|
|
Знаете ли Вы, что ... | |
...инструкция по установке аватара описана в Правилах форума. | |
<< Предыдущий совет - Случайный совет - Следующий совет >> |
Информационная безопасность Вопросы по защите информации и данных в сетях телекоммуникаций |
Ответить |
|
Опции темы | Опции просмотра |
19.03.2007 22:43 | #1 | |||
|
статья-победитель зимнего конкурса статей на SecurityLab.ru:
Цитата:
|
|||
|
Ответить |
19.03.2007 22:54 | #2 | |||
|
второе место:
Цитата:
|
|||
|
Ответить |
20.03.2007 09:51 | #3 |
Интересные статьи. Вопрос доказательной базы всегда стоял очень остро, тем более к доказательствам, которые нельзя "потрогать". Сам по себе процесс доказывания очень сложен и малейшие ошибки и разночтения могут привести к оправданию человека, совершившего преступление. Тут встаёт вопрос о появлении экспертов криминалистов, специализирующихся на процессуальном документировании процесса изъятия логов и другой информации содержащейся на ПК. Подобного рода инструкцию я видел у одной американской правоохранительной структуры (ссылочку найду, скину). Процесс описыватеся от входа в помещение, до выхода из него - т.е. точное, конкретизируемое, пошаговое описание процесса изъятие информации.
|
|
|
Ответить |
20.03.2007 11:49 | #5 | |
|
Цитата:
это еще раз вопрос к тому, чтобы при работе с регистраторами доменов (у нас) тут же давать им в персональный кабинет лог системы по их действиям, чтобы системы подтверждала изменения, причем немедленно, чтобы не было возможных обвинений в нашу сторону, как держателям сервиса, имеющим неограниченные в ней права |
|
|
Ответить |
22.03.2007 17:15 | #6 |
WorldBrandBank, Российское подразделение
Руководитель в областиИБ
Сообщений: 78
+ 4
76/28
– 0
0/0
|
Этот вопрос более-менее подробно проработан на Западе...
Из доступного - в Интернете была версия книги Information security handbook, автор Hal Tipton. Обратите внимание, что даже добытые с соблюдением всех условий улики в электронном виде относятся к категории hearsay - дословно "слухи", а более подробно "информация, добытая через третьи руки". Еще одно интересное условие, которое порой упускается из виду, это то, что логи должны быть получены в результате ежедневных рутинных операций. То есть, если логи подготовлены специально для обвинительного случая, они не будут рассмотрены, как доказательство. На практике, я думаю, решение о доказательности логов должен принимать эксперт. При одном условии - экспертное заключение должно состоять не из одной фразы "верить / не верить", а с подробным описанием - на основании чего и при соблюдени каких условий эксперт сделал вывод. С тем, чтобы, используя это заключение, любой другой независимый эксперт мог повторить логическую цепочку и однозначно придти к тем же выводам. В условиях непрописанности этих тонкостей в законах, я рекомендовал бы любые действия по подготовке электронных доказательств проводить строго в составе комиссии не менее чем из 3 человек, причем минимум 1 из них должен быть независим от того, у кого основная роль по сбору доказательств. Второе условие - каждое действие этой комиссии должно быть запротоколировано в бумажном виде, очень подробно и подписано всеми членами комиссии. В таких условиях даже распечатка скриншота (снабженная тремя подписями) превращается из бумажки в документ. |
|
Ответить |
28.03.2007 16:23 | #8 |
WorldBrandBank, Российское подразделение
Руководитель в областиИБ
Сообщений: 78
+ 4
76/28
– 0
0/0
|
Для тех, кто не работает в специальных органах, столкнуться с описываемой в статье ситуацией вряд ли придется.
Гораздо насущнее следующий вариант: Сотрудник нарушил правила ИБ, что повлекло за собой некоторый ущерб предприятию. Ну или, как минимум, создало угрозу… Короче говоря, результатом стало решение руководства наказать сотрудника – лишить премии или даже уволить. Вот необходимость избежать последующего обращения этого сотрудника в суд за возмещением ущерба – это гораздо более часто встречающийся вопрос для рядовой службы ИБ учреждения. Скорее всего, репрессии будут применены с некоей стандартной формулировкой типа “нарушение внутреннего распорядка” или более подробно “нарушение требований ИБ”. В случае обращения сотрудника в суд, потребуется доказать что нарушение было, что он не уволен по прихоти руководства. Вот над этим и надо поработать. 1. Как минимум должны существовать Правила, которые он нарушил. Рассуждения типа “Все и так знают, что удалять корпоративные базы нельзя” в суде не пройдут. Правила должны быть утверждены в порядке, обеспечивающем их исполнение всеми сотрудниками и доведены под роспись, либо с сотрудника взято письменное обязательство об их соблюдении. Если предприятие предусматривает доведение информации до сотрудников в электронном виде, значит необходимо предусмотреть регистрацию события и обеспечение его юридической значимости (ЭЦП и т.д.). Обычно, на практике проще обойтись все-таки бумажкой. 2. Законодательства некоторых стран запрещают получать доступ, изучать и анализировать электронные сообщения гражданина без санкции прокурора или без разрешения самого гражданина. Если планируется в качестве доказательства использовать содержание электронных писем, Интернет-серфинга (что тоже может быть признано вариантом сообщения – запрос пользователя и ответ сервера) и т.д., то надо озаботиться документом, в котором сотрудник прямо и явно разрешает организации (уполномоченным работникам) все указанные действия со своей электронной активностью на рабочем места. Обращаю внимание, что расписка из п.1 об ознакомлении и готовности следовать корпоративным правилам не является разрешением на просмотр электронных сообщений – это другая бумажка и о ней надо озаботится отдельно! 