LINEBURG


<< Пред. стр.

страница 16
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

ни и тысячи скомпрометированных систем для запуска атак против других систем и сетей.
Не так давно при помощи атак по типу «отказа от обслуживания» были обрушены не­
сколько высокопрофессиональных сайтов, таких, как сайты Yahoo, Inc. и EBay, Inc. В этих
атаках серверы или сети «наводняются» бесполезным трафиком, и законные пользователи
больше не могут получать доступа к их ресурсам. Подобные атаки все еще представляют
значительную угрозу безопасности. Такие атаки демонстрируют, как хакеры могут ис­
пользовать ваши машины для нападения на другие системы и сети.
Два года назад тинейджером, проживающим в Модесто, штат Калифорния, была предпри­
нята атака, которая не получила широкой огласки. Он получил доступ к системам регу­
лирования слива воды одной из канадских плотин. Правоохранительные органы успели
его поймать до того, как он успел что-либо наделать, но что было бы, если им не удалось
его схватить?
Представьте себе, что этот тинейджер, взломавший незащищенный веб-сервер, принадле­
жавший компании Fortune 500, и получивший доступ к системе слива канадской плотины,
открыл бы ее и затопил населенные пункты ниже плотины, вызвав ущерб в миллионы
долларов и гибель 300 жителей. Позвольте теперь сказать, что? хотя правоохранительные
органы и не всегда могут определить след, ведущий к такому тинейджеру, они все же спо­
собны выйти на след компании Fortune 500, которой принадлежит этот веб-сервер, ис­
пользовавшийся для запуска атаки. При этом можно было бы задать такие вопросы:
1. Почему системы компании Fortune 500 оставались незащищенными и бескон­
трольными, вследствие чего их можно было бы использовать для атаки против ка­
надской плотины?
2. Почему канадская плотина была подключена к Интернету так, что взломщик мог
бы, в конце концов, получить неавторизованный доступ к ее системе управления
сливом?
3. Кто должен был бы понести ответственность за возможные последствия?
4. Являетесь ли вы членом правления или руководителем высшего уровня компании
Fortune 500?
5. Понимает ли ваша команда юристов, что такое безопасность?
Сегодня незащищенные системы повсюду используются для атак на любые цели. Вашей
обязанностью как руководителя является не допустить, чтобы эти системы оказались ва­
шими. Также нельзя допускать атак, исходящих из сети партнера, которые могут быть
приписаны вам. Убедитесь, что у вас имеются все надлежащие средства безопасности для
обнаружения атаки и защиты сети. Директоры и должностные лица по закону должны
134 Юридические обязанности по защите информации и сетей


охранять информационные фонды корпораций. В случае, если нарушение безопасности
сети причиняет вред, владеющая ей организация и ее руководители могут подвергнуться
судебному преследованию. Сегодня уже имеются реальные судебные дела.
В следующем разделе главы Дэн Дж. Лэнджин, юрист из Канзаса, обсуждает реальные
правовые действия, связанные с ответственностью руководителей и нарушениями в обес­
печении безопасности сетей.

