Спецификация Internet-сообщества "Как реагировать на нарушения информационной безопасности"

Порядок публикации правил и процедур деятельности групп реагирования

Правила и процедуры группы реагирования должны быть опубликованы и доведены до пользователей. Рекомендуется следовать при этом определенному шаблону. Заполненный шаблон будем называть бланком. Как правило, он должен заверяться электронной подписью группы.

Далее мы поясним назначение некоторых полей шаблона и возможные способы их заполнения.

Любой документ должен начинаться с идентифицирующей информации, которую в данном случае составляют специальные требования:

• дата последнего изменения; она необходима для проверки актуальности сведений, поскольку детали работы группы со временем изменяются;
• список рассылки ; почтовые списки - удобное средство распространения обновлений среди большого числа пользователей, обычно в них перечислены коллективы, с которыми группа реагирования активно взаимодействует;
• расположение документа; текущая версия документа должна быть доступна в рамках оперативных информационных сервисов группы. В таком случае пользователи смогут легко получить дополнительную информацию о группе, проанализировать недавние изменения.

В следующем разделе бланков должна быть приведена исчерпывающая контактная информация:

• название группы реагирования;
• почтовый адрес;
• часовой пояс (эта информация полезна при реакции на нарушения, затрагивающие несколько часовых поясов);
• номер телефона;
• номер факса;
• адрес электронной почты;
• открытые ключи и способы шифрования; использование конкретных механизмов зависит от того, доступны ли партнерам по коммуникациям соответствующие программы, ключи и т.п. Наличие подобной информации дает возможность пользователям определить, способны ли они организовать защищенное взаимодействие с группой реагирования и каким образом это сделать;
• члены группы;
• часы работы.

Может быть представлена более детальная контактная информация, например, разные способы контакта для разных услуг, список оперативных информационных сервисов и т.п.

Каждая группа реагирования должна иметь устав, который определяет, что она должна делать и на каком основании. В уставе должны присутствовать по крайней мере следующие разделы:

• виды деятельности ;
• клиентура ;
• спонсоры и вышестоящие организации ;
• полномочия.

Определение клиентуры должно задать рамки, в пределах которых группа будет предоставлять свои услуги.

Сообщества пользователей могут пересекаться. Например, поставщик услуг Internet обеспечивает реагирование для своих потребителей, возможно, имеющих собственные группы.

Сведения о компаниях-спонсорах и вышестоящих организациях помогут пользователям выяснить возможности группы, что необходимо для формирования доверительных отношений с клиентами.

Полномочия существенно зависят от специфики группы. Например, компетенция корпоративной группы определяется руководством, общественная группа может поддерживаться и выбираться на началах самоуправления, играть консультативную роль и т.п.

Не все группы наделяются правами на вмешательство в работу всех систем в пределах контролируемого периметра. Иными словами, область управления отличается от круга пользователей; в других случаях она может быть устроена иерархически, и тогда этот факт нужно зафиксировать с указанием подчиненных групп.

Описание полномочий группы может сделать ее уязвимой для судебных исков, поэтому в данном вопросе следует опираться на помощь юристов.

В рассматриваемой спецификации приводится пример устава для вымышленной группы реагирования XYZ-CERT университета XYZ.

Виды деятельности. Целью группы XYZ-CERT является помощь сотрудникам университета XYZ в реализации профилактических мер, снижающих риск нарушений информационной безопасности, и помощь в реагировании на все-таки произошедшие нарушения.

Клиентура. Опекаемое сообщество группы XYZ-CERT - сотрудники, студенты и аспиранты университета XYZ. Это определено в политике университета по отношению к вычислительным ресурсам, с ней можно ознакомиться по адресу http://www.../policies/pcf.html. Услуги группы распространяются только на производственные системы.

Спонсоры и вышестоящие организации. Спонсором группы XYZ-CERT является компания ACME Canadian Research Network, предлагающая свои услуги в Канаде и США в качестве вышестоящей организации для различных университетских групп реагирования, если они того пожелают.

Полномочия. Группа XYZ-CERT работает под покровительством и с полномочиями, делегированными отделом компьютерных услуг университета XYZ. Предполагается, что XYZ-CERT взаимодействует с системными администраторами и пользователями университета XYZ и, по возможности, избегает авторитарных решений. Однако, под давлением обстоятельств, члены группы могут обратиться в отдел компьютерных услуг, чтобы "употребить власть". Все они входят в комитет системных администраторов и сполна наделены правами и обязанностями, полагающимися администраторам вычислительных ресурсов в соответствии с политикой, либо представлены в руководстве университета. Члены университетского сообщества, желающие обжаловать действия группы XYZ-CERT, должны обратиться к заместителю директора по техническим вопросам или в университетское бюро прав и обязанностей.