RFC: 2196
Оригинал: Site Security Handbook
Предыдущие версии: RFC 1244
Категория: Информационный
Дата публикации:
Автор:
Перевод: Семенов Юрий Алексеевич

5.2.2. Юридические силовые и следственные агентства

В случае инцидента, который имеет легальные последствия, важно установить контакт со следственными агентствами (например, ФБР или Секретная служба США) так быстро, как только возможно. Местные силовики, локальные службы безопасности и департаменты полиции кампуса должны быть также оповещены. В этом разделе описываются многие вопросы, с которыми придется столкнуться, но признается, что каждая организация может иметь свои собственные местные и государственные законы и регламентации, которые будут оказывать сильное влияние на то, как будут осуществляться взаимодействие с юридическими и следственными агентствами.

Первоначальной причиной определения этих точек контакта заранее является то, что в случае реального инцидента имеется слишком мало времени, чтобы выяснять, с кем конкретно надо контактировать. Другой причиной является то, что важно сотрудничать с этими агентствами в стиле, способствующем хорошим деловым отношениям, и соответствующем традициям этих ведомств. Знания рабочих процедур заранее, и схемы контактов является большим шагом в правильном направлении. Например, важно собрать сведения о том, что допустимо при любых последующих юридических действиях, а это потребует предварительного знания о том, как собирать улики. Последняя причина для установления контактов как можно быстрее заключается в том, что невозможно знать конкретное агентство, в юрисдикции которого находится конкретный инцидент. Осуществление контактов и нахождение подходящих каналов заранее позволит осуществить работу по инциденту значительно более спокойно. Если ваша организация или узел имеет юриста, вам нужно как можно скорее уведомить юридическую службу о факте инцидента. Как минимум ваш адвокат должен подключиться к защите юридических и финансовых интересов вашего узла или организации. Существует много правовых и практических вопросов, среди них:

  1. Хочет ли ваш узел или организация рисковать отрицательной рекламой или открытым сотрудничеством в сфере юридического или судебного преследования виновников.

  2. Несение ответственности. Если вы оставляете скомпрометированную систему, как она есть, то имеется возможность того, что она станет источником атаки для другой машины, а ваша организация или узел может нести ответственность за причиненный ущерб.

  3. Распространение информации. Если ваш узел или организация распространяет информацию об атаках, в которые были вовлечены другие узлы или организации или уязвимостях программных продуктов, которая может повлиять на сбыт продукта, ваш узел или организация может быть обвинена в нанесении ущерба (включая ущерб репутации).

  4. Ответственность за мониторинг. Ваш узел или организация могут преследоваться по суду, если пользователи вашего узла узнают, что производится мониторинг аккаунтов, не информируя об этом пользователей.

К сожалению, нет пока очевидных прецедентов преследования или ответственности организаций, вовлеченных в инцидент утраты безопасности. Расследователи будут часто просить организации отследить или мониторировать активность атакеров. Действительно, большинство расследователей не может отследить компьютерные вторжения без энергичной поддержки вовлеченных организаций. Однако, расследователи не могут предоставить защиту против обвинений в нарушении конфиденциальности, и эта деятельность может тянуться месяцами, отнимая много усилий.

С другой стороны, юрист организации может посоветовать соблюдать предельную осторожность и предложить, чтобы отслеживание атакера было прекращено, а его доступ в систему закрыт. Это, по сути, не даст защиты от обвинений и может помешать расследователям идентифицировать злоумышленника.

Баланс между поддержкой следственной активности и ограничением ответственности является лукавым. Вам будет нужно рассмотреть совет вашего юриста и ущерб, причиненный атакером (если таковой имеется), когда принимаете решение о том, что делать при конкретном инциденте. Ваш юрист должен быть также подключен к принятию решения о контакте со следственным агентством, когда инцидент произошел в вашем узле. Решение координировать усилия со следственными агентствами является наиболее разумным для вашего узла или организации. Подключение вашего юриста будет также стимулировать многоуровневую координацию между вашим узлом и конкретным привлеченным следственным агентством, которое в свою очередь приведет к эффективному разделению труда. Попутно вы получите руководство, которое поможет вам избежать будущих юридических ошибок.

Наконец, ваш юрист должен оценить инструкции вашего узла по преодолению инцидентов. Существенно получить "чистое карантинное свидетельство" с юридической стороны, прежде чем вы действительно выполните эти процедуры. Жизненно важно, при работе с следственными агентствами, проверять то, что человек, запрашивающий информацию, является официальным представителем оговоренного агентства. К сожалению, многие благонамеренные люди допускают непреднамеренную утечку важных данных об инциденте, допуская неавторизованных лиц в свою систему и т.д., так как гость выдает себя за представителя правительственного агентства. (Заметим, эта предосторожность относится ко всем внешним контактам).

Так как многие сетевые атакеры могут легко переадресовать почтовые сообщения, избегайте использования электронной почты для взаимодействия с другими агентствами (а также с другими, имеющими отношения к инциденту). Обычные телефонные линии являются также частой мишенью для атак посредством подключения, так что будьте осторожны!

Не существует ни одного установленного набора правил реагирования на инцидент, когда оказываются вовлечены местные административные органы. В норме (в США), за исключением оговоренных законом случаев, ни одно агентство не может заставить вас мониторировать сеть, отсоединиться от сети, исключить телефонный контакт с подозреваемым атакером и т.д. Каждая организация имеет набор местных и национальных законов и регламентаций, которые должны строго выполняться при обработке инцидента. Рекомендуется, чтобы каждый узел был знаком с этими законами и регламентациями, и знал агентства и их юрисдикцию заранее до наступления инцидента.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.