Юридические обязанности по защите информации
и сетей
Хотя гипотетическая ситуация с канадской плотиной покажется вам довольно необычной,
возможность поиска виновных может оказаться не столь притянутой за уши. Когда вред
личности причинен неустановленными третьими лицами (или неподсудными, например, не­
платежеспособными лицами), то суд распространяет ответственность на другого, более пла­
тежеспособного, ответчика, чьи действия или бездействие сделали возможным причинение
вреда потерпевшему этими третьими лицами с использованием имущества, принадлежащего
ответчику. Первыми подобными случаями в судебной практике являются дела в отношении
владельцев помещений. В этих случаях жертвы ограблений, хулиганства и других преступле­
ний, совершенных в мотелях, квартирах или универмагах, подали иски на владельцев и ме­
неджеров этих помещений за то, что они не обеспечили должную безопасность или не преду­
предили потерпевших о рисках, которым они подвергались, входя в эти помещения. В этих
судебных процессах истцы преследуют представителей делового мира, чьи карманы значи­
тельно глубже и которых легче найти, чем преступника, совершившего преступление в отно­
шении истцов. Общим аргументом на таких процессах для подтверждения судебной ответст­
венности предпринимателей являлось то, что они были обязаны предотвратить причинение
истцу вреда, так как присутствие преступников (и возможного вреда для потерпевшего) было
предсказуемым.
Приведенные ниже примеры (процессы Exigent и С. I. Host) показывают, что истцы уже возбу­
ждали иски против третьих сторон, чьи сети, после того как были скомпрометированы, были
использованы для запуска атак против потерпевших. К сожалению, в сложившейся после
11 сентября ситуации вопрос «предсказуемости» приобрел новый смысл. В статье в New York
Law Journal приводится большой перечень юридических лиц, против которых потерпевшие
могут возбуждать иски, связанные с атаками террористов 11 сентября, при условии, если они
отказались от своих прав на возмещение ущерба из Фонда компенсации жертвам 11 сентября
2001 года (September 11 th Victim Compensation Fund of 2001):
«Возможными ответчиками являются American Airlines и United Airlines и различные ком­
пании и организации, которые участвовали в обеспечении безопасности угнанных само­
летов, компании Argenbright, Globe Aviation Services, Huntleigh USA Corp., Massport, адми­
нистрация портов New York и New Jersey (которые приказали некоторым из сотрудников
башен-близнецов вернуться за свои рабочие столы), администрация аэропортов New Jer­
sey и Metropolitan Washington и правительство США за действия службы управления воз­
душным движением) ».
Как замечает автор данной статьи, даже в создаваемых законом о фонде компенсации ус­
ловиях неопределенности исхода процесса для истца при преследовании этих ответчи­
ков , на время написания статьи был уже возбужден, по меньшей мере, один процесс про­
4
тив United Airlines .

2. Kreindler, "Pros and Cons of Victims Funds", New York Law Journal, November 28,2001.
3. Kreindler, "Pros and Cons of Victims Funds", New York Law Journal, November 28, 2001.
4. Дело Mariani против United Airlines, Inc., зарегистрировано в окружном суде США по южному округу Нью-
Йорка. Прим. Автора.
135
Оглядываясь назад: что будет дальше?


