Управление
Правила управления утверждают право организации на внедрение алгоритмов, позволяющих встроить в систему определенные средства управления. Хотя другие правила разрешают организации устанавливать средства управления доступом и требования аутентификации и использования паролей, эти правила определяет право реализовывать их постановления. Как бы странно это не звучало, некоторые юристы считают, что введение таких правил может оказаться необходимым для предотвращения потенциальных проблем, если организация будет выступать ответчиком в суде. Даже если судьи этого не требуют, вреда от введения этого постановления не будет. Правило может звучать достаточно просто.
Руководство должно установить средства управления согласно требованиям этих правил.
Наряду с определением управления, в правилах должно указываться, кто имеет право администрировать и тестировать эти средства управления. Организации не хотят, чтобы кто-то посторонний тестировал их средства безопасности. Помимо доступности бесплатных средств через Internet, риск такого тестирования увеличивается из-за пользователей, которые очень любопытны или умышленно нарушают правила безопасности.
Дело Рэндала Шварца
В громком деле знаменитый автор и эксперт фирмы Pearl Рэндап Шварц (Randal Schwartz) был осужден за компьютерное преступление в штате Орегон. Обвинявшийся, помимо всего прочего, в несанкционированном тестировании средств защиты сети и систем корпорации Intel, когда он работал на Intel в качестве подрядчика, Шварц заявил, что он это сделал с наилучшими намерениями. Независимо от мнения читателя об этом деле, представим, будто читатель несет ответственность за безопасность сети. Никто никогда не знает, с какими намерениями осуществляется зондирование системы — с благородными или не совсем, особенно, если это, якобы благородное, лицо делает это без разрешения. Как можно об этом знать наверняка? Что предпринял бы читатель в этой ситуации? Об этом стоит подумать при разработке ваших правил.
Формулировки этих правил очень сильно зависят от законов, касающихся вашей деятельности.
Чтобы эти правила были эффективными и, при необходимости, могли служить для обеспечения правовой защиты, законодательство или прецедентное право включает требование о том, чтобы организация руководствовалась в работе своими собственными правилами, во избежание юридического разбирательства. Люди, занимающиеся техническими вопросами, так не думают, но, тем не менее, необходимо изменить свой менталитет и всегда обращаться за помощью к адвокатам. Нижеследующую формулировку можно использовать в качестве руководства по разработке правил управления.
Руководство и назначенные администраторы должны нести ответственность за тестирование средств управления доступом и тестирование сети на наличие уязвимых мест. Пользователи не должны проводить тестирование на наличие уязвимых мест и тестирование средств управления доступом вручную или программными средствами.
Когда уязвимые места становятся известны, пользователи не должны использовать их возможности вручную или с помощью программных средств.
Руководство и назначенные администраторы должны иметь доступ к средствам, которые могут помочь в управлении и тестировании системы обеспечения информационной безопасности. Пользователи не должны иметь доступ к этим средствам через сеть организации и не должны загружать эти средства в любую область сети или "скачивать" их оттуда.