Иллюстрированный самоучитель по Development of safety

       

Компьютерные преступления


Когда автор писал этот раздел, он просмотрел три различных инструкции для прокуроров, основанные на различных подходах к тому, что подпадает под определение компьютерное преступление. В каждой инструкции делается попытка увязать локальные прецеденты (судебные определения и заключения) с действующим законом. Единственное, в чем они последовательны, это непоследовательность их требований.

Понятие компьютерного преступления в различных судебных округах отличается. Даже в Соединенных Штатах каждый из федеральных судебных округов может по-разному интерпретировать один и тот же закон. Для компании из Ныо-Иорка правовые нормы могут быть совсем не те, что для компании в Силиконовой Долине. Способ определить, что дозволено в этой области, заключается в переговорах с окружным судьей, генеральным прокурором или адвокатом. Они знают судей и принятые стандарты доказательств, чтобы успешно выиграть дело.

Однако, правило, по которому компании следует докладывать обо всех случаях криминальной деятельности, может не отвечать интересам компании. Возьмем хотя бы историю банка, в чьи системы проникли хакеры и похитили около 11 миллионов долларов! Этот банк сразу же принял решение не докладывать об инциденте судебным органам, опасаясь негативной реакции прессы. Имея в активах миллиарды долларов, было нетрудно списать 11 миллионов на убытки.

Однажды этот банк должен был доложить о понесенном убытке в связи с другим судебным иском. Как только пресса узнала, каким образом банк потерял 11 миллионов, этой негативной рекламы стало достаточно, чтобы повлиять на курс акций и вызвать дополнительное расследование со стороны федеральных инспекторов. В результате возникла проблема в связях с общественностью, что обошлось довольно дорого.

К определению того, о чем докладывать, а о чем не стоит, нужно относиться серьезно. Правила, устанавливающие порядок в этой сфере, должны обсуждаться на уровне высшего исполнительного руководства, которое несет ответственность за свои решения при возникновении проблем. С другой стороны, запись о том, что руководство должно принимать решения в этом конкретном случае, вынудит их рассмотреть все правила информационной безопасности. По их реакции можно будет определить, насколько серьезно руководство относится к этой проблеме. Па этой стадии разработки правил неплохо бы знать, насколько реальна поддержка руководства.



Содержание раздела