С позиции предсказуемости атаки хакеров (количество которых увеличивается с каждым
годом) «дыры» в информационной безопасности могут вызывать для корпораций серьез­
ные правовые проблемы, касающиеся претензий к третьей стороне, в результате действия
или бездействия которой к ответственности могут быть привлечены директор или другое
должностное лицо. Иски к третьей стороне могут подаваться на основании нарушений
условий контрактов, нарушений законодательных актов, предписывающих принятие мер
по защите информации, или на основании правовых понятий, таких, как халатность. Взы­
скание в полном объеме убытков по таким искам с третьей стороны (или прямых убытков
имуществу компаний, если иски к третьей стороне не будут удовлетворены) может приво­
дить к искам против должностных лиц и директоров компаний за невыполнение своих
обязанностей, доверенных им корпорацией или акционерами.
Процессы, возбуждаемые из-за нарушений условий контракта, вероятнее всего, будут
опираться на пункты контрактов, предусматривающие соблюдение конфиденциальности
и обеспечение безопасности информации, которую компания получает от другой стороны,
то есть клиента, поставщика или партнера по бизнесу. В действительности, все соглаше­
ния по оказанию услуг, поставок программного обеспечения, экономическому объедине­
нию, совместным предприятиям и по неразглашению информации содержат пункты, ка­
сающиеся соблюдения конфиденциальности. Эти пункты требуют от каждой стороны за­
щищать совместно используемую информацию и оговаривают, что в случае несоблюде­
ния этого условия одной из сторон другая сторона освобождается от ответственности за
убытки, причиненные таким нарушением договора. Если неразборчивая в средствах тре­
тья сторона получит доступ к конфиденциальной информации другой стороны, передан­
ной стороне-получателю, то сторона-получатель, хранящая информацию в электронном
виде и не обеспечившая ее должную защиту, несет за это ответственность. Например, если
компания А передает секретную формулу или проект компании В по соглашению о совме­
стном предприятии, в котором содержится пункт о конфиденциальности, то компания
В несет ответственность перед компанией А в случае, если третья сторона взломает сеть
компании В и обнаружит (или украдет) секретную формулу или проект компании А.
Хотя такие пункты контрактов были изобретены еще в дни, когда конфиденциальная ин­
формация передавалась в бумажном виде и хранилась в запертых шкафах, они важны
и для наших дней, когда все больше конфиденциальной информации предается и хранится
в электронном виде. В условиях, когда электронный «взлом» может быть сделан более
скрытно и требовать меньше усилий, чем взлом физический, сегодня записи с конфиден­
циальной информацией подвергаются большему риску, чем в прошлом.
Другими обстоятельствами, при которых нарушение безопасности может быть причиной
привлечения к ответственности за нарушение условий контракта, могут быть ситуации
предоставления услуг хостинга, или совместного размещения информации. При этом кон­
тракт с компанией, предоставляющей хостинг, предусматривает обеспечение определен­
ного уровня безопасности (даже если он назван «приемлемым уровнем безопасности»).
Такие пункты контракта встречаются все чаще, так как хостинговые компании пытаются
выделить себя на рынке, предлагая заключить соглашение об уровне услуг, то есть о пре­
доставлении «безопасного хостинга».
Второе вероятное основание для привлечения к ответственности создают многочисленные
новые федеральные акты, требующие от компаний обеспечивать приемлемые меры безопас­
ности для существенной конфиденциальной информации, как, например, в области здраво­
охранения и финансовых услуг. Акт о пересылке и учете информации страхования здоровья
HIPAA (Health Insurance Portability and Accountability Act), Акт Грэмма-Лича-Блайли GLBA
(Gramm-Leach-Bliley Act) и другие федеральные акты требуют от компаний применять уси­
ленные меры защиты существенной конфиденциальной информации. Правила безопасно-
136 Юридические обязанности по защите информации и сетей

ста (Security Regulations) в HIPAA требуют от всех участвующих сторон (провайдеров меди­
цинских услуг- Health Care Providers, планировщиков страхования здоровья - Health Plans и
посредников в области здравоохранения-Health Care Clearinghouses) обеспечивать безопас­
ность закрытой информации о состоянии здоровья (названной Protected Health Information,
или PHI) внедрением у себя «четырехугольной» модели безопасности ("four-corner" security
model). Эта модель включает административные меры безопасности, физические меры безо­
пасности, технические сервисы безопасности и технические механизмы безопасности5. Акт
GLBA касается финансовой информации клиентов, получаемой финансовыми учреждения­
ми и хранящейся ими (как, например, банками, сберегательными и кредитными организа­
циями). Акт GLBA и вводимые им правила («Межведомственные правила, устанавли­
вающие стандарты по охране информации о потребителях» - "Interagency Guidelines Estab­
lishing Standards for Safeguarding Customer Information , или просто «Правила» - "Guide­
lines") содержат стандарты по мерам безопасности, названные «мерами безопасности для
финансовых учреждений» ("financial institution safeguards"). Раздел Ш.С.1 «Правил» уста­
навливает, что учреждения, на которые правила распространяются, должны предусматри­
вать следующие меры безопасности для финансовой информации клиентов:
a) контроль доступа к системам с информацией клиентов;
b) ограничение доступа к местам физического размещения информации клиентов;
c) шифрование электронной информации клиентов;
d) процедуры, обеспечивающие отсутствие влияния модификации систем на безопас­
ность;
e) процедуры двойного контроля, разделение обязанностей и личные проверки персо­
нала7;
f) системы обнаружения реальных атак на системы с информацией клиентов или их
взлома;
g) программы реагирования, определяющие действия при неавторизованном доступе;
h) защиту от физического уничтожения или повреждения информации клиентов.
Третьим возможным основанием для привлечения к ответственности являются правовые
понятия, такие, как халатность. Исходя из правовых понятий, таких, как ответственность
за качество продукции или ответственность владельцев помещений, сторона может быть
привлечена к ответственности на основании того, что ее продукция или помещения были
использованы другой стороной для причинения вреда третьей стороне. Многие из таких
правовых понятий становятся правовыми нормами (прецедентами) после того, как суды
установят устойчивый характер вреда - например, причинами распространенности ответ­
ственности за качество продукции являются промышленная революция и недоброкачест­
венно спроектированная продукция. Если из этих исторических событий будет сделан вы­
вод, то суды начнут использовать прецедент, заключающийся в том, что сторона может
быть привлечена к ответственности за вред, причиненный системам другой стороны
вследствие неспособности первой стороны поддерживать надлежащую безопасность ин­
формации.
Действительно, такие дела уже ведутся в судах. Exigent (компания по разработке про­
граммного обеспечения) подала иск в Европе против немецкого университета и шведской
хостинговой компании после того, как хакер взломал сеть Exigent и украл конфиденциаль­
ный исходный код, используя для этого учетную запись в немецком университете и систе-

