2.5 Закрыть или открыть
Всякий раз, когда в организации происходит инцидент, который
может скомпрометировать компьютерную безопасность, на стратегию
ответных действий могут повлиять два противоположных фактора.
Если управление организации боится, что она сильно уязвима,
то может применять стратегию "Защити и Работай". Основной целью
такого подхода является защита и сохранение служб организации
и как можно более быстрое их восстановление после нарушений для
пользователей. Будет производиться активное противодействие
злоумышленникам, защита от дальнейших попыток их доступа и
немедленное восстановление после разрушений. Этот процесс может
включать отключение служб, прекращение доступа к сети, или
другие жесткие меры. Недостатком является то, что если
злоумышленника не удалось установить, он может проникнуть в АС
другим путем или атаковать другую организацию.
Альтернативный подход, "Проследи и Накажи" исповедует другую
философию и цели. Основной целью является позволить
злоумышленникам продолжать свою деятельность в организации до тех
пор, пока организация не сможет установить, кто это такой. Этот
подход практикуется органами внутренних дел. Недостатком его
является то, что МВД не может защитить организацию от возможных
судебных процессов с пользователями из-за разрушений их АС и
данных.
Уголовная ответственность - не единственное возможное
наказание после определения злоумышленника. Если виновником
является служащий или студент, организация может использовать
административные наказания. В ПРД следует указать возможные
варианты наказаний, и какой из них выбрать после поимки
преступника.
Управление организацией должно проявить особую осторожность
при выборе подхода, который будет использоваться для решения
данной проблемы, и выбрать его до того, как произойдет нарушение.
Используемая стратегия может зависеть от ситуации. Или может быть
принята глобальная политика, которая регламентирует один подход
во всех случаях жизни. Следует тщательно взвесить все за и против
и довести принятую политику до пользователей, чтобы они знали
насколько они уязвимы, независимо от того, какой подход
используется.
Далее приводится условий, чтобы помочь организации
определить, какую стратегию избрать: "Защищай и Работай" или
"Проследи и Накажи".
Защищай и Работай
- Если ценности не очень хорошо защищены
- Если продолжение работы злоумышленника может привести к
большому финансовому риску
- Если нет возможности наказать нарушителя в уголовном
порядке
- Если местонахождение пользователей тяжело определить
- Если пользователи неопытны и их работа уязвима
- Если организация уязвима в отношении судебных процессов с
пользователями, например, если ее ресурсы невелики
Проследи и Накажи
- Если ценности и системы хорошо защищены
- Если имеются хорошие архивные копии
- Если риск для ценностей перевешивается возможными
разрушениями в результате будущих проникновений
- Если это большая атака, возникающая с большой частотой и
интенсивностью
- Если организация привлекательна для злоумышленников, и
вследствие этого регулярно атакуется ими.
- Если организация согласна подвергать ценности финансовому
риску в результате продолжающегося проникновения.
- Если доступ злоумышленника контролируется
- Если средства наблюдения так хорошо разработаны, что
делают слежение безопасным.
- Если программисты организации настолько хорошо разбираются
в операционной системе, утилитах и системах, что слежение
становится безопасным
- Если есть согласие части управления организации на
судебное преследование нарушителя
- Если системные администраторы хорошо знают, что является
уликами для суда
- Если есть контакт со знающими сотрудниками внутренних дел
- Если есть человек в организации, разбирающийся в
связанных с этим вопросах законности
- Если организация готова к судебным процессам с
пользователями, если их данные или системы будут
скомпрометированы в процессе слежки за злоумышленником
Назад | Содержание | Вперед