Юридические вопросы информационной безопасности

Закон о модернизации финансового обслуживания Грэма-Лича-Блайли

Закон о модернизации финансового обслуживания Грэма-Лича-Блайли (The Gram-Leach-Bliley Financial Services Modernization Aсt, GLBA) вышел в свет 12 ноября 1999 г. Важнейшие аспекты закона связаны с конфиденциальностью информации о клиентах. В связи с этой проблемой в подразделе А раздела 5 определено обязательство по защите частной информации клиентов. Раздел 502 запрещает финансовым организациям раскрывать частную информацию о клиенте, за исключением случая взлома систем организации, а также предписывает обеспечить для клиента возможность отказа от использования его личной информации.

В дополнение к вопросам конфиденциальности от финансовых институтов также требуется защита записей о клиенте от несанкционированного доступа. Данным вопросом занимались учреждения финансового надзора (Управление по контролю денежного обращения, Федеральная резервная система, Федеральная корпорация страхования депозитов и Управление по надзору за сберегательными учреждениями), которые издали совместное положение, содержащее конкретные требования. Этот документ называется "Межведомственные руководящие указания установленных стандартов по безопасности информации о клиентах" и доступен по адресу http://www.ffiec.gov/exam/InfoBase/documents/02-joi-safeguard_customer_info_final_rule-010201.pdf.

Требования безопасности

Руководящие указания устанавливают требования к программе безопасности финансовых организаций в целом. Они включают следующее.

• Программа информационной безопасности. Каждая организация должна ввести в действие всестороннюю программу информационной безопасности, которая включает административные, технические и физические меры безопасности.
• Вовлечение руководства. Руководство организации должно одобрить программу и наблюдать за ее развитием, выполнением и непрерывным техническим обслуживанием.
• Оценка риска. Каждая организация должна периодически проводить оценки риска, выявляющие угрозы и уязвимые места.

Руководство и управление риском

Используя разработанную программу безопасности, организация руководит и управляет риском через развертывание следующих механизмов защиты.

• Управление доступом к информации.
• Физическое ограничение доступа к системам и записям.
• Шифрование секретной информации при ее передаче.
• Процедуры изменения и модификации системы не должны отрицательно влиять на безопасность.
• Процедуры двустороннего контроля, сегрегация режимов работы и фоновые проверки.
• Системы обнаружения вторжений для наблюдения за атаками.
• Процедуры ответных действий при возникновении инцидента.
• Защита окружающей среды для защиты записей от разрушения.

Руководящие указания требуют обучения сотрудников организации для осуществления программы, а также регулярных проверок на определение эффективности программы.

Примечание

Тестирование программы должно проводиться независимыми сторонами. Однако организация может проводить и свои собственные проверки.

Наблюдение за поставщиками услуг

Закон GLBA учитывает проблемы безопасности при вовлечении внешних сторонних организаций, предоставляющих финансовым институтам различные услуги. Эти организации могут получить доступ к секретной информации, поэтому их надо тщательно проверить. Руководящие указания определяют следующие требования.

• Должное усердие при отборе поставщиков услуг. Необходим серьезный подход к отбору сторонних организаций, предоставляющих свои услуги.
• Требования к поставщикам услуг о соблюдении безопасности. Организация должна требовать от своих поставщиков услуг соблюдения соответствующих мер безопасности - это оговаривается в контракте.
• Наблюдение за поставщиками услуг. Организация должна вести мониторинг сторонних организаций для наблюдения за выполнением обязательств по контракту.
• Корректировка программы. Организация должна вносить изменения в свою программу информационной безопасности, чтобы учитывать модификацию в технологиях и процедурах бизнеса, а также появление новых угроз.
• Отчет руководству. Организация должна периодические отчитываться перед руководством о выполнении статей своей программы безопасности.

Судебное преследование

Этот проект покажет вам, как можно применить к преступнику законы о компьютерных преступлениях. В качестве отправной точки используются результаты, полученные при выполнении проекта 2.

Шаг за шагом

1. Взгляните на стратегию атаки, разработанную в проекте 2.
2. Давайте предположим, что эта атака была успешной. Определите статьи Федерального закона о компьютерных преступлениях, которые были нарушены при выполнении этой атаки. Не забудьте оценить общий ущерб, нанесенный организации.
3. Теперь определите системы, которые можно использовать для сбора доказательств об атаке. Что это за доказательства?
4. Определите способы защиты этих доказательств.
5. Установите, если это возможно, источник атаки.

Выводы

Очевидно, что в этом случае нарушается закон 1030 Свода законов США. Однако, согласно закону 1030, величина общего ущерба должна составлять 5 000 долларов, поэтому нужно определить ущерб, причиненный в результате выполнения атаки. После определения взломанных систем не забудьте о проблемах, связанных с кредитными картами и авторскими правами. Утечка этой информации влечет за собой применение других статей закона.

Контрольные вопросы

1. Является ли сканирование порта системы, к которой у вас нет права доступа, федеральным преступлением?
2. Какова сумма минимального ущерба при нарушении Федерального закона о компьютерном мошенничестве и злоупотреблении?
3. Какие изменения внес Акт патриота для облегчения вынесения приговора преступникам?
4. По какой статье Федерального закона преследуется прослушивание (снифинг) информации?
5. Если обнаружен warez-сайт (сайт, содержащий коммерческое программное обеспечение, доступное для распространения), но владелец системы не может установить, что сумма ущерба составляет 5 000 долларов, попадает ли злоумышленник, организовавший такой сайт, под действие Федерального законодательства? Если да, то под действие какой статьи?
6. Какое главное отличие законов штатов США в области компьютерных преступлений от Федеральных законов?
7. Является ли кража конфиденциальной информации преступлением во всех штатах, где имеется соответствующее законодательство?
8. Как влияет законодательство других стран в области компьютерных преступлений на действия правоохранительных органов США?
9. Если в организации был произведен сбор доказательств с помощью стандартных процедур, но при этом не сделана криптографическая проверка контрольной суммы, считаются ли такие доказательства верными?
10. Что должны предъявить правоохранительные органы для сбора доказательств?
11. Если организация придерживается существующей практики деловых отношений, может ли она преследоваться за халатность?
12. Что является главной проблемой для выполнения обязательств?
13. Перечислите организации, которые уполномочены проводить аудит в соответствии с законом GLBA?
14. Какова главная цель положений закона GLBA?
15. К каким организациям применяются правила закона HIPAA?