5. 42 CFR 142.306 (Свод федеральных актов США. - Примеч. пер.)
6. Опубликовано в Federal Register, Vol. 66, No. 22, February 1,2001, pp. 8616-8641.
7. Employee background checks - проверки «лояльности» сотрудников. - Примеч. пер.
137
Оглядываясь назад: что будет дальше?

мы Интернет-провайдера8. В США, техасская компания C.I. Host подала иск на компанию
Exodus, серверы которой были использованы для запуска нескольких атак по типу «отказ
от обслуживания» против C.I. Host. Журналист, комментирующий этот процесс, удачно
подметил, какое воздействие оказало дело против Exodus на эти компании9:
«Юристы C.I. Host убедили судью из Техаса выдать предписание на временное ограниче­
ние, предусматривающее отключение трех веб-серверов, участвовавших в атаке, до тех пор,
пока обе компании не убедятся, что уязвимые места закрыты. В этом запутанном и темном
деле были стравлены не соперник с соперником, а жертва с жертвой. Хотя атаки продолжа­
лись только пару дней, чтобы закрыть это дело потребовалось семь месяцев высокооплачи­
ваемого труда юристов, не говоря уже о затраченных времени и энергии.
Этот и другие подобные ему случаи, вероятно, будут возникать все чаще по мере того,
как компании будут страдать от отключения их от пользователей и кражи информации,
вызываемых «дырами» в безопасности.»10 (курсив автора).
В том случае, если на компанию подан иск на основании одного или более таких преце­
дентов или если компания сама понесла внутренние убытки от бреши в безопасности
(простои, кража интеллектуальной собственности и т. д.), то должностные лица компании
или директоры могут быть привлечены к ответственности за невыполнение возложенных
на них обязанностей. В соответствии с этими обязанностями перед компанией и акцио­
нерами директоры и должностные лица должны защищать имущество компании. Ученые-
юристы предложили, чтобы должностные лица и директоры защищали информационные
фонды компаний в той же степени, как и физическое имущество:
«Главная обязанность [по обеспечению безопасности информации] лежит на руково­
дстве, и неспособность добросовестно выполнять эту обязанность может приводить
к персональной ответственности должностных лиц и директоров. Стандартом для
юридического заключения может стать «должное старание» ("due diligence"): его нужно
проявлять при обеспечении безопасности компании в такой же степени, как и при по­
купке самой компании.» (курсив автора). —Esther Roditti, Computer Contracts, Sec.
15:03[1], стр. 15-25 (Matthew Bender, 1999).
Обязанности по защите информационных фондов закрепляются законодательно в возрас­
тающих по количеству федеральных актах. Раздел III.А «Правил» GLBA требует от совета
директоров принятия политики безопасности для их организации, а затем и: «... надзора
за разработкой, осуществлением и поддержкой программы обеспечения безопасности ин­
формации банка, при этом руководство должно определять конкретные обязанности по ее
осуществлению и рассматривать предоставленные менеджерами отчеты» 11 .
В соответствии с Разделом III.F «Правил» совет директоров после первоначального утвержде­
ния должен затем ежегодно пересматривать программу обеспечения безопасности.
Хотя некоторые из финансовых учреждений попросили федеральные органы убрать из
«Правил» пункты, касающиеся ответственности совета директоров, им было в этом отка­
зано. В официальном комментарии к «Правилам» разъясняется, почему федеральные
органы потребовали ответственности совета директоров за обеспечение информационной
безопасности:

8. Computer Security Institute, 2001 CSI/FBI Computer Crime and Security Survey at p. 7,
9. "See You In Court," CIO Magazine at p. 62 (November 1,2001).
!0. См., например, «Правила» (Guidelines), утвержденные Office of Comptroller of the Currency, at 12 CFR I, Appendix
В to Part 30.
11. См., например, «Правила» (Guidelines), утвержденные Office of Comptroller of the Currency, at 12 CFR I, Appendix
В to Part 30.
138 Юридические обязанности по защите информации и сетей


«Некоторые комментаторы заявляют, что каждое финансовое учреждение должно иметь
право решать самостоятельно, в каких случаях эта программа должна утверждаться сове­
том директоров... Другие же предлагают изменить «Правила» так, чтобы от совета дирек­
торов требовалось принятие только первоначальной программы информационной безо­
пасности с делегированием последующих пересмотра и принятия программы комитету
или одному лицу. Федеральные органы полагают, что общая программа информационной
безопасности финансового учреждения очень важна для безопасности и финансовой ус­
тойчивости организаций. Исходя из этого, «Правила» в окончательном их виде продол­
жают возлагать ответственность за принятие и осуществление надзора за выполнени­
ем этой программы на советы директоров организаций)) (курсив автора).
Здесь уместно спросить, каким образом должностные лица и директора должны выпол­
нять свои обязанности по защите информационных фондов. Основой этих обязанностей
является принцип благоразумия (prudent man rule), который требует от должностных лиц и
директоров, подобно обычному благоразумному человеку, обязанному блюсти интересы
компании, действовать по обстоятельствам и таким способом, который бы наилучшим
образом соответствовал интересам компании и акционеров.
Должностные лица и директоры не могут, в соответствии с принципом благоразумия, пол­
ностью делегировать обязанности по обеспечению информационной безопасности дирек­
тору по информационным технологиям или отделу информационных систем. Ученые-
юристы, анализировавшие обязанности должностных лиц и директоров в условиях по­
следней большой угрозы информационным технологиям (Y2K), заявляли, что «должност­
ные лица и директоры должны будут сделать больше, чем просто положиться на план, со­
ставленный их директорами по информационным технологиям» (Scott & Reid, The Year
2000 Computer Crisis, Sec. 6.05, на стр. 6-59). Вместо этого, как указывается в официаль­
ном комментарии к «Правилам» GLBA, руководители были обязаны утвердить программу
и осуществить общий надзор за ее выполнением. Делегирование может создать ситуацию,
в которой руководство будет считать, что отдел информационных систем самостоятельно
примет решение по обеспечению информационной безопасности от имени компании,
а отдел информационных систем будет ждать указаний от руководства. Это может вызвать
«аналитический паралич» ("paralysis by analysis"), при котором политики информацион­
ной безопасности никогда не будут утверждены.
В прошлых обзорах по вопросам безопасности было показано, что руководство может пред­
принимать действия по уменьшению риска от бреши в системе безопасности. В соответствии
с обзором «2000 Security Industry Survey» журнала Information Security компании, имеющие
политики информационной безопасности, с большей вероятностью могут обнаруживать ата­
ки и реагировать на них: примерно 66 процентов компаний, имеющих политики, смогли об­
наружить атаки и отреагировать на них, но без таких политик это смог сделать только 21 про­
цент компаний. Обзор того же журнала «2001 Security Industry Survey» показал, что главным
препятствием для улучшения информационной безопасности являются «бюджетные затруд­
нения» (в первую очередь связанные с «недостаточным обучением/подготовленностью ко­
нечного пользователя»)13. Обе эти проблемы традиционно относят к обязанностям руково­
дства. Для акционеров, правительственных органов или частных сторон судебного процесса
проблема, заключающаяся в наличии в компании утвержденных надлежащих мер безопасно­
сти, будет решена уравновешенным мнением суда.


12. См. "Interagency Guidelines Establishing Standards for Safeguarding Customer Information and Rescission of Year
2000 Standards for Safety and Soundness", Part III, опубликовано в Federal Register, Vol. 66, No. 22, February 1, 2001,
at p. 8620.
13. "2001 Security Industry Survey," Information Security magazine, at p. 44 (October 2001).
Оглядываясь назад: что будет дальше? 139


Деловые инициативы и корпоративные цели
Из обзора Дэна Лэнджина в предыдущем разделе становится ясным, что против компании,
неспособной обеспечить безопасность, могут быть предприняты меры правового воздейст­
вия. Но даже когда над головой нависает угроза судебного преследования, безопасность час­
то откладывается на более позднее время - после того, как сеть будет установлена, после то­
го, как будет создана база данных, после того, как будет разработано программное обеспече­
ние, после того, как серьезная атака нанесет ущерб. И после того, как защита не сработает,
основные препятствия для создания защиты обычно связывают с ролью руководства,
не обеспечившего, например, должного финансирования, обучения и разработки политик.
Руководители часто перекладывают ответственность за безопасность систем на систем­
ных администраторов, не обеспечив соответствующего финансирования установки
средств, обеспечивающих безопасность и техническую поддержку сети. Так как безопас­
ность не предусматривается изначально, то некоторые руководители думают, что расходы
на нее можно просто не включать в бюджет, и безопасность становится постоянно отодви­
гаемой задачей. Например, руководители могут отложить установку программ-детек­
торов вторжения на следующий квартал. Перед тем как вы об этом узнаете, закончится
год, и директор по информационным технологиям, принявший такое решение, уйдет из
компании. А новый директор по информационным технологиям отложит приобретение
программ-детекторов еще на шесть месяцев.
Безопасность будет наиболее эффективной тогда, когда она будет связана: 1) с деловыми
инициативами и 2) с корпоративной целью. Во-первых, компания Costa Corp не сделала
внедрение программ по обнаружению вторжения необходимой составной частью своей
инициативы по электронной коммерции. Когда затраты на осуществление этой инициати­
вы превысили возможности бюджета, то руководство решило забрать средства из другого
проекта. Руководство решило отложить покупку программ-детекторов вторжения, ко­
торая была предусмотрена бюджетом, была утверждена и прошла оценочное тестирова­
ние группой обеспечения безопасности. Вместо этого средства были направлены в бюд­
жет электронной коммерции. Приобретение программного обеспечения по обнаружению
вторжения, необходимого для защиты компании, было отложено.
Когда средства обеспечения безопасности поддерживают деловую инициативу, то высшие
руководители их обычно финансируют. Если бы им было показано, что программное
обеспечение по обнаружению вторжения можно наращивать, что оно имеет возможность
быстрого обнаружения как известных, так и неизвестных угроз и поддерживает деловую
инициативу электронной коммерции то его покупка могла бы быть профинансирована.
14
Более того, можно было бы начать переговоры о корпоративной лицензии (site license)
для защиты всей инфраструктуры компании.
Во-вторых, вы сможете добиться финансирования безопасности, связав ее с корпоратив­
ной целью по обеспечению безопасности. Примером такой цели может быть обеспечение
целостности информации. Компания, целью которой является обеспечение целостности
своей информации, демонстрирует твердое стремление руководства к безопасности.
Сотруднику службы безопасности, системному администратору или менеджеру, не сумев­
шим найти способ связать свою инициативу по обеспечению безопасности с корпоратив­
ной целью, будет затем трудно оправдать бюджетные требования и выстоять в борьбе
с другими инициативами в области информационных технологий. К сожалению, во мно­
гих компаниях не удается обозначить безопасность как корпоративную цель. В условиях
возрастания количества и изощренности атак в недалеком будущем такие компании могут
оказаться легкой добычей при открытии сезона охоты на них.
14. Лицензия на применение средств всеми сотрудниками компании. - Примеч. пер.
140 Угрозы требуют действий


