Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 5:

Юридические вопросы информационной безопасности

Гражданские вопросы

Любой гражданин имеет право обратиться с гражданским иском по какому-либо вопросу. Вероятность для гражданских исков существует и по отношению к компьютерам или сохраненной на них информации. В этом разделе мы рассмотрим некоторые примеры. Однако не надо расценивать их как юридические советы. Для получения квалифицированного ответа следует обратиться к адвокату или главному юрисконсульту.

Вопросы, касающиеся служащих

Компьютеры и компьютерные сети в организации предназначены для того, чтобы служащие использовали их в деловых целях. Эта простая концепция должна быть разъяснена всем сотрудникам (см. "Политика" об использовании политик). Она означает, что организация является владельцем систем и сетей, и вся информация в системах доступна для нее в любое время. Таким образом, служащие здесь не имеют никаких личных прав. Убедитесь, что ваша политика в этом вопросе соответствует действующему законодательству, привлеките главного юрисконсульта организации к разработке этой политики. Помните о том, что правовые нормы о неприкосновенности личной жизни в разных штатах отличаются друг от друга.

Внешний мониторинг

Если организация является поставщиком услуг связи и компьютерных служб, то ей разрешено контролировать информацию в сети и использование сети (как уже было сказано выше, это исключение из закона об электронном прослушивании). Служащих необходимо проинформировать о том, что подобная деятельность возможна. Это должно найти отражение в политике, а при входе в систему они должны видеть соответствующее сообщение. Сообщение может выглядеть так.

Эта система принадлежит "название организации" и предназначена для использования авторизованными пользователями. Все действия на этом компьютере или в сети могут быть проверены. Любой пользователь системы соглашается на этот контроль. Пользователь не имеет никаких личных прав в данной системе. Вся информация об этой или другой компьютерной системе является собственностью "название организации". Доказательство незаконных действий может быть передано представителям правоохранительных органов.

Вопросы политики

В политике организации определяются операции, выполняемые в системах, и поведение служащих. Если служащие нарушают политику организации, на них может быть наложено взыскание, вплоть до увольнения. Для уменьшения возможных проблем с законом служащих нужно обеспечить копиями политик организации (включая политику безопасности и информационную политику); они должны письменно подтвердить, что политики получены и осмыслены. Эта процедура должна периодически повторяться (например, каждый год), чтобы служащие не забывали о существовании этих политик. В политиках следует предусмотреть обновление сообщения, появляющегося при входе в систему (никаких личных прав, ведение мониторинга и т. д.).

Некоторые служащие могут отказаться подписывать такие документы. Эту ситуацию необходимо урегулировать при содействии отдела кадров и юрисконсульта организации.

Ответственность за прохождение данных

При оценке риска в организации необходимо принимать во внимание ответственность за прохождение данных. Суть этой проблемы такова. Если в организации А не реализованы надлежащие меры безопасности, и злоумышленникам удалось успешно взломать одну из систем, то эта система может быть использована для атаки на организацию Б. В этом случае организация А несет ответственность перед организацией Б (см. рис. 5.1). Вся проблема в том, что организация А не предприняла необходимые меры для предотвращения случившегося инцидента. Эти меры определены в действующих стандартах (например, в ISO 17799) и в существующей практике деловых отношений (см. "Рекомендации по обеспечению сетевой безопасности" ). При повторном возникновении инцидента сотрудники отдела безопасности должны обсудить этот вопрос с главным юрисконсультом организации.

Ответственность за прохождение данных

Рис. 5.1. Ответственность за прохождение данных

Вопросы конфиденциальности личной информации

Вопрос конфиденциальности личной информации в интернете на сегодняшний день превратился в центральную проблему. Мы уже сталкивались с подобной ситуацией при обсуждении личных прав служащих. Оказывается, это не единственная проблема, которая требует исследования и решения. В последние годы Федеральное правительство приняло соответствующие законы о конфиденциальности данных банковских и финансовых институтов.

Информация о клиенте

Информация о клиенте не является собственностью организации - она принадлежит клиенту. Таким образом, организация должна предпринимать надлежащие меры, чтобы защитить эту информацию от несанкционированного доступа. Это значит, что вы можете использовать эту информацию, но при этом должны соблюдать все меры предосторожности и употреблять ее только по назначению. Вот одна из причин, почему многие сайты в интернете помещают на своих страницах уведомление о том, что некоторые данные о клиенте могут использоваться в списках рассылки. В этой ситуации клиенты должны иметь возможность отказаться от использования их личной информации подобным образом.

Проблема, на которой я хочу заострить ваше внимание, - это доступ к личной информации клиента при взломе системы защиты. Какое решение примет организация, если она соблюдала все возможные меры предосторожности для предотвращения этого взлома? В этой ситуации сотрудникам отдела информационной безопасности нужно работать вместе с генеральным юрисконсультом организации, чтобы рассмотреть все стороны этой проблемы и определить соответствующие меры.

Закон о переносимости и подотчетности документации о страховании здоровья

21 августа 1996 г. вышел в свет Закон о переносимости и подотчетности документации о страховании здоровья (Health Insurance Portability and Aсcountability Aсt, HIPAA). В этом законе сказано, что ответственность за создание и претворение в жизнь стандартов для защиты информации, касающейся здоровья, несет Министерство здравоохранения и социальных служб. Закон вводит стандартизацию информации о здоровье, уникальные идентификаторы пациентов и, что наиболее важно, стандарты безопасности для защиты конфиденциальности и целостности этой информации.

20 февраля 2003 г. Министерство здравоохранения и социальных служб США опубликовало правила техники безопасности HIPAA. Правила вступили в действие через 60 дней после опубликования (20 апреля 2003 г.). Установлены следующие даты ввода этих правил в различных организациях:

  • организации планирования здравоохранения - 20 апреля 2005 г.;
  • небольшие организации планирования здравоохранения (с годовым доходом в 5 млн. долларов и меньше) - 20 апреля 2006 г.;
  • информационные центры - 20 апреля 2005 г.;
  • службы здравоохранения - 20 апреля 2005 г.
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Андрей Кравцов
Андрей Кравцов
Россия