четверг, 9 декабря 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 5

В этой части рассмотрены следующие вопросы:
  • Обязательства и последствия их нарушения
  • Персональные данные
  • Атака хакеров


Законодательные и правоохранительные органы, суды развивают и совершенствуют свои подходы к компьютерным преступлениям, также как и многие компании. Компании должны развивать не только свои превентивные, детективные и корректирующие подходы, но и подходы к своим обязательствам и ответственности. Поскольку компьютерные преступления совершаются все чаще и становятся все изощреннее, растет ущерб от них и продолжительность их воздействия. Во многих случаях злоумышленников не могут поймать, что вызывает все больше недовольства.

Это же справедливо и для других видов угроз, с которыми сталкиваются современные компании. Если здание компании построено из материалов, которые могут полностью сгореть, поджигатель будет только одной маленькой деталью этой трагедии. Компания обязана установить систему выявления пожара, систему пожаротушения, сигнализацию, она должна использовать огнеупорные строительные материалы, должна предусмотреть пожарные выходы, закупить огнетушители, сделать резервные копии всей важной информации, которая может быть повреждена в результате пожара. Если здание компании полностью сгорело, и огонь уничтожил все данные (сведения о клиентах, данные бухгалтерского учета и другую информацию, необходимую для восстановления бизнеса), это означает, что компания не проявила должной осмотрительности для защиты от таких случаев (наример, с помощью организации резервного копирования данных и хранения копий на удаленной площадке). В таком случае сотрудники, акционеры, клиенты и другие пострадавшие могут подать в суд на компанию. Однако, если компания сделала все, что должна была сделать по перечисленным выше пунктам, к ней не смогут предъявить претензий за проявление халатности.

В контексте обеспечения безопасности, должная забота (due care) означает, что компания предпринимает все разумные меры для предотвращения нарушений безопасности, реализовала надлежащий контроль и внедрила необходимые защитные меры для снижения уровня возможного ущерба. Должная забота – это применение на практике здравого смысла и разумного управления, ответственное выполнение своих обязанностей. Должная осмотрительность (due diligence) означает, что компания надлежащим образом анализирует все свои вероятные недостатки и уязвимости.

Чтобы понять, как обеспечить надлежащую защиту компании, необходимо сначала выяснить, от чего вы будете ее защищать. Именно об этом говорит должная осмотрительность – анализ и оценка текущего уровня уязвимостей для понимания истинного уровня рисков, перед лицом которых стоит компания. Только после этого можно разрабатывать и внедрять защитные меры и средства.

Аналогичного уровня ответственности начинают ожидать от компаний и в отношении компьютерных преступлений и защиты информационных ресурсов. Безопасность реализуется для защиты ценных ресурсов компании, это необходимо для обеспечения гарантий защиты миссии компании посредством защиты ее материальных и нематериальных ресурсов, репутации, персонала, клиентов, акционеров, а также юридического статуса. Безопасность является средством достижения целей компании, а не вещью в себе. Безопасность обеспечивается не для того, чтобы она просто была. Для реализации необходимого компании уровня безопасности требуется полное понимание целей, надлежащее планирование, постановка реально выполнимых задач.

Высшее руководство обязано защитить компанию от множества действий, которые могут негативно повлиять на нее, в том числе оно обязано обеспечить защиту от вредоносного кода, стихийных бедствий, защитить персональные данные сотрудников и клиентов, соблюдать требования законодательства и многое другое.

Затраты и выгоды обеспечения безопасности должны быть оценены как в финансовых, так и нефинансовых единицах, что позволит избежать излишних расходов на безопасность, которые будут превышать получаемые в результате преимущества. Уровень безопасности должен быть пропорционален оцененным рискам, основанным на степени тяжести последствий и вероятности реализации рисков. Механизмы безопасности должны быть реализованы для снижения частоты инцидентов, связанных с нарушением безопасности, а также величины потерь от них.

Высшее руководство должно решить, какой уровень риска оно готово принять в отношении компьютерной и информационной безопасности, а также ответственно подойти к выбору и внедрению экономички целесообразных мер безопасности (эти вопросы подробно обсуждались в Домене 01). Эти риски могут выходить за границы компании. Многие компании работают с третьими сторонами, с которыми они должны своместно использовать критичные данные. Основная компания по-прежнему несет ответственность за защиту этих данных, даже если они обрабатываются в сети другой компании. Именно поэтому появляется все больше правил, обязывающих компании оценивать предпринимаемые третьей стороной меры по обеспечению безопасности.

При совместной работе компаний, особое внимание следует уделить тому, чтобы каждая сторона взяла на себя обязательства по обеспечению необходимого уровня защиты. Эти обязательства, а также ответственность за их нарушение, должны быть четко указаны в договоре, подписанном каждым из участников. Целесообразно провести аудит и тестирование, чтобы убедиться, что каждая сторона действительно выполняет взятые на себя обязательства.

Если одна из таких компаний не обеспечивает необходимый уровень защиты, что оказывает негативное влияние на ее партнера, с которым она работает, пострадавшая компания может подать на нее в суд. Предположим, например, что компании А и Б организовали экстрасеть для связи друг с другом. Компания А не внедрила у себя систему антивирусной защиты и однажды в ее сеть проникает компьютерный вирус, который через созданную экстасеть распространяется и на сеть компании Б. Вирус уничтожает данные, имеющие критическое значение для работы компании Б, что приводит к нарушению ее работы. В этом случае компания Б может подать в суд на компанию А за ее небрежность. Обе компании должны убедиться, что они на практике реализуют все разумные меры по выполнению взятых на себя обязательств, и не окажут негативного воздействия на компанию-партнера.
ПРИМЕЧАНИЕ. Обязательства обычно описываются в виде перечня обязанностей, ожидаемых действий и поведения определенной стороны. Для описания обязательств может использоваться и более общий и открытый подход, позволяющий стороне самостоятельно решить, как она будет выполнять свои обязательства. Ведение журналирования действий и событий позволяет четко определить, какая из сторон несет ответственность за определенные действия или бездействие.
К каждой компании предъявляются различные требования в отношении списка обязательств, о выполнении которых она должна позаботиться. Если компания не выполнит эти обязательства, ей может быть предъявлено обвинение в халатности (если это приведет к возникновению ущерба). Чтобы в суде доказать обвинения в халатности, истец должен доказать, что ответчик не выполнил свою юридическую обязанность (legally recognized obligation), чтобы защитить истца от необоснованных рисков, и что именно это стало основной причиной убытков истца. Наказание за халатность может определяться в рамках гражданского или уголовного права в зависимости от последствий. Наказанием могут быть штрафы, возмещение убытков пострадавшим, либо лишение свободы ответственных лиц компании, виновных в нарушении закона.

Ниже рассмотрены несколько примеров ситуаций, в которых компании могут быть привлечены к ответственности за халатное отношение к своим обязанностям.


Рассмотрим следующую ситуацию. Компания Medical Information Inc. обрабатывает и хранит медицинскую информацию, но у нее нет четких правил по распространению и совместному использованию этой информации.

Человек обращается к Medical Information Inc., представляется врачом и просит предоставить ему информацию о здоровье пациента Дона Хэмми. Секретарь, не задавая никаких вопросов, сообщает ему, что у Дона Хэмми опухоль головного мозга. Через неделю Дону Хэмми отказывают в трудоустройстве на работу в компанию, в которой он проходил собеседование. Дон Хэмми догадывается, что работодатель обратился в Medical Information Inc. и получил сведения о его заболевании.

Какие обязательства нарушила компания Medical Information Inc. и потенциальный работодатель Дона? Если он обратится в суд, суд будет рассматривать следующие вопросы:
  • Юридические обязанности 
    • Medical Information Inc. не имеет политик и процедур по вопросам защиты информации пациентов
    • Работодатель не имеет права задавать подобные вопросы и использовать медицинскую информацию о потенциальных работниках
  • Несоблюдение требуемых норм 
    • Критичная информация была передана неустановленному лицу сотрудником Medical Information Inc.
    • Работодатель запросил информацию, которую он не вправе запрашивать
  • Непосредственные причины нанесения вреда 
    • Информация о Доне Хэмми, переданная Medical Information Inc., привела к большим проблемам для него, не позволив получить определенную работу
    • Работодатель принял решение на основе информации, которую он не имел права получать. Незаконные действия работодателя, выразившиеся в анализе им личной медицинской информации Дона Хэмми, привели к его отказу от трудойстройства Дона Хэмми.
Судебное дело разбиралось очень долго, но в итоге Дон Хэмми выиграл суд против обеих компаний, на полученные в качестве компенсации деньги вылечился от опухоли головного мозга, купил себе остров, и ему никогда не приходилось работать снова.


Рассмотрим другую ситуацию. Финансовая компания Cheapo Inc. внедряет программное обеспечение для удаленного банковского обслуживания, чтобы предложить своим клиентам возможность удаленного управления своими банковскими счетами. Но она не обеспечивает мер безопасности, необходимых для проведения электронных платежей через Интернет.

В первые же две недели работы системы счета 22 клиентов были взломаны и с них было похищено в общей сложности $439 344,09 долларов США.

Какие обязательства нарушила компания  Cheapo Inc.? Если дело будет передано в суд, судом будут рассмотрены следующие вопросы:
  • Юридические обязанности 
    • Cheapo Inc. не внедрила межсетевой экран и систему выявления вторжений для защиты базы данных, содержащей информацию о счетах клиентов, и не обеспечила шифрование передаваемой клиентами платежной информации
    • Cheapo Inc. не выполняла эффективной защиты денежных средств своих клиентов
  • Несоблюдение требуемых норм 
    • Отсутствие у Cheapo Inc. политики и программы безопасности, а также необходимых защитных мер, нарушает 12 требований законодательства, относящегося к работе финансовых компаний
  • Непосредственные причины нанесения вреда 
    • Отсутствие должной заботы и невыполнение Cheapo Inc. требований по обеспечению безопасности системы дистанционного банковского обслуживания стало причиной того, что 22 клиента потеряли $439 344,09 долларов США.
Против Cheapo Inc. был подан коллективный судебный иск, и большинство клиентов получило назад свои деньги. Чтобы рассчитаться с долгами, компания Cheapo Inc. была вынуждена продать здание своего центрального офиса.

Приведенные выше сценарии в упрощенной форме показывают, что невыполнение обязательств по обеспечению компьютерной и информационной безопасности может привести компанию и ее должностных лиц к судебному преследованию. При этом Совет Директоров компании также может нарушить свои обязательства по отношению к акционерам, клиентам и сотрудникам, не обеспечив должной заботы.

Ссылки по теме:

Комментариев нет: