رهیافتهای این فصل:
- عمو سام به شما نیاز دارد: چگونه امنیت اطلاعات شرکت شما میتواند بر امنیت ملی امریکا اثر بگذارد (و برعکس)
- استانداردهای قانونیِ مرتبط با امنیت اطلاعات
- قوانین و مقررات منتخب
- یا کار خود را درست انجام میدهید یا روی اعتبار شرکت قمار میکنید: ابزارهایی برای کاهش مسئولیت قانونی
- چه چیزهایی باید در قراردادهای IEM قید شوند۲
- اولین کاری که ما انجام میدهیم…؟ چرا باید وکلای شما از ابتدا تا انتها درگیر موضوع باشند
- مرور فشردهی رهیافتها
- پرسشهای متداول
اخطار: این پیوست، در نقشِ مشاورهای قانونی نیست
این پیوست مروری است بر تعدادی از موضوعات قانونی که کارشناسان ارزیابی امنیت اطلاعات و مشتریانشان با آنها روبهرو میشوند. امیدوارم این پیوست بتواند خوانندگان را نسبت به موضوعاتی آگاه سازد که باید در مورد آنها با مشاورِ قانونیِ واجدشرایطی در زمینهی قانون امنیت اطلاعات مشاوره کنند. البته، این پیوست هیچ توصیه یا مشاورهی قانونیای به خوانندگان خود ارائه نمیکند و نمیتواند بکند. خوانندگان تحت هیچ شرایطی نباید تصور کنند که میتوانند به مطالب این پیوست، بهعنوان مشاورهای قانونی تکیه کنند. همچنین، هیچکدام از اظهارات بیانشده در این پیوست نمیتواند دفاعیهای از نوعِ «توصیهی مشاور» برای اَعمالِ مقرراتی یا اجرای قانونی یا برای دعاویِ قانونیِ مدنی ایجاد کند. به آن دسته از خوانندگان که درگیرِ امنیت اطلاعات هستند، اکیداً توصیه میگردد که از مشاور قانونیِ باتجربه و واجدشرایطی کمک بگیرند.
مقدمه
شما صدها بار این صحنه را دیدهاید. نمایندهی حقوقیِ پلیسی که کاملاً یکدنده و بهشدت پایبند به قوانین است، و کارآگاهی که به سرسختیِ میخ کوبیدهشدهای است و حاضر است همهی قوانین را بهخاطرِ نجات زندگی یک فرد زیر پا بگذارد، در حالِ جرّ و بحث با هم در برابرِ رئیسپلیس هستند. کودکی دزیده شده است و ثانیهها یکی پس از دیگری از دست میروند؛ چیزی نمانده تا قتلی صورت بگیرد و قاضیِ مربوطه حکم تفتیشی صادر نمیکند. رئیسپلیسِ از-همهجا-بریده مجبور است تصمیمی آنی بگیرد. آیا راهی هست که هم در محدودهی قانون ماند و هم آن کودک را نجات داد؟ رئیسپلیس چگونه میتواند توازنی در وظیفهی خود ایجاد کند، بهگونهای که هم از مردم شهر حفاظت نماید و هم به کتاب قانون وفادار بماند؟ آیا راه خلاقانهای هست که بتوان هر دو کار را با هم انجام داد؟ در تلویزیون، معمولاً این صحنه در دفتر کهنه و پوسیدهی ادارهی مرکزی پلیس رخ میدهد که درون آن دفتر، فنجانهایی از جنسِ اِستایروفوم که پُر از قهوههای کهنه و بوگرفته هستند، زیرسیگاریهایی تا سر پُر، دیوارهایی به رنگِ سبز محو، و میزهای فلزیِ زهوار-در-رفتهای قرار گرفتهاند. حالا، تصور کنید همین نمایش در صحنهای کاملاً متفاوت اجرا شود.
عمو سام به شما نیاز دارد:
چگونه امنیت اطلاعات شرکت شما میتواند بر امنیت ملی امریکا اثر بگذارد (و برعکس)
سپتامبر سال ۲۰۱۱ است. در حالی که دهمین سالروزِ حملات ویرانکنندهی القاعده به کشور ما نزدیک میشود، اطلاعات صریح و روزافزونی به رئیسجمهور میرسد مبنی بر اینکه بقایای این گروه تروریستیِ بدنام، برای تکمیلِ آرزوی دیرینهی خود، تصمیم گرفتهاند که از طریق فضای سایبری حملات ویرانکنندهای علیه امریکا انجام دهند. شاید آنها کنترل ترافیک هوایی یا شبکهی مبادلات مالی ما را غیرفعال سازند. شاید به سیستمهای کنترل نظارتی و کشفوکسب دادهها (SCADA) نفوذ کنند تا سدها یا دیگر زیرساختهای انرژی را موردحمله قرار دهند. شاید برقِ صدها بیمارستان را خاموش کنند که در آنها عمل جراحیای در حالِ انجام است. یا شاید مستقیماً نیروهای نظامیِ ما را مورد هدف قرار دهند که بهشدت وابسته به سیستمهای اطلاعاتی هستند. اهداف موردنظر و دامنهی آنها بسیار فراتر از حدّ تصور است.
به هر حال، با طلوعِ آفتابِ روز ۱۱ سپتامبر ۲۰۱۱ مشخص میشود که حملات سایبری آغاز شدهاند، اگرچه مرتکبانِ این حملات نامشخص هستند. آنچه رفتهرفته روشن میشود این است که این حملات نه از آن سوی آبها، بلکه مستقیماً در حالِ یورش به ما هستند، ؛ از سوی دهها، و شاید صدها، سرورِ دانشگاهی و شرکتی که درست در همینجا در خودِ امریکا قرار دارند. صحنهای که در ادامه توصیف میشود، در پشت دیوارهای اتاق وضعیت در بال غربیِ کاخ سفید بهنمایش درمیآید، دیوارهایی مجلل، دارای نقوش چوبی، و بهلحاظ الکترونیکی پیچیده. شخصیتهای اصلی ما در اینجا، وزیر دفاع، رئیس اطلاعات ملی، مشاوران امنیت ملی و وطنبومِ رئیسجمهور، و دادستان کل هستند. و البته، در این صحنه، فرد تصمیمگیرندهای که بارِ کلّ جهان را به دوش میکشد، رئیسپلیس یک کلانشهر نیست، بلکه رئیسجمهور ایالات متحده است.
