Инструкции о речевых оборотах
Помогая одной организации писать правила информационной безопасности, некоторые члены комиссии говорили о необходимости добавления в AUP инструкций по использованию речевых оборотов как о стремлении узаконить в организации "политическое словоблудие". Культура этой организации была достаточно неформальной. Руководство относилось к самым рядовым служащим как к равным. Они не хотели выглядеть корпоративным "строгим папашей" и разрушать чувство единой команды, царящее в организации.
Через несколько дней после этих дискуссий газеты напечатали на первых полосах историю о судебном иске против крупной нефтяной компании касательно грубого отношения к сотрудникам и дискриминации. Утверждалось, что должностное лицо было обвинено в дискриминации подчиненных. В качестве улики служащие использовали заархивированное послание этого руководителя по электронной почте. В конечном счете компания публично извинилась и сообщила, что этот руководитель понес наказание.
Данная история возымела эффект. На следующей встрече вице-президент, который спонсировал разработку правил информационной безопасности, передал автору книги листок бумаги. В нем говорилось следующее:
Поскольку мы (!) считаем себя одной семьей, будучи членом этой семьи, вы должны помнить, что каждый из нас - личность, и у каждого из нас имеется свое мнение. Это означает, что вы должны учитывать, что думают люди, когда вы говорите о политике, религии или используете непристойные выражения. Поэтому нельзя говорить или писать обо всем, что может быть расценено как оскорбление, будь то комментарии о расе, возрасте, поле, физическом развитии или сексуальной ориентации. Если вы с этим не согласны, то вам стоит покинуть нашу семью и уволиться.
После небольшой корректировки эта формулировка была включена в документ AUP.
Контроль и исследование сетевых данных
Организации испытывают большие затруднения, когда они не информируют о том, что они контролируют сеть и файлы, хранящиеся в системах организации. Обычно это происходит после того, как администратор находит нежелательную информацию на сервере или пересылаемую через сеть, что приводит к дисциплинарным взысканиям. Если пользователь решил подать судебный иск, а на суде выясняется, что руководство организации не информировало пользователей о правилах системного мониторинга, то суд встанет на сторону пользователя.
Всякий раз, когда встает вопрос об информировании или не информировании пользователей, юристы предлагают учесть ошибки в отношении принятия мер предосторожности и внести это в документ AUP. К сожалению, не существует надежных способов добиться того, чтобы организация получила право играть роль "строгого папаши" по отношению к пользователям ее сети. Иногда приходится вводить жесткую формулировку, чтобы не было двоякого толкования правил. Ниже представлен пример жесткой формулировки правил.
Руководство оставляет за собой право исследовать данные, хранящиеся на всех компьютерах и в сетевых системах, с помощью средств физического исследования и электронного мониторинга. Если в собранной информации обнаружены факты нарушения правил информационной безопасности или закона, то организация может использоватъ эти данные для дисциплинарных взысканий или правовых санкций.
Обязанности пользователей Internet
В главе 6 "Правила безопасности Internet" есть раздел, в котором приведены обязанности пользователей. Эти правила являются кодексом поведения для пользователей, подключающихся к Internet. Мы включили отдельный раздел для пользователей Internet по причине растущего значения Internet как производственного ресурса и особого вида коммуникаций.
При разработке документа AUP необходимо учесть, что вводимые в документ правила относятся только к использованию Internet и не являются общими для всех систем и сети. Зная это, вы не будете пытаться повторить эти формулировки в других правилах.
Поэтому, в первую очередь мы должны выделить наиболее важные положения правил Internet и включить их в качестве резюмирующих формулировок в AUP. В процессе обсуждений в главе 6 были определены четыре основных раздела, которые можно включить в документ AUP. Примеры формулировок, охватывающих эти вопросы, следующие.
Каждое сообщение или запрос, отправленные в Internet, включают в себя информацию, идентифицирующую принадлежность пользователя к организации. Поэтому пользователи должны вести себя профессионально и не должны подключаться к узлам, содержащим противозаконную, сексуальную или другую информацию, несовместимую с предписаниями правил безопасности.
Пользователи должны быть проинформированы, что коммуникации Internet не являются конфиденциальными. Работая в сети, пользователи должны быть осторожными в вопросах того, какую информацию они могут раскрывать. Пользователи не должны передавать по сети любую информацию, разглашение которой может навредить организации или им самим.
Пользователи не должны передавать никакой информации, которая раскрывает сведения об интеллектуальной собственности организации. Это относится и к отправлению документов или других данных посторонним лицам без соблюдения необходимых мер предосторожности.
Пользователи, которые загружают программное обеспечение из Internet, должны делать это на защищенных постоянно обновляемым антивирусным программным обеспечением системах. Антивирусное программное обеспечение должно быть в рабочем состоянии, когда загруженное извне программное обеспечение запускается на пользовательской системе. Если для инсталляции программного обеспечения требуется отключитъ антивирусное программное обеспечение, то пользователь должен после завершения инсталляции выполнить полное антивирусное сканирование системы.
И, наконец, если в правила Internet входит программа инструктажа, то в документ AUP нужно добавить простую формулировку, подобную следующей.
Пользователи, желающие иметь доступ к Internet, должны вначале пройти курс обучения.
Обязанности пользователей при регистрации в системе
Начав разработку AUP с приверженности их законам и перечисления компонентов, составляющих эти правила, имеет смысл теперь обсудить что-нибудь попроще, вроде обязанностей пользователей при регистрации в системе. Этот раздел представляет собой краткое изложение правил аутентификации (см. главу 5 "Аутентификация и безопасность сети"). Здесь представлены правила, которые должны знать пользователи, даже если они и не читали все документы, составляющие правила безопасности.
Простейший способ выбрать все важное заключается в составлении списка коротких формулировок для включения их в документ AUP.
Для регистрации в сети вы должны ввести по запросу свое пользовательское имя и пароль.
Если вы ввели пароль некорректно три раза подряд, ваша учетная запись будет заблокирована, и вы не сможете войти в систему до тех пор, пока системный администратор не снимет
блокировку.
Пароли должны меняться каждые 60 дней. Вам должны напомнить про замену пароля за три дня до этого. Если вы не измените свой пароль по истечении 60 дней, то ваша учетная запись будет заблокирована, и вы не сможете зарегистрироваться в системе до тех пор, пока администратор не снимет блокировку.
Вы никогда не должны записывать свой пароль.
Вы несете ответственность за защиту ваших пользоватыьских идентификационных реквизитов и пароля. Если вы подозреваете, что ваш пароль знает кто-то еще, то должны изменить его немедленно и доложить об этом администратору.
Вы не должны сообщать свои пользовательские идентификационные реквизиты и пароль кому бы то ни было. Если существует требование предоставить право доступа постороннему пользователю, то этот пользователь должен выполнить соответствующие процедуры запроса на получение доступа.
Если вы забыли свой пароль или вам необходимо восстановить его с помощью администратора, то эти вопросы вы должны решать лично.
Ответственность организации и предоставление информации
Пользователи являются не единственными лицами, которые имеют обязанности перед организацией, описанные в правилах информационной безопасности. Организация тоже обязана информировать пользователей о том, какие требования предъявляются к ним правилами и какие они должны выполнять функции, а также какие санкции возможны со стороны руководства организации. Помимо этих обязательств организации, она еще имеет правовые обязательства информировать о том, какие шаги она предпринимает, включая наблюдение и сбор данных, проходящих через сеть. При отсутствии таких требований судебные органы не будут принимать во внимание собранные данные о нарушениях пользователями правил безопасности.
Иногда эти правила довольно сложно внести в документ AUP. Были сообщения о том, что пользователи отрицательно относятся к предписаниям правил. Это приводит к конфликту между руководством и теми, кто непосредственно руководствуется в работе этими правилами, что ухудшает моральный климат в организации. Поэтому, необходимо составить формулировки правил, в которых полностью оговаривается, какие санкции может предпринимать организация, исходя из требований правил, и гарантировать, что ее действия не будут нарушать этику.
Правила надежной работы
Тем читателям, КТО СЛЕДУЕТ УКАЗАНИЯМ настоящей книги, необходимо еще провести большую работу, чтобы завершить разработку правил информационной безопасности. Закончив эту массу работы, следует обратить свое внимание на итоговую версию документа, называемую Правилами надежной работы (Acceptable Use Policy — AUP).
AUP является документом, в котором собраны все необходимые пользователям правила. В AUP собраны фрагменты правил организации, отражающие обязанности пользователей в области обеспечения безопасности. В основном, в этих фрагментах резюмируются отдельные мысли правил, и написаны они простым языком. Хороший документ AUP должен быть кратким и точным. В идеале, AUP должен занимать всего лишь несколько страниц.
Обычно, AUP представляет собой подписанный документ, который является обязательством подчиняться правилам безопасности, на базе которых он составлен. Его можно выдавать вновь принятым на работу сотрудникам, подрядчикам или поставщикам, которым предоставляется доступ к сети, чтобы обеспечить гарантии того, что они будут знать свои обязанности. Цель создания документа - привлечь внимание к документам, составляющим политику организации, не требуя от пользователей читать их все. В документе AUP должно говориться, что пользователь обязан подчиняться правилам, но AUP можно рассматривать как "документ ускоренного начала работы", чтобы разрешить пользователям прочитать полный комплект документов позже.
Образец AUP
Хоть в эту главу включены некоторые образцы формулировок, в Приложении В "Примеры правил" представлен также полный пример AUP.
Работа с системами и в сети
Теперь, когда пользователь может зарегистрироваться в системе или сети, он должен знать, что можно, а что нельзя делать в сети. В этом разделе мы повторяем многие правила безопасности, касающиеся ежедневной работы. Это обычные правила поведения, нашедшие отражение в правилах безопасности. Сюда можно включить следующие правила.
Системы и сети можно использовать только в деловых целях. Использование в других целях разрешается тольков том случае, если это не занимает много времени и не мешает вашей работе.
Подключение организации к Internet должно использоваться для производственных целей. Правила пользования Internet такие же, как и вышеописанные.
Пользователи не должны использовать системы, сети или подключения к Internet для игр.
Организация поддерживает стандартную конфигурацию всех своих систем. Пользователи не должны устанавливать нестандартное программное обеспечение без предварительного разрешения.
Пользователи должны быть проинформированы, что информация организации является ее собственностью и не должна передаваться посторонним лицам. В случае необходимости, для выполнения своих производственных задач пользователь может копировать эту информацию. Передавать эту информацию можно только соответствующему персоналу.
Если есть необходимость в передаче патентованной информации посторонним пользователям, нужно, руководствуясь правилами, выяснить, как это можно сделать, не нарушая правил безопасности.
Разработка AUP
Несмотря на то, что AUP представляет собой весьма важный документ, он должен быть кратким и исчерпывающим. Одна из проблем, с которой можно столкнуться при разработке AUP, заключается в том, что в нем необходимо учесть различные аспекты деятельности различных организаций. Отдел кадров организации захочет получить гарантии, что в документе описаны правила найма на работу и положения трудового законодательства, которыми он тоже должен руководствоваться. Кроме того, тем, кому приходится сотрудничать с подрядчиками и поставщиками, необходимо будет включить документы AUP и правил в контракты с этими сторонними организациями.
Хоть AUP читается легко, многие находят, что разрабатывать этот документ очень сложно. В одной организации стол переговоров превратился чуть ли не в поле битвы, когда руководство, отдел кадров, управление работы с подрядчиками и юристы попытались утвердить AUP. Чтобы достигнуть консенсуса, им пришлось провести три заседания и обменяться массой сообщений по электронной почте.
Язык документа AUP
На протяжении этой книги автор использовал очень формализованный язык для примеров формулировок правил (см. "Язык документов политики безопасности" в главе 4 "Физическая безопасность"). При разработке AUP можно использовать тот же язык, который использовался при разработке документов правил безопасности организации. Поскольку AUP обычно является первым документом, с которым знакомятся, попав в организацию, автор постарался использовать в AUP понятный и достаточно информативный языковой стиль.
При выборе языкового стиля необходимо проявлять осторожность. В противном случае смысл документа может быть искажен. Если язык слишком неофициальный или не лаконичный, то AUP могут не воспринимать всерьез. Если же язык будет слишком официальным, то пользователи могут не воспринимать всерьез сами правила. Поэтому, необходимо найти золотую середину.
Документ AUP должен быть простым и четко оформленным. Когда автор помогал организациям разрабатывать документы AUP, то старался строить документ следующим образом.
Введение и назначение. Документ начинается с абзаца, где разъясняется, что такое AUP, его назначение и правила, на которых он базируется. В некоторых организациях, по совету своих юристов, добавляют формулировку, в которой в общих чертах говорится о том, какие области охватывают правила.
Одобрение "высших инстанций". AUP разрабатывается на базе уже разработанных правил. Добавляется формулировка, в которой говорится об этом, а также указывается, где пользователь может прочитать копии документов данных правил. Кроме того, пользователь должен знать, что правила могут меняться. Можно включить такую формулировку.
Эти правила надежной работы разработаны на базе правил информационной безопасности организации. Копии документов правил информационной безопасности можно получить у заместителя начальника каждого отдела или в электронном виде во внутренней сети организации.
Эти правила могут меняться. Организация может принять решение об изменении правил без предварительного уведомления. После внесения изменений пользователи будут информированы об этом посредством электронной почты.
Срок. Автор был удивлен, узнав, что в юридические документы такого типа, как и наши правила безопасности, требуется вводить формулировку, определяющую срок их действия. Хорошая общая формулировка может выглядеть следующим образом.
Пользователь согласен подчиняться предписаниям правил надежной работы и правил информационной безопасномти, начиная с даты подписания им этих правил и до тех пор, пока он будет работать в организации.
Обязанности пользователей. Поскольку AUP представляет собой краткое изложение правил, в них следует включить те положения правил, на которых необходимо сделать ударение. Далее в главе будут обсуждаться те постановления, которые стоило бы включить в документ AUP.
в котором описаны все правила,
Правила надежной работы (AUP) представляют собой документ, в котором описаны все правила, касающиеся пользователей. В AUP собраны фрагменты правил организации, отражающие обязанности пользователей в области обеспечения безопасности. В основном, в этих фрагментах резюмируются отдельные мысли правил, и написаны они простым языком. Документ AUP должен быть кратким, чтобы его можно было использовать в качестве обязательства подчиняться правилам информационной безопасности. Его можно выдавать вновь принятым на работу сотрудникам, подрядчикам или поставщикам, которым предоставляется доступ к сети, чтобы обеспечить гарантии того, что они будут знать свои обязанности.
1. Разработка AUP.
AUP является важным документом. Он должен быть кратким и исчерпывающим. Одна из проблем, с которой можно столкнуться при разработке AUP, заключается в том, что для создания документа необходимо скоординировать работу различных отделов.
Обычно документ AUP должен быть простым и четко оформленным.
2. Обязанности пользователей при регистрации в системе.
Этот раздел представляет собой краткое изложение правил аутентификации (см. главу 5). Пользователи должны быть информированы о положениях, которые им надлежит знать, даже если они и не читали все документы, составляющие правила безопасности.
3. Работа с системами и в сети.
В этом разделе повторяются многие правила безопасности, касающиеся ежедневной работы.
Это обычные правила поведения, нашедшие отражение в правилах безопасности.
4. Обязанности пользователей Internet.
В правилах Internet описываются обязанности пользователей. Эти правила являются кодексом поведения для пользователей, подключающихся к Internet. Мы включили отдельный раздел для пользователей Internet по причине растущего значения Internet как производственного ресурса и особого вида коммуникаций.
В AUP необходимо включить исключительно правила, относящиеся к использованию Internet.
Выделите наиболее важные положения правил Internet и включите их в качестве резюмирующих формулировок в AUP.
5. Ответственность организации и предоставление информации.
Организация обязана информировать пользователей о том, каких действий требуют от них предписания правил, и какие санкции возможны со стороны pуководства организации. Организация еще имеет правовые обязательства информировать о том, какие шаги она предпринимает, включая наблюдение и сбор данных, проходящих через сеть.
Если правилами разрешен мониторинг пересылок по сети или пользовательских файлов, в документе AUP следует написать об этом.
Организация должна информировать о том, что она занимается сбором информации о пользователях из любых источников. В правила необходимо включить формулировки о методах сбора и хранения данных. Информирование - это то, что должно предотвратить осложнения, если собранная информация будет служить основанием для дисциплинарных взысканий.
6. Инструкции о речевых оборотах.
Можно добавить формулировку о введении инструкций, касающихся речевых оборотов, что поможет предотвратить определенные проблемы в будущем. Эти инструкции обсуждались в предыдущих главах.
В некоторых организациях считается более удобным неформальный стиль взаимоотношений. Главное - построить взаимоотношения так, чтобы пользователи прислушивались к руководству.
Сбор конфиденциальных данных
Если организация контролирует данные, то желательно, чтобы некоторые из этих данных были собраны. Даже если организация не проводит активного наблюдения за сетью, существуют другие посторонние источники информации, с помощью которых организация также может собирать записи. Независимо от того, занимается ли организация в настоящее время сбором информации, она должны уведомить, какие данные она собирает, описать методы сбора и способы хранения.
Для некоторых организаций это представляет собой довольно сложный вопрос, поскольку его нужно внести в AUP в качестве дополнения к правилам управления персоналом. Возникает впечатление, что в документе AUP не уделяется внимание кадровым вопросам, что может вызвать негативную реакцию. Лучше всего посоветоваться с отделом кадров для определения того, что нужно внести в документ AUP, а что оставить на усмотрение отдела кадров. В любом случае есть несколько вопросов, которые необходимо рассмотреть в формулировках правил. Ниже следует далеко не полный перечень этих вопросов.
Предоставление информации о том, какую информацию можно собирать о пользователях.
Организация может заявить, что она не будет собирать информацию о высказываниях пользователей о первой поправке к конституции (США).
Прежде всего должна быть обоснована необходимость сбора конфиденциальной информации.
Организация понимает, что распространение собранных конфиденциальных данных запрещено.
Должно быть определено, разрешен ли мониторинг в организации и, если разрешен, то какой тип мониторинга.
Правила должны гарантировать сохранение в тайне собранных данных, если их разрешено было собирать, за исключением тех случаев, когда разглашение требуется на основании судебного ордера.
Замечание от юристов: можно включить право отказа от ответственности, где говорится, что организация может использовать свои полномочия без уведомления об этом, и снять с себя ответственность за потерю или искажение данных по причине сбоев программного обеспечения.