Пересылка важной информации
В последнем разделе в правилах говорилось о том, чтобы не пересылать конфиденциальную информацию "без соответствующих мер предосторожности". Определение соответствующих мер предосторожности зависит от того, как составлены правила, и от требований организации. Требования организации зависят от многих факторов, включая договорные обязательства. Например, подрядчики федерального правительства вводят ограничения на информацию, которую могут пересылать, даже внутри своих локальных сетей.
Другой вопрос, на который необходимо обратить внимание, это непреднамеренное раскрытие информации. Пользователи, которые "бегают" по сети, заходят на узлы, на которых для получения информации требуется заполнить онлайновые формы. Эти формы могут запрашивать некоторую информацию. Поэтому, если много людей посетит этот узел, совокупная информация, которую они все вместе дают, может предоставить кому-то сведения об организации.
В идеале, можно написать правило, следуя которому при запросе пользователя группа безопасности организации заполняет онлайновые формы или сама осуществляет онлайновые запросы, полностью контролируя сообщения. Но на деле все происходит иначе. Можно с уверенностью сказать, что если кому-то потребуется отправить официальный документ компании, сомнительный с точки зрения службы безопасности, вряд ли он захочет представить свой запрос на утверждение. Что же касается правил, то в них необходимо внести такую формулировку, которая будет исполняться, и рассчитывать на то, что обучение персонала, наблюдение и контроль за сетью обеспечат неразглашение важной информации.
Некоторые люди видят два пути решения данной проблемы. Наиболее распространенный способ заключается в обновлении учебных программ, в которых предусмотрена более тщательная проработка этих вопросов. Другое популярное правило требует установить фильтры, которые будут просматривать содержание всей корреспонденции, которая отправляется в Internet. В отношении таких фильтров существуют технические проблемы, которые в этой книге не рассматриваются. Но для некоторых организаций решение настоящей задачи является важным делом. Учитывая это, формулировка правил может выглядеть следующим образом.
Пользователи не должны передавать никакой информации, которая раскрывает сведения об интеллектуальной собственности или деловой активности организации. Пользователи не должны преднамеренно пересылать документы или другие данные клиентам или сторонним лицам без соответствующих мер предосторожности. В меры предосторожности, помимо всего прочего, необходимо включитъ шифрование, пересылку по выделенному каналy и санкционирование лица, ответственного за эту информацию.