Угрозы требуют действий
Сценарий атаки на канадскую плотину, о котором уже было рассказано, может показаться
немного надуманным. Однако заглянем в репортаж в Washington Post за 27 августа
2002 года, в котором говорится, что войска США в Афганистане в январе того же года за­
хватили компьютеры Аль-Кайды. В одном из них содержались компьютерная модель пло­
тины и программное обеспечение, позволяющие моделировать ее катастрофическое
разрушение при подготовке террористического акта. В ходе расследований, проведенных
американскими специалистами, появились свидетельства того, что члены Аль-Кайды про­
водят время на веб-сайтах, которые содержат программы и команды для переключателей
с цифровым управлением, расположенных в сетях электроснабжения, водоснабжения,
транспортных сетях и сетях связи, о чем сообщалось также в Post. Атаки на инфраструк­
туру США вполне возможны, и если они будут успешными, то вызовут общенациональ­
ную катастрофу. Об атаке такого вида сообщалось в июне 2001 года, когда хакер пришел
из сети, управляемой компанией Chinese Telecom, и преодолел защиту учебной сети, при­
надлежавшей компании California Independent Systems Operator (Cal-ISO), которая контро­
лирует всю сеть электроснабжения штата. Очевидно, что подобные угрозы реальны.
Действия организации против таких угроз могут потребовать свежего взгляда на
имеющиеся у нее политики, процедуры и средства защиты с целью определить их соот­
ветствие правилам, установленным для ее отрасли.
Например, соответствуют ли они следующим документам:
1. Стандарт ISO 17799. Впервые опубликованный в 1995 году стандарт BS7799 стал
так широко использоваться во многих странах в законодательной практике по ин­
формационной безопасности, что был переработан в международный стандарт ISO
17799.
2. Акт Грэма-Лича-Блайли (GLB - Gram Leach Bliiey Act). GLB является федераль­
ным законом, требующим от финансовых учреждений защищать индивидуальную
финансовую информацию от утраты и кражи. GLB требует от федеральных орга­
нов, регулирующих деятельность финансовых учреждений (таких как Управление
контролера денежного обращения, Совет управляющих федеральной резервной
системы, Федеральная корпорация страхования депозитов и Управление по над­
5
зору за сберегательными ассоциациями)' создания правовых стандартов для за­
щиты этой финансовой информации.
3 Акт о сохранении тайны и защите информации о состоянии здоровья (НIРРА -
Health Information Privacy and Protection Act) 1 6 . HIPPA определяет защиту персо­
нальной информации о состоянии здоровья. В нем установлены правила обеспече­
ния безопасности информации о состоянии здоровья, которая передается или
хранится в электронном виде. Хотя этот акт находится на стадии разработки, но,
вероятно, что черновой вариант останется окончательным. Затем учреждения, на
которые он распространяется, должны будут в течение двух или трех лет (в зависи­
мости от своих размеров) его выполнить.
Компания Costa Corp имела хорошие намерения, но ее руководители, борясь с ограничен­
ностью ресурсов и времени и осуществляя другие деловые инициативы, не смогли выяс­
нить угрозы своей организации, научиться, как уменьшить риски, и принять меры по
15. Office of Controller of the Currency (OCC), Board of Governors of the Federal Reserve System, Federal Deposit Insur­
ance Corporation (FD1C) и Office of Thrift Supervision. - Примеч. пер.
16. Автор приводит расшифровку сокращения; Health Insurance Portability and Accountability, для которого подходит
сокращение HIPAA и которое я перевел как Акт о пересылке и учете информации о страховании здоровья. Об этом
документе говорится выше. - Примеч. пер.
Оглядываясь назад: что будет дальше? 141

<< Пред. стр.

страница 16
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign