0. Публікація прд

Як тільки ПРД організації вироблені і описані, повинен початися енергійний процес їх доведення, щоб бути впевненим в тому, що їх положення стали повсюди відомі і обговорюються. Не досить просто вивісити ПРД на дошці оголошень. Потрібно дозволити протягом деякого ; періоду давати свої коментарі до того, як ПРД почнуть діяти, щоб бути впевненим в тому, що всі зацікавлені користувачі мали можливість висловити свою думку і побажання. В ідеалі ПРД повинні забезпечити золоту середину між захищеністю і продуктивністю.

Потрібно провести кілька зборів, щоб довідатися про всі зауваження, а також упевнитися, що ПРД правильно зрозумілі. (Ті, хто відповідає за публікацію ПРД, можуть бути гарними фахівцями, але не вміти писати документи). На цих зборах повинні бути присутні як верхня ланка керівництва організацією, так і прості службовці. Захист - колективна справа.

Крім публікації ПРД перед їх впровадженням організації важливо підтримувати проінформованість службовців про ПРД. Поточним користувачам потрібно періодично нагадувати їх положення. Новим користувачам варто дізнаватися про ПРД при ознайомленні з організацією. Було б бажано, щоб перед тим, як використовувати служби організації, користувачі давали би підписку про те, що вони ознайомлені з ПРД і усвідомили їх. Якщо згодом до цих користувачів необхідно буде застосувати санкції з погляду закону, ця підписка може відіграти важливу роль.

0. Дії служби безпеки об'єкта при виявлені порушень правил розмежування доступу

Зрозуміло, що коли визначений будь-який тип офіційних ПРД, незалежно від того, пов'язані вони з комп'ютерною безпекою чи ні, рано чи пізно вони будуть порушені. Порушення може відбутися через недбалість людей, випадкову помилку, невірну інформацію про поточний ПРД, чи їх нерозуміння.Також цілком можливо, що людина (чи група людей) спеціально чинить дії, що є прямим порушенням ПРД. Інакше кажучи, може відбутися подія, пов'язана з безпекою інформації АС.

При виявленні порушення ПРД дії, що починаються відразу ж після порушення, повинні бути визначені заздалегідь, для того щоб бути впевненим в тому, що буде зроблене все необхідне. Потрібно провести розслідування, щоб виявити те, як і чому відбулося порушення. Потім варто виконати ряд корегуючих дій. Що і в якому обсязі потрібно буде зробити, залежить від типу порушення, що відбулося.

Порушення ПРД можуть відбуватися самими різними користувачами. Деякі з них можуть бути місцевими ("своїми") користувачами, а інші -людьми зі сторони ("чужими"). Організація може знайти корисним визначення того, кого вважати "своїм" і "чужим" на базі адміністративних чи політичних границь .Ці границі непрямо визначать, що потрібно зробити для виправлення ситуації, від догани до накладення штрафу. Тому необхідно не тільки визначити прийняті кроки на основі типу порушення, але також мати чітко визначені послідовності дій для кожного типу користувача. Це може здаватися занадто складним, але краще зробити це заздалегідь, ніж поспіхом після порушення.

Варто запам'ятати один момент стосовно ПРД - правильне навчання є найкращим захистом. Коли "чужі" легально використовують АС, необхідно перевіряти, що вони ознайомлені з ПРД, які для неї встановлені. Ця інформація може виявитися в майбутньому, коли знадобиться застосувати карні санкції.

Для користувачів, що використовують ЗОТ нелегально, проблема власне кажучи залишається тією ж: користувач, якого типу порушив ПРД, чому і як він це зробив? В залежності від результатів розслідувана можна просто закрити пролом у захисті і занести його в скарбничку Або, якщо в результаті порушення організація понесла великі збитки, можна зробити що-небудь більш жорстке.

У випадку, коли "свій" користувач порушив ПРД іншої організації, керівництво організації повинене мати чітко визначений набір адміністративних дій, які застосовуються до цього користувача. Організація також повинна бути готовою до захисту самої себе від можливих дій цієї іншої організації. Такі ситуації призводять до проблем, що повинні бути відображені при розробці ПРД.