به احتمال بسیار، رئیسجمهور مشاورههای متناقضی از سوی مشاوران ارشد خود دریافت خواهد کرد. برخی اصرار خواهند داشت که قانون امریکا دولت را از غیرفعالسازیِ سرورهای موجود در امریکا- سرورهایی که این حملات از سوی آنها روانه میشوند- یا حتی تلاش برای شناساییِ افرادی که پشتِ این حملات قرار دارند، منع میکند. بهرغمِ وجود اطلاعاتی که نشان میدهند این حملات در واقع از سوی تروریستهایی در آن سوی آبها روانه میشوند و از سرورهای موجود در امریکا بهعنوان «زومبی» استفاده میکنند تا نقشهی خود را عملی کنند، این مشاوران اصرار بر رعایت احتیاط دارند. این مشاوران، در ادامه، این بحث را مطرح خواهند کرد که رئیسجمهور هیچ گزینهی دیگری در اختیار ندارد جز اینکه از فرآیند قانون جزایی برای مبارزه با این حملات استفاده کند، فرآیندی که بسیار طاقتفرسا و وقتگیر است. مأموران اجرای قانونِ دادستان کل باید اطلاعات را جمعآوری نمایند، به یکی از قاضیهای فدرال مراجعه کنند، و یک حکم تفتیش، یا در این مورد، دهها یا صدها حکم تفتیش بگیرند تا بتوانند اقدام به شناساییِ افرادی کنند که در پسِ این حملات قرار دارند (جز دسترسیِ اضطراری که بدون وجود حکم تفتیش نیز طبق قانون مجاز است). حتی در چنین موارد اضطراریای، ساماندهی و هدایتِ اجرای قانون بر روی صدها یا هزاران زومبی، تلاشی طاقتفرسا است.
مقامات رسمی دیگر به رئیسجمهور توصیه خواهند کرد که تا بخواهیم به خود بیاییم و حرکتی از مسیرِ معمولِ اجرای قانون انجام دهیم، خسارت ویرانکنندهای به زیرساختهای حیاتی وارد آمده است، و مجرمانِ حاضر در آن سوی آبها تمامِ ردّ پای خود را از بین برده و ناپدید شدهاند. این مشاوران مصرّانه این استدلال را خواهند آورد که رئیسجمهور، طبق قوانین معمول و قانون اساسی، اختیارات بسیار وسیعی در استفاده از هر کدام از عناصر قدرت امریکا (نظامی، اطلاعاتی، یا اجرای قانونی) برای غلبه بر حملات و دفاع از کشور دارد. آنها اینگونه استدلال خواهند کرد که استفاده از مسیر معمولِ اجرای قانون، نه تنها بیفایده خواهد بود، بلکه به معنای کنارهگیری از مسئولیت اصلی رئیسجمهور در قانونی اساسی است، مسئولیتی که طبق قانون اساسی، رئیسجمهور باید از کشور و مردم خود در برابر حملات حفاظت نماید. در نهایت، آنها با احترام، توصیهی حکیمانهی قاضیِ دیوان عالی امریکا در دوران جنگ ویتنام، آرتور گُلدبِرگ، را به رئیسجمهور گوشزد خواهند کرد: «در عین حال که قانون اساسی در برابر تعرض به حقوق فردی میایستد و از حقوق فردی حفاظت میکند، این امر به معنای میثاقی برای خودکشی نیست.»۳
اگر این موضوع را تنها از منظرِ قانونی و قانون اساسی بررسی کنیم، احتمالاً حق با مشاوران محافظهکارترِ رئیسجمهور خواهد بود.۴ البته، این مسئله به هیچ عنوان، بار سنگینِ وجدانی، اخلاقی، و سیاسیای را که بر دوش رئیسجمهور خواهد افتاد، سبک نمیکند: آیا در نبود اطلاعات کامل، باید دستور حملات متقابل علیه زیرساختهای اطلاعاتیِ موجود در امریکا را داد یا نه.
با اینکه کارشناسان هنوز هم توافقی بر سرِ این موضوع ندارند که احتمال دارد چنین سناریویی در دههی بعدی رخ دهد (و حتی در میان نویسندگان این فصل نیز اختلاف نظر وجود دارد)، اغلبِ افراد توافق نظر دارند که این سناریو بهلحاظ فنی امکانپذیر است.۵ طبقِ راهبرد ملی امریکا برای ایمنسازیِ فضای سایبری، شرایط لازم زیر (که امروزه وجود دارند) باید برقرار باشند تا « خسارتی نسبی [به ایالات متحده] در سطحی ملی وارد شود، که شبکهها و سیستمهایی را تحت تأثیر قرار دهد که کشور وابسته به آنها است:
- دشمنان احتمالی قصد و غرض داشته باشند.
- ابزارهایی که از فعالیتهای بداندیشانه پشتیبانی میکنند، بهطور گسترده در دسترس باشند.
- آسیبپذیریهای سیستمهای ملی، زیاد و شناختهشده باشند.۶
بنابراین، حتی در نشریهای طبقهبندینشده، دولت امریکا تایید کرده است که دشمنان ما، چه تروریستها، چه قومیتهای شورشی، و چه دشمنان سنتیتر ما در سطح یک ملت، ترکیب کلاسیکی برای ایجاد تهدید دارند: قصد + توانایی + فرصت. اگر ۱۱ سپتامبر ۲۰۰۱ تنها یک چیز را به ما بهعنوان یک ملت آموخته باشد، آن این است که وقتی این سه مؤلفه با هم وجود داشته باشند، ما باید آمادگی بهتری داشته باشیم.