3. Создать комиссию, о которой я писал в предыдущем постинге. Комиссия исследует имеющиеся электронные доказательства, в том числе, средства их получения/хранения, что подробно описывает в акте. Отдельное внимание необходимо уделить описанию того, почему эти доказательства не могут быть подделаны заинтересованными лицами. Понятно, для выполнения последнего должны быть созданы определенные технические условия. Если десяток человек имеет доступ с правом изменения данных к логу, то использовать его в качестве доказательства бессмысленно. 4. Та же комиссия вызывает сотрудника либо прибывает на его рабочее место и оглашает ему список претензий от имени организации, подтверждая это ссылкой на имеющиеся доказательства (при необходимости демонстрируется копия акта из п.3). 5. Сотруднику предлагается написать объяснительную, в которой должно быть явно указано, что он признает факт своего нарушения Правил ИБ. Если же он отказывается писать объяснительную, необходимо потребовать от него устного разъяснения, в ходе которого выяснить его понимание факта нарушения ИБ. При необходимости, продемонстрировать ему копии его обязательства о соблюдении Правил ИБ. 6. Комиссия составляет акт с указанием претензий к сотруднику и описанием его реакции на них – признал / не признал, что говорил и т.д. Неплохо получить от сотрудника подпись, что он с этим актом ознакомлен. На основании объяснительной либо акта из п.6 возможно проводить репрессии. В определенной ситуации может возникнуть потребность исследования компьютера сотрудника. Комиссия должна начать эту процедуру немедленно либо обеспечить неприкосновенность компьютера до прибытия эксперта. В первую очередь необходимо отстранить самого сотрудника – никакие причины “я только перепишу на дискету” или, тем более, “выключу компьютер” не допускаются. Во вторую очередь необходимо обеспечить отсутствие доступа к компьютеру по сети (у сотрудника могут быть продвинутые друзья). Видимо, наиболее простой вариант – отключение сетевого кабеля. Но тут уже идут технические детали. Из наиболее существенного – необходимо обратить внимание на то, что на компьютере может быть установлена автоблокировка через определенное время. Для разблокировки потребуется пароль сотрудника либо дополнительные технические работы, которые могут привести к оспариванию выявленных позже доказательств. Наилучший вариант – начать исследование компьютера немедленно и в присутствии сотрудника. Возможно, обнаруженные явные свидетельства его нарушения будут способствовать признанию им своей вины. В любом случае, все действия комиссии или эксперта по обнаружению и извлечению доказательств должны документироваться. Наиболее сложный вариант – когда сотрудник все отрицает и ничего не признает даже устно. Видимо в такой ситуации необходимо вызвать независимого эксперта (например, из CERT), который по горячим следам проанализирует ситуацию и зафиксирует результаты работы комиссии своим письменным заключением либо даст дополнительные рекомендации. Необходимо также помнить, что в ряде стран трудовое законодательство запрещает применять к работнику более суровые меры, чем предупреждение или выговор, если последствия его нарушения не нанесли прямого время предприятию. Иначе говоря, уволить можно только после одного или двух предупреждений (выговоров). Это значит, что по результатам работы комиссии, сотруднику должен быть направлен документ о предупреждении/выговоре. На документе сотрудник должен поставить роспись о том, что он ознакомлен. Данный документ может также послужить косвенным подтверждением (я не уверен, что доказательством, поэтому не использую этот термин) признания вины, если сотрудник не оспорит это предупреждение/замечание в разумный срок. Если же сотрудник занял полностью враждебную позицию – ничего не подписывает и все отрицает, видимо, необходимо признать его потенциально опасным для предприятия и предпринимать какие-то меры, которые лежать вне компетенции ИТ и ИБ. Понятно, что вышеуказанное применяется только к сотруднику, о проступке которого достоверно известно. Впрочем, в большинстве предприятий о сотрудниках имеется более подробная информация, чем, скажем у судьи об обвиняемом, которого он видит впервые. Тем не менее, в любом случае, необходимо исключить вероятность того, что сотрудника подставляет кто-то из ИТ, ИБ или других служб. |
|
Ответить |
28.03.2007 16:41 | #9 | ||||||
|
сильное сообщение...
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Искандер, спасибо! |
||||||
|
Ответить |
28.03.2007 17:31 | #10 |
Любое вмешательство в личные дела гражданина и использование его персональной и частной информации у нас запрещается, конечно если в этом не возникает необходимость в ходе следственных действий, и конечно-же с санкции прокурора. Однако другое дело - "корпоративная почта". Она предназначена для передачи служебной информации и ведения служебной переписки. В данной связи, существует возможность её "мониторинга" в рамках принятой на предприятии Политики ИБ. Тоже самое относится и к вэб-серфингу и использованию других технических и информационных ресурсов доступных в ходе выполнения своих служебных обязанностей, так как они предоставляются для выполения определённых, предусмотренных функциональными обязаннастями задач, а не развлекательных и иных целей.
|
|
|
Ответить |
|