различной степени полезности для каждого.
Проблема заключается в том, что существуют узлы, на которых
выставлены "более чем опасные" программы, замаскированные
под что-то полезное. Среди них попадаются и полезные программы,
но содержащие дефекты, которые могут причинить ущерб системе
и сети. И, наконец, существуют узлы, которые предлагают программное
обеспечение, предназначенное для преднамеренного повреждения
системы или сети.
С учетом всего этого существует
тенденция разрабатывать правила, запрещающие использование всего
загружаемого из Internet программного обеспечения. Однако, если
это сделать, то пользователи не смогут загружать последние обновления
Web-броузеров. Поиск способа избежать проблем с загружаемым
программным обеспечением путем создания действенных правил является,
в некотором смысле, вызовом. Можно не хотеть допускать вседозволенность,
но и можно было бы написать такую формулировку, которая бы предотвратила
проблемы.
Пользователи могут загружать программное
обеспечение из Internet, которое поможет им выполнять свои функции
в организации. Пользователи, которые загружают программное обеспечение,
должны делать это в системе, которая защищена постоянно обновляющимися
антивирусными программами. Пользователи не должны отключатъ
антивирусное программное обеспечение при запуске загружаемого
из Internet в систему пользователя программного обеспечения.
Если для инсталляции программного обеспечения необходимо отключить
антивирусные программы, то пользователь должен провести полное
антивирусное сканирование системы после завершения инсталляции.
|