مأموران ارشدِ ادارهی فدرال بازپرسی (FBI) و دیگران، سفتوسخت، در حضورِ کنگره تصدیق کردهاند که گروههای تروریستی علاقهی بارزی به هکرها و مهارتهای مرتبط با هک دارند؛ FBI پیشبینی میکند که «گروههای تروریستی یا هکرهایی را تربیت و یا اجیر خواهند کرد.»۷ اسنادی که در پناهگاههای پیشین القاعده در افغانستان کشف شدند، حاکی از تمایل القاعده به توسعهی مهارتهای ترور سایبری بودند.۸ ریچارد کلارک، «سایبرتزار»ِ پیشینِ دولت امریکا، توجه ما را به این نکته جلب میکرد که یکی از دانشجویان دانشگاه آیداهو که به اتهام ارتباطهای تروری توسط مأموران FBI دستگیر شده بود، در تلاش برای کسبِ مدرک دکترا در زمینهی امنیت سایبری بوده است.کلارک اخطار میدهد که «همانطور که برخی از هواپیماربایانِ ۱۱ سپتامبر در زمینهی آموزش پرواز، آموزش دیده بودند، برخی از افرادی که هماکنون میبینیم با [القاعده] در ارتباط هستند، در زمینهی امنیت رایانه آموزش داشتهاند.»۹ چند تن از کارشناسان، از جمله کارشناسان سایبری در آزمایشگاههای ملی ساندیا و مدرسهی فوقدکترای نیروی دریاییِ امریکا، بیپرده اعلام کردهاند که دشمنان میتوانند موجبِ فروپاشیِ بخش قابلتوجهی از شبکهی برق امریکا بهمدت چند دقیقه تا چند روز و حتی بیشتر از آن شوند.۱۰
پیش از این، از حملات سایبری برای ایجاد اختلال در انتخابات آنلاین در کانادا استفاده شده است، و طی انتخابات انجامگرفته در اندونزی، سریلانکا، و مکزیک نیز حملاتی بهوسیلهی گروههای تروریستی انجام شده است تا رایانههای دولتی را از کار بیندازند.۱۱ در نهایت، صرفنظر از گروههای تروریستی و قومیتهای شورشی، تعدادی از کشورهایی که دشمن بالقوهی امریکا هستند، از جمله چین و روسیه، هماکنون علناً جنگ سایبری را بهعنوان بخشی از رهنامهی نظامی خود میدانند.۱۲
بنابراین، امکان وقوع این صحنه وجود دارد،۱۳ مگر اینکه ما آنقدر خوششانس باشیم که ایفای این نمایش تا سال ۲۰۱۱ طول بکشد.
بسیاری از کارشناسان قانونی بینالمللی بیان میکنند که، طبق قوانین پذیرفتهشدهی بینالمللیِ تعارض مسلح، حملاتی که توسط کشورهای خارجی یا تروریستهای بینالمللی با استفاده از بیتها و بایتها از طریق فضای سایبری انجام میشوند، میتوانند عملِ جنگی محسوب شوند، درست همانطور که استفاده از تفنگها یا بمبها یا هواپیماهای مسافربریِ مملو از سوخت میتواند عملِ جنگی محسوب شود.۱۴
اگر کشوری حملهای سایبری را در حکمِ عملی جنگی علیه خود بداند، آن حکم، به نوبهی خود، میتواند به دلیل آن تهاجمات صورتگرفته، حقوقی را برای آن کشور ایجاد کند تا عملی دفاعی یا واکنشی را علیه مهاجمان خود انجام دهد.۱۵ با به رسمیت شناختنِ تهدیدِ حملهی سایبری و نیاز بالقوه به چیزی بیش از پاسخگوییِ اجرای قانون، رئیسجمهور بوش در سال ۲۰۰۳ با نظر به چنین حملاتی، خطمشی امریکایی جدیدی را اعلام کرد:
وقتی که کشور، گروه تروریستی، یا هر دشمن دیگری از طریق فضای سایبری به ایالات متحده حمله میکند، پاسخ ایالات متحده باید محدود به پیگرد جزایی باشد. ایالات متحده این حق را برای خود محفوظ میداند که به روش مقتضی پاسخ آن را بدهد. ایالات متحده برای چنین پیشآمدهای احتمالیای آماده خواهد بود.۱۶
در حملهی سایبری (برخلاف حملهی نظامی معمول)، برای تصمیمگیران دشوار خواهد بود که بدانند علیه چه کسی عمل کنند تا حمله را متوقف نمایند و/یا پاسخ گویند. البته، برخلاف بمبگذاریِ تروریستی یا حتی حملات فجیع ۱۱ سپتامبر ۲۰۰۱، ممکن است حملهی سایبری برای مدت زمانی بهقدرِ کافی طولانی ادامه یابد که عمل دفاعیِ سریع بتواند خسارت وارده بر زیرساختهای حیاتی و اقتصاد را تا اندازهی چشمگیری کاهش دهد، حتی جایی که مرتکبین آن جرم هنوز ناشناخته باشند.
بنابراین، حملهای سایبری که با استفاده از سرورهای «زومبیدهشده»ی درونِ امریکا در حالِ اجرا باشد، تصمیمگیران را در مخمصهی آزاردهندهای گرفتار خواهد کرد. اگر در دقایق و ساعات ابتداییِ پس از حمله کاری انجام ندهند، ممکن است نسبت به زمانی که تصمیم به توقف حمله یا غیرفعال ساختنِ دستگاههای حملهکننده میگیرند، خسارت بزرگتری رخ دهد. البته، اتخاذ چنین تصمیمی این خطر را دارد که خودِ سرورهای زومبیده دچار خسارت یا نابودی گردند، و شاید طرفهای مجرم نیز شناسایی نشوند. علاوه بر این، انجام چنین کاری میتواند منجر به نابودیِ اطلاعاتی گردد که ممکن است بعدها برای شناسایی و بازداشت مجرم(ها) لازم باشند.
