Руководство по выработке правил разграничения доступа к ЭВМ



         

Фоpмальные и нефоpмальные юpидические пpоцедуpы - часть 2


Иногда ваши нужды и нужды pасследующего агентства будут отличаться. Ваша оpганизация может захотеть пpодолжить обычную pаботу, пеpекpыв это напpавление атаки, но pасследующее агентство может захотеть оставить эту доpогу откpытой. Аналогично, ваша организация может захотеть закрыть скомпрометированную ЭВМ, чтобы избежать возможности нежелательных публикаций, и опять расследующее агентство может захотеть, чтобы вы продолжиди наблюдение. При возникновении такого конфликта самое лучшее - взаимодействовать с расследующим агентством, оставив скомпрометированную ЭВМ открытой. Это позволит продолжать наблюдение( и в конечном счете дает возможность найти источник угроз вашим системам). С другой стороны, если на каких-либо ЭВМ были разрушены данные в результате атаки, начатой с ваших ЭВМ, выбор будет более сложным: отбрасывание злоумышленника может предотвратить дальнейшие разрушения на ЭВМ, но сделает невозможным его выслеживание. Если произошли разрушения, решение о том, насколько важно оставить ЭВМ открытыми, чтобы поймать злоумышленника, должно приниматься совместно всеми пострадавшими организациями. Стоит отметить, что проблема сетевой ответственности усложняется тем соображением, что если вы не помогаете расследующему агентству, вы скорее всего не получите от него помощи в будущем.

| |




Содержание  Назад  Вперед