ПРД повинні включати процедури для взаємодії з зовнішніми організаціями Вони містять у собі міліцію (управління внутрішніх справ і інші державні органи), інші організації, спеціальні організації по протидії промисловому шпигунству та агентства друку. Ці процедури повинні визначати^, хто має право зв'язуватися з ними, як це треба робити. Заздалегідь треба продумати відповіді на наступні питання:

• Коли треба зв'язуватися з органами внутрішніх справ і спеціальних організацій?

• Якщо ініціатором такого контакту є інша організація, чи уповноважений системний адміністратор брати участь у такого роду контактах?

• Хто може виступати перед пресою?

• Чи можна розголошувати які-небудь дані? Якого роду?

Детальна інформація про те, з ким зв'язуватися, повинна бути загальнодоступна разом з чітко визначеними процедурами, яких треба дотримуватися у випадку виникнення відповідної ситуації.

Крім тверджень щодо політики розроблюваний документ повинен включати процедури влагоджування події. Вони детально описуються в наступньому розділі. Повинні існувати процедури, які застосовуються до всіх видів порушення ПРД.

Всякий раз, коли в організації відбувається подія, що може скомпрометувати комп'ютерну безпеку, на стратегію відповідних дій можуть вплинути два протилежних фактори.

Якщо керівництво організації вважає, що вона сильно вразлива, то може застосовувати стратегію "Захисти і Працюй". Основною метою такого підходу є захист і збереження служб організації і як можна більш швидке їх відновлення після порушень для користувачів. Буде здійснюватися активна протидія зловмисникам, захист від подальших спроб їх доступу і негайне відновлення після руйнувань Цей процес може включати відключення служб, припинення доступу до мережі, або інші жорсткі заходи. Недоліком є те, що якщо зловмисника не вдаюся зупинити, він може проникнути в АС іншим шляхом чи атакувати іншу організацію.

Альтернативний підхід "Простеж і Покарай" сповідує іншу філософію і мету. Основною метою є дозволити зловмисникам продовжувати свою діяльність в організації доти, поки організація не зможе встановити, хто це такий. Цей підхід практикується поліцією. Недоліком його є те, що в цьому випадку немає можливості захистити організацію від можливих судових процесів з користувачами через руйнування їх даних.

Кримінальна відповідальність - не єдине можливе покарання після визначення зловмисників. Якщо винуватцем є службовець чи студент, організація може використовувати адміністративні покарання. У ПРД варто вказати можливі варіанти покарань і який з них вибрати після затримки злочинця.

Керівництво організації повинне виявити особливу обережність при виборі підходу, що буде використовуватися для вирішення даної проблеми, і вибрати його до того, як відбудеться порушення.

Використовувана стратегія може залежати від ситуації. Або може бути прийнята глобальна політика, що регламентує один підхід у всіх випадках життя. Варто ретельно зважити всі за і проти і довести прийняту політику до користувачів, щоб вони знали наскільки вони вразливі, незалежно від того, який підхід використовується.

Далі наводяться умови, щоб допомогти організації визначити, яку стратегію обрати: "Захищай і Працюй" чи "Простеж і Покарай".

"Захищай і Працюй"

1. Якщо цінності не дуже добре захищені

2. Якщо продовження роботи зловмисника може призвести до великого фінансового ризику

3. Якщо немає можливості покарати порушника в карному порядку

4. Якщо місцезнаходження користувачів важко визначити

5. Якщо користувачі недосвічені і їх робота вразлива

6. Якщо організація вразлива стосовно судових процесів з користувачами, наприклад, якщо її ресурси невеликі

"Простеж і Покарай"

1. Якщо цінності і системи добре захищені

2. Якщо існують добрі архівні копії.

3. Якщо ризик для цінностей перевершується можливими руйнуваннями в результаті майбутніх проникнь.

4. Якщо це велика атака, що виникає з великою частотою та інтенсивністю.

5. Якщо організація приваблива для зловмисників, і внаслідок цього регулярно атакується ними.

6. Якщо організація згодна піддавати цінності фінансовому ризику в результаті триваючого проникнення.

7. Якщо доступ зловмисника контролюється.

8. Якщо засоби спостереження так добре розроблені, що роблять спостереження безпечним,

9. Якщо програмісти організації настільки добре розбираються в операційній системі, утилітах і системах, що спостереження стає безпечним.

10. Якщо є згода частини керівництва організації на судове переслідування порушника.

11. Якщо системні адміністратори добре знають, що є доказами для СУДУ-

12. Якщо є контакт зі знаючими співробітниками внутрішніх справ.

13. Якщо є людина в організації, що розбирається в зв'язаних з цим питаннях законності.

14. Якщо організація готова до судових процесів з користувачами, якщо їх дані чи системи будуть скомпрометовані в процесі стеження за зловмисником.

Для умов найбільш придатним вибором у більшості випадків, ймовірно, буде стратегія "Захищай і Працюй".

Література

1. Голего А.Г., Хорошко В.А. Организационно-техническое обеспечение защиты информации. - К.: КМУГА, 1999, -- 120с.

2. Предпринимательство и безопасность / Под ред. Долгополова Ю.В.: в 3-х т. - М.: Универсум, 1991.

3. Практическая защита коммерческой тайны в США. Руководство по защите деловой информации. - М.: Универсум, — 1993. - 248 с.

4. Герасименко В.А. Защита информации в автоматизированннх системах обработки данных : в 2-хт. М.: Энергоатомиздат, 1994.

5. Зарубежная радиоэлектроника. Специальный випуск. №12, 1989.

6. Давмдов И.Ю. Тайна фирмьі. - К.: Конир - 2,1993. - 168 с.

7. Крысин А.В. Безопасность предпринимательской деятельности. - М: / Финансм и статистика, 1996. - 58 с.

8. Соловьев З.Я. Коммерческая тайна и ее защита. - М.: ИВФ Антал, 1996. - 58 с.

9. Сидоров Н.Н. Устройства охраны и сигнализации. - С-Пр.: Лениздат, 1994.- 112 с.

10. Коммерческие электронные схемы. - Минск: Битрикс, 1997, — 140 с.

11. Охранные системи. Информационное издание. Вьш. 4. - М.: НИЦ "Наука и техника", 1996. - 128 с.

12. 0хранные системы. 1999 - 2005 г.г.

13. Бизнес и безопасность. 1999 - 2005 г.г.

14. Организация и современные методи защиты информации /Под ред. Диева С.А. и Шаваева А.Г. - М.: Концерн "Банковский Деловой Центр", 1998. - 472 с.

15. Барсуков В.С. Безопасность: технологии, средства, услуги. - М.: "Кудиц-Образ", 2001 - 496 с.

16. Торокин А.А. Основи инженерно-технической защиты информации. -М.: Изд. "Ось-89", 1998. - 336 с.

17. П.Тарасов Ю.В. Контрольно-пропускной режим на предприятии. - М.: Арсин, 1998.-71 с.

18. Драга А.Н. Охрана грузов. - М.: Арсин, 1997. - 82 с.

19. Литвиненко В.К. Охрана, сопровождение грузов, денежных средств и ценных бумаг. - М.: Арсин, 2001. - 76 с.

20. Волфонский В.И. Устройства охранных сигнализации. Извещатели. -СПб.:Таир, 2000.-239 с.

21. Хант Ч., Зартарьян В. Разведка на службе вашего предприятия. - К.: Укрзакордонвизасервис, 1992. - 158с

22. Самохвалов Ю.Я., Темников В.О., Хорошко В.О. Організацйно-технічне забезпечення захисту інформації/ За ред. проф. В.О.Хорошка - К.: Видавництво НАУ, 2002. - 208с.

23. Хорошко В.А., Чекатков А.А. Метода и средства защиты информации. -К.: Издательство Юниор, 2003. - 504с.

156