واقعیتی که این موقعیت را حتی خطرناکتر و پیچیدهتر میسازد، این است که «تمایز میان فعالیت بدخواهانهای که از مجرمان، عاملانِ ملی قومی، و تروریستها نشأت میگیرد، در آنِ واحد کار دشواری است.»۱۷ در بسیاری از موارد، اختصاص خصیصهی مثبت به فنآوریهای امروزی تقریباً ناممکن است. بنابراین، تصمیمگیرانی که با این انتخابِ چالشبرانگیز بین دو گزینه روبهرو هستند- اینکه اقدام به غیرفعالسازی یا نابودیِ سرورهای زومبیدهی موجود در امریکا کنند یا این خطر را به جان بخرند که در صورتِ منتظر ماندن، خسارت بیشتری به کشور ما وارد شود- ممکن است نتوانند در آنِ واحد تصمیم محکمی بگیرند که آیا حملهای حقیقی در جریان است یا آنچه که شبیه به مراحل ابتداییِ یک حمله است، در واقع فعالیت بدخواهانهی دیگری است.
معنای این امر برای کارشناسان ارزیابی امنیت اطلاعات و مشتریان آنها چیست؟ بیش و پیش از همه، به این معنا است که شما دوست ندارید سرورهای «زومبیده»ی بهکاررفته در حملهای سایبری، مالِ شما باشند. زمانی که امریکا (یا کشوری دیگر)۱۸ تصمیم میگیرد که واکنشی رسمی علیه سرورهای بلندشدهای نشان دهد که در اجرای حمله بهکار گرفته شدهاند، نهادی که سرورهای آن بهکار رفتهاند، روز بدی را پشت سر خواهد گذاشت. علاوه بر این، با اینکه مشاوران امنیت اطلاعاتِ محتاط همچنان در تمام تهدیدهای بالقوه حضور خواهند داشت تا از شبکههای مشتریان شما حفاظت نمایند، هویتِ هر تهدید خاصی تا حدّ زیادی خارج از این موضوع است، حتی اگر بتوان منشأ آن را مشخص ساخت. میتوان هزاران دلیل آورد که حافظانِ اطلاعات حساس، از هر نوع اطلاعاتی که باشند، باید وضعیتِ قابلقبولی را برای امنیت اطلاعات، توسعه دهند و نگهداری نمایند، از جملهی این دلایل میتوان به این موارد اشاره کرد: نیازهای عملیاتی کسبوکار؛ جلوگیری از خسارات اقتصادی و جاسوسی صنعتی؛ کاهش خطر دادرسی، مقرراتی، و دادستانیِ احتمالی؛ و حفظ اعتبارِ مسئول امنیتی در برابرِ افراد دیگرِ همان کسبوکار.
خطرِ مشارکت غیرارادی در حملهای سایبری، یا دفاع در برابر چنین حملهای، مزید بر علت میشود تا اغلبِ بنگاهها و مؤسسات آموزشی کاری را انجام دهند که از پیش میدانند کار درست همان است. البته، برخلاف انگیزههای دیگر برای امنیت اطلاعات، اجتناب از دخالت در حملهای سایبری، از اهمیت بسیاری برخوردار است حتی اگر سازمانی هیچ اطلاعات «حساسی» را نگهداری ننماید. برخلاف هکرها، مجرمان، و دیگر افراد «سنتی» که از آسیبهای امنیت اطلاعاتی بهره میجویند، تروریستها صرفاً به این دلیل که نتوانستهاند اطلاعات حساسی بیابند، بهسادگی از شرکتها چشمپوشی نمیکنند. در عوض، تروریستها به این توجه میکنند که با استفاده از سرورهای شما بهعنوانِ پراکسی، چه خسارتی میتوان وارد آورد. و اگر مشخص شود که سرورهای شما در حملهای دخالت دارند و باید خنثی شوند (یا بدتر از آن)، دولتها نیز توجهی نخواهند کرد که شما چه اطلاعاتی دارید یا ندارید.
دوم اینکه، درک نگاهِ دولتها نسبت به امنیت اطلاعات، زمینهای ایجاد میکند برای درکِ اینکه چگونه بیانیههای خطمشی میتوانند منجر به توسعهی «تکلیفی» قانونی برای افراد و سازمانها شوند تا سهم خود از فضای سایبری را ایمن سازند (در ادامه مفصلتر در این باره بحث شده است). جانِ کلام اینکه، دانشی واقعی یا دانشی سازنده (برای مثال، اطلاعات در حوزهی عمومی) از خطمشی عمومی که «مالکان» خصوصیِ فضای سایبری را متعهد کند تا اجزاء خود را ایمن سازند، میتواند «تکلیفی» قانونی برای انجام آن کار ایجاد نماید، که این امر میتواند موضوع دادرسیهای آینده گردد. همینطور، ایجاد خطمشی فدرال در خصوصِ حملات سایبریِ احتمالی، بهخوبی میتواند منجر به حرکتی گردد که امنیت اطلاعات خصوصی را در سطح فدرال، بیش از پیش تنظیم نماید، حرکتی که از پیش عزم خود را جزم کرده است.
استانداردهای قانونیِ مرتبط با امنیت اطلاعات
قوانین بهوسیلهی سیاستمداران وضع میشوند و سیاستمداران بهوسیلهی واکنش عمومی و رسانهای به رویدادهای معین، هدایت میشوند. بنابراین، قوانین ذرهذره ساخته میشوند، دستِکم تا زمانی که تودهای بحرانی از راه برسد؛ این امر قانونگذاران را به این نتیجه میرساند که بافتارِ نوظهوری از قوانین و مقرراتِ مرتبط، البته اغلب ناهمسان، نیاز به قانون چندگونهای دارد تا پایداری و پیشبینیپذیری بیشتری ایجاد شود. در نبودِ چنین قانون فدرال یکپارچهسازی، بخشها یا صنایع ویژهای در معرض عموم قرار میگیرند، بخشهایی که بهعنوانِ مشکلات دیدهشده در آن صنایع، مورد هدف قرار میگیرند تا تحت تنظیممقررات درآیند. قوانین و مقرراتی که صنایع هدف را تحت پوشش قرار میدهند، بهتدریج از طریق دادرسی مدنی و کنش مقرراتی گسترش مییابند که همهی اینها تنها محدود به شکیباییِ قضات و پندارِ وکلای خواهان، دادستانان، و مقررگرها دارند.
این، وضعیت کنونیِ موجود در قانون امنیت اطلاعات است. همانطور که در بخش «قوانین فدرال منتخب» بحث خواهد شد، قانون فدرال، از میان چیزهای دیگر، در خصوصِ اطلاعات مراقبت سلامتِ شخصاً-قابلشناسایی، اطلاعات مالی افراد، و در درجهای بالاتر، اطلاعات مالیای که در اختیار شرکتهایی با بازرگانی عمومی هستند، مقرراتی را برای امنیت اطلاعات تنظیم میکند. اگرچه هیچ مادهی قانونیِ فدرالِ «چندگونه»ای وجود ندارد که بر تمام جوانب امنیت اطلاعات حاکم باشد، این استانداردهای مراقبتی که برای این بخشهای اقتصادی معین ایجاد شدهاند، از طریق دادرسی مدنی، از جمله بهوسیلهی مقررگرها و دادستانان ایالتی، به دیگر عرصههای تجاری نیز «صادر» میشوند.۱۹
این امر برای رویّهکاران امنیت اطلاعات میتواند خبری خوب/خبری بد باشد. اغلب، اقدامات صورتگرفته در تنظیممقررات «فراگیر»، شبیه آش شلهقلمکار از آب درمیآید، بهویژه زمانی که چندین بخش اقتصادی با محیط کاری و نیازهای متفاوت تحتِ تنظیممقررات قرار میگیرند. چنین تنظیممقرراتی بهویژه زمانی بیهوده (یا حتی بدتر از آن) است که وقتی اعلام شوند که بخش خصوصی هنوز رهیافتی عملی را پیاده نکرده است، بخش خصوصیای که بِهرویّههایی ثابت و امتحانپسداده در طول زمان را توسعه داده است. از طرف دیگر، بافتاری از قوانین و مقررات فدرال، ایالتی، و بینالمللی متفاوت (چیزی که وضعیت کنونیِ قانون امنیت اطلاعات است)، میتواند گیجکننده باشد و ارزش افزودهای به آنالیز قانونیِ دقیق و موردی، و مشاوره گرفتن از مشاوری واجدشرایط و باتجربه ببخشد.
قوانین فدرال منتخب
برای نمایش آرایهای از قوانینی که بر امنیت اطلاعات تأثیر دارند، در ادامه پیمایشی کلی از مواد قانونی، مقررات، و دیگر قوانینی آورده میشود که حاکم بر کارِ مشاوران امنیت اطلاعات و مشتریان آنها هستند. این فهرست جامع نیست، اما میتواند به شناسایی مسائل موجود در کار با مشتریان و نیز به درکِ این موضوع کمک نماید که در واقع کدام «بِهرویّهها» در قانون، پذیرفته و بهکارگرفته شدهاند.
قانون گرام-لیچ-بلیلی
یکی از اولین یورشهای دولت امریکا برای تحت اختیار گرفتنِ استانداردهای امنیت اطلاعات، قانون گرام-لیچ-بلیلی (GLBA) بود.۲۰ بخش ۵۰۱(b) تمام مؤسسات مالیِ تحتپوشش را ملزم میسازد که «ایمنیپاهای مناسب» را برقرار سازند تا: (۱) نسبت به امنیت و محرمانه بودنِ اسناد و اطلاعات مشتریان اطمینان حاصل شود؛ (۲) در برابر تهدیدات یا مخاطرات پیشبینیشده برای امنیت یا صحتِ آن اسناد حفاظت صورت گیرد؛ و (۳) در برابر استفاده، یا دسترسی غیرمجاز به چنین اسناد یا اطلاعاتی حفاظت صورت گیرد، امری که میتواند منجر به وارد آمدنِ زیان یا ناراحتی قابلتوجهی به مشتری گردد.۲۱ GLBA استانداردهایی را الزام کرد که باید برای ایمنیپاییِ اطلاعات مشتری، در قالبِ مقررات معینی تنظیم میشدند.۲۲ این وظیفه همراه با انتشار استانداردهای احرازیِ رهنمودهای میانجیگری برای ایمنیپاییِ اطلاعات مشتری انجام شد («رهنمودها»).۲۳
این رهنمودها در خصوصِ اطلاعات مشتری بهکار گرفته میشوند، اطلاعاتی که بهوسیلهی «مؤسسات مالی»ِ تحتپوشش نگهداری میشوند، که هر دوی این اصطلاحات در قوانین و مقررات کاربردی بهتفصیل تعریف شدهاند. این رهنمودها نیاز به برنامهی امنیتی نوشتهشدهای دارند که بهطور ویژه متناسب با اندازه و پیچیدگیِ هر کدام از مؤسسات مالی تحتپوشش، و ماهیت و گسترهی فعالتهای آن باشد.۲۴
طبق این رهنمودها، مؤسسات تحتپوشش باید برای اطلاعات مشتری، برآورد خطر کنند و خطمشیها، روندها، آموزش، و آزمایش مناسب را پیاده سازند تا تهدیدات داخلی و خارجیِ پیشبینیپذیر را مدیریت کنند.۲۵ همچنین، مؤسسات باید اطمینان یابند که هیئت مدیره (یا کمیتهی وابسته به آن) بر اقدامات امنیت اطلاعاتیِ آن مؤسسه نظارت لازم را دارد.۲۶ علاوه بر این، مؤسسات باید پشتکار لازم را در انتخاب و نظارت پیوسته بر «خدماتدهندهها» (نهادهایی که از طریق ارائهی خدمات به مؤسسهای تحتپوشش، اطلاعات مشتری را نگاهداری، یا پردازش میکنند یا به هر طریقی امکان دسترسی مجاز به آنها را دارند) داشته باشند.۲۷ همچنین، مؤسسات باید طیّ توافقنامهای کتبی، از این موضوع اطمینان یابند که خدماتدهندهها اقدامات امنیتی لازم را رعایت میکنند.۲۸
قانون حسابپسدهی و انتقالپذیری بیمهی بهداشتی
قانون حسابپسدهی و انتقالپذیری بیمهی بهداشتیِ ۱۹۹۶ (HIPAA) در آگوست سال ۱۹۹۶ تبدیل به قانون شد. بخش ۱۱۷۳(d) از HIPAA وزیر خدمات بهداشتی و بشری (HHS) را ملزم کرد که استانداردهایی امنیتی برای حفاظت از تمام اطلاعات بهداشتی حفاظتشدهی الکترونیکی (EPHI) اتخاذ کند.۲۹ توسعهی این استانداردهای امنیتی به وزیر HHS واگذار شد، که قاعدهی نهاییِ امنیتیِ HIPAA («قاعدهی امنیتی») را در فوریهی سال ۲۰۰۳ منتشر کرد.۳۰ هماکنون تمام نهادهای تحتپوشش، به استثنای طرحهای بهداشتی کوچک، باید خود را با قاعدهی امنیتی تطابق دهند.۳۱
از آنجا که HIPAA، به طریقی، پُربنیهترین و مفصّلترین رهنمود موجود در حوزهی قانون و مقررات فدرالِ مرتبط با امنیت اطلاعات است، ما بیشتر از هر مادهی قانونی فدرال دیگری، روی قاعدهی امنیتی HIPAA تمرکز میکنیم. علاوه بر این، بسیاری از اصول کلیای که در قاعدهی امنیتی آمدهاند، در دیگر نظامهای قانونیِ مرتبط با امنیت اطلاعات نیز رایج و مشترک هستند. قاعدهی امنیتی HIPAA، بهعنوان چارچوبی کلی: (a) پیآمدهای معینی را تحت فرمان خود درمیآورد؛ و (b) به جای استانداردهای فنیِ مشخصاً دستوری، ملزومات فرآیندی و روندی را تعیین میکند. این پیآمدهای دستوری برای نهادهای تحتپوشش، شامل موارد زیر است:
- اطمینان از محرمانه بودن، صحت، و دسترسیپذیریِ EPHIهایی که بهوسیلهی نهادی تحتپوشش، ایجاد، دریافت، حفظ، یا مبادله شدهاند۳۲
- حفاظت در برابر تهدیدات یا مخاطراتِ متعارفپیشبینیشده برای امنیت یا صحتِ چنین اطلاعاتی۳۳
- حفاظت در برابر کاربردها یا افشاسازیهای متعارفپیشبینیشدهای از EPHI که طبق قاعدهی حریم شخصیِ HIPAA مجاز نیستند۳۴ و
- اطمینان از رعایت قاعدهی امنیتی توسط کارمندان خود.۳۵
گذشته از این پیآمدهای کلی و دستوری، قاعدهی امنیتی حاویِ ملزوماتی فرآیندی و روندی است که به چندین دستهی کلی تقسیم شده است۳۶:
- ایمنیپاهای اجرایی۳۷ فرآیندهای الزامیِ کلیدی در این عرصه شامل این موارد هستند: انجام آنالیزی فراگیر از خطرات پیشبینیشده؛ ماتریسسازیِ خطرات شناساییشده در برابرِ ترکیب منحصربهفرد اطلاعاتِ نهاد تحتپوششی که نیاز به ایمنیپایی دارد؛ آموزش، آگاهی، آزمایش و تایید مجوز کارمند؛ حسابپسدهیِ فردی برای امنیت اطلاعات؛ اجازهی دسترسی، مدیریت، و کنترلهای نظارتی؛ داشتنِ طرح برای بازیابیِ وقایع اتفاقی و غیرمترقبه؛ و ارزیابیِ فنی و غیرفنیِ مداوم از تطابق با قاعدهی امنیتی.
- ایمنیپاهای فیزیکی۳۸ اقدامات ایمنیپاییِ امنیت فیزیکی شامل این موارد هستند: کنترلهای دسترسیِ تسهیلات دستوری؛ ملزومات استفاده از ایستگاه کاری و امنیت ایستگاه کاری؛ کنترلهای افزاره و رسانه؛ محدودسازیِ دسترسی به اطلاعات حساس؛ و حفظ و نگهداری از پشتیبانهای رایانهایِ خارجازمحل.
- ایمنیپاهای فنی۳۹ قاعدهی امنیتی HIPAA، بدون تعیین سازوکارهای فنآورانه، فرآیندهای فنیِ خودکاری را الزامی میکند که هدف از آنها حفاظت از اطلاعات و کنترل و ثبتِ دسترسی به چنین اطلاعاتی است. فرآیندهای دستوری، شاملِ کنترلهای اصالتسنجی برای دسترسی اشخاص به EPHI، ملزومات رمزبندی/رمزگشایی، کنترلهای حسابرسی، و سازوکارهایی برای اطمینان از صحت دادهها میشوند.
قاعدهی امنیتی، گذشته از این دستههای کلی، شاملِ ملزومات دیگری نیز میشود: طبق توافقنامهای کتبی، باید این اطمینان ایجاد شود که نهادهایی که با نهادی تحتپوشش EPHI مبادله میکنند، اقدامات امنیتی مناسب و معقول را رعایت میکنند، و ملزم کردنِ آن نهادها به استانداردهای توافقشده؛ توسعهی روندها و خطمشیهایی کتبی برای پیادهسازیِ ملزومات قاعدهی امنیتی، انتشار این روندها، و بازدید و بهروزرسانیِ دورهای آنها با توجه به تغییراتی که در تهدیدها، آسیبپذیریها، و شرایط عملیاتی رخ میدهند.
ساربانز-اوکسلی
قانون ساربانز-اوکسلی ۲۰۰۲ (SOX) برای مدیران اجراییِ ارشدِ شرکتهایی با بازرگانی عمومی، مسئولیت قانونی ایجاد میکند، از جمله محکومیتهای سنگین حبس و جریمههایی تا ۵,۰۰۰,۰۰۰ دلار به ازای هر تخلف، برای تایید آگاهانهی ترازنامههایی مالی که ملزومات مادهی قانونی مربوطه را برآورده نمیسازند.۴۰ بخش ۴۰۴ از SOX، بنابر قواعد اعلامشده توسط کمیسیون بورس و اوراق بهادار (SEC)، مدیران ارشد را ملزم میسازد که موارد زیر را تصدیق نمایند: «(۱) مسئولیت مدیران برای احراز و برقراریِ ساختار و روندهای کنترل داخلیِ مناسب برای گزارش مالی؛ و (۲) …بازدهِ ساختار و روندهای کنترل داخلیِ منتشرکننده برای گزارش مالی.»۴۱ بخش ۳۰۲ نیز بنابر مقررات SEC این الزام را دارد که مأموران امضاکنندهی گزارشهای مالی شرکت تصدیق کنند که «مسئولِ احراز و برقراریِ کنترلهای داخلی» هستند و «بازدهِ» آن کنترلها را «ارزیابی کردهاند» و نتیجهگیریهای خود را نیز به همان شکل گزارش کردهاند.۴۲
قانون مدیریت و امنیت اطلاعات فدرال
قانون مدیریت و امنیت اطلاعات فدرال ۲۰۰۲، که مورد تجدیدنظر قرار گرفته است، (FISMA) بهطور مستقیم مسئولیتی برای حرفهایهای امنیت اطلاعات بخش خصوصی در قبالِ مشتریانشان ایجاد نمیکند.۴۳ اما، حرفهایهای امنیت اطلاعات باید از این قانون آگاهی داشته باشند، زیرا این قانون:
- قانوناً فرآیندی را الزامی میکند که ملزومات امنیت اطلاعات باید طبق آن فرآیند، برای شعب و دوایر دولتی فدرال توسعه داده و پیادهسازی شوند
- دولت فدرال رو به مسیری هدایت میکند که در خصوص «بِهرویّهها»ی کاربردی به بخش خصوصی نظر داشته باشد و در موردِ امنیت اطلاعات همکاری لازم را با بخش خصوصی داشته باشد (در صورت درخواست)
- با الزام برخی از روندها و خطمشیهای معین، در توسعهی «استاندارد مراقبتی» برای امنیت اطلاعات مشارکت میکند
قانون فِرپا و تیچ
قانون حقِ حفظِ حریم شخصیِ آموزشیِ خانواده (FERPA) برنامهها و دوایر آموزشی را از اتخاذِ خطمشی یا رویّهی «اجازهی انتشار»ِ سوابق آموزشی معین منع میسازد، کاری که در صورت انجامِ آن خطرِ از دست دادن اعتبارات فدرال است.۴۴ فِرپا بیان نمیکند که آیا این ممنوعیت، ملزومات تصدیقآمیزی بر دوش مؤسسات آموزشی قرار میدهد تا با استفاده از اقدامات امنیت اطلاعاتی، از دسترسی غیرمجاز به این سوابق جلوگیری نمایند، یا نه. قطعاً این احتمال وجود دارد که دادگاهی در آینده بتواند اینگونه نتیجهگیری نماید که مؤسسهای آموزشی، که نتوانسته است اقدامات امنیت اطلاعاتیِ مناسبی را برای جلوگیری از دسترسی غیرمجاز به اطلاعات حفاظتشده انجام دهد، طبق قانون فِرپا بهدلیلِ «اجازهی انتشار»ِ چنین اطلاعاتی مسئول است. قانون همآهنگسازیِ فنآوری، آموزش، و حقِّکپی ۲۰۰۲ («قانون TEACH») صریحاً مؤسسات آموزشی را ملزم میکند که اقداماتِ «بهلحاظ فنآورانه امکانپذیر»ی انجام دهند تا از اشتراک غیرمجازِ اطلاعات دارای حقّکپی جلوگیری نمایند، اطلاعاتی که فراتر از چیزهایی هستند که دانشجویان بهطور مشخص برای مطالعات خود به آنها نیاز دارند، و بنابراین، میتواند وظایف قانونی لازمالاجرای جدیدی در ارتباط با امنیت اطلاعات برای مؤسسات آموزشی ایجاد نماید.۴۵
قانون حریم شخصی ارتباطات الکترونیکی و قانون سوءاستفاده و کلاهبرداری رایانهای
این دو مادهی قانونی فدرال، با اینکه روندهای امنیت اطلاعاتیای را الزامی نمیکنند، مجازاتهای جزایی جدیای را برای هر شخصی ایجاد میکنند که دسترسی غیرمجاز به اسناد الکترونیکی بیابد. برخلاف قوانینی مانند HIPAA و GLB، این دو مادهی قانونی، صرفنظر از نوع اسناد الکترونیکیِ موردنظر، کاربرد گستردهای دارند. قانون حریم شخصی ارتباطات الکترونیکی (ECPA)، کاربرد یا شنودِ بدون اجازهی محتویات ارتباطات الکترونیکی را جرمی فدرال میسازد.۴۶ به همین ترتیب، قانون سوءاستفاده و کلاهبرداری رایانهای ۱۹۸۴ (CFAA) دسترسی غیرمجاز به گسترهی بسیار وسیعی از سیستمهای رایانهای (از جمله مؤسسات مالی، دولت فدرال، و هر سیستم رایانهای حفاظتشدهای که در تجارت بینایالتی بهکار رفته باشد) را جرمی فدرال میسازد.۴۷ در نتیجه، حرفهایهای امنیت اطلاعات باید مراقبت بسیاری داشته باشند- و متکی به حرفهایهای قانونیِ واجدشرایط و باتجربهای باشند- تا اطمینان یابند که اجازههایی که آنها از سوی مشتریان خود دریافت میکنند، بهاندازهی کافی وسیع و معین هستند تا مسئولیتهای جزاییِ بالقوهی موجود در ECPA و CFAA را خنثی سازند.
قوانین ایالتی
علاوه بر مواد قانونی و مقررات فدرالی که مشمول امنیت اطلاعات میشوند، قوانین ایالتی فراوانی نیز وجود دارند که، بسته به مکان نهاد و جاهایی که نهاد مربوطه تجارت خود را انجام میدهد، میتوانند ملزوماتی قانونی در ارتباط با کارِ حرفهایهای امنیت اطلاعات ایجاد کنند.
دسترسی غیرمجاز
در کولورادو (و دیگر ایالتها)، دسترسی، بهکارگیری، یا دسترسی یا بهکارگیریِ فراتر از حدّ مجازِ رایانه، شبکهای رایانهای، یا هر قسمتی از سیستمی رایانهای، جرم است.۴۹ هرگونه عملی علیه سیستمی رایانهای که منجر به خسارت، سرقت، یا هر هدف خلافکارانهی دیگری شود، جرم است. البته، آگاهی از این امر بهویژه برای حرفهایهای امنیت اطلاعات اهمیت دارد که دسترسی آگاهانه به سیستمی رایانهای بدون اجازه یا فراتر از حدّ دسترسی مجار، نیز جرم است. این یکی از دلایلی است که نشان میدهد این موضوع برای حرفهایهای امنیت اطلاعات، نقشی حیاتی دارد که با کمکِ مشاوری واجدشرایط و باتجربه، با تمام مشتریان خود، اجازهنامهای (LOA) فراگیر و بهدقت واژهپردازیشده را طی کنند (در ادامه بهتفصیل بحث شده است).
رویّههای بازرگانی فریبآمیز
رویّههای بازرگانی فریبآمیز، غیرقانونی هستند و بهطور بالقوه میتوانند هر کسی را که مرتکب آنها شود، محکوم به جرایم و خسارات مدنی سازد.۵۰ در کولورادو (مثل بسیاری از ایالتهای دیگر)، «رویّههای بازرگانی فریبآمیز» شامل این موارد میشوند:
- «آگاهانه مشخصات… [یا] مزایای کالاها، …خدمات، یا اموال را بهدروغ معرفی کردن»۵۱
- «کوتاهی در افشای اطلاعاتِ مربوطه به کالاها، خدمات، یا اموالی که آن اطلاعات در زمان تبلیغات یا فروش معلوم بودند، به شرطی که چنین کوتاهیای در افشای چنین اطلاعاتی بهقصدِ اغوای مصرفکننده برای ورود به تراکنشی صورت گرفته باشد»۵۲
مقررگرها از قوانینِ رویّههای بازرگانی فریبآمیز، و نه از استانداردهای مقرراتی یا ماده قانونی، استفاده کردهاند تا (از طریق دادخواهی) ملزومات امنیت اطلاعات را بر نهادهای موجود در صنایع تحمیل کنند.
اینها تنها دو نمونه از بسیاری از انواع قوانین ایالتی هستند که بالقوه میتوانند در بارهی حرفهایهای امنیت اطلاعات و مشتریان آنها بهکار گرفته شوند. علاوه بر این، رهنامههای مسامحهی قوانین نانوشته در هر ایالتی میتواند مسئولیت قانونی مدنی برای حرفهایهای امنیت اطلاعات و مشتریان آنها ایجاد نماید (در ادامه در بخش «یا کار خود را درست انجام میدهید یا روی اعتبار شرکت قمار میکنید: ابزارهایی برای کاهش مسئولیت قانونی» بحث خواهد شد).
درکِ قوانین ایالتی بیشماری که در خصوص امنیت اطلاعات، و هر نهاد خاصی بهکار گرفته میشوند، و نحوهی همپوشانی و تعامل چنین قوانینی با قوانین فدرال، پیچیده و همواره در حالِ تکامل است. حرفهایهای امنیت اطلاعات و مشتریان آنها باید با مشاور قانونیِ واجدشرایط و باتجربهای مشورت کنند تا آنها را در این محیط قانونیِ پُرتلاطم هدایت کند.
اقدامات اجرایی
آنچه «استاندارد مراقبتیِ متعارف» را در امنیت اطلاعات، همانند تمام عرصههای قانونی، تشکیل میدهد، همچنان تکامل خواهد یافت، و البته نه فقط از طریق مواد قانونی و مقررات جدید. دادستانان و مقررگرها منتظرِ چنین توسعههای قانونی و رسمیای نخواهند ماند. در دادخواهیها، و اقداماتی اجرایی علیه نهادها که مستقیماً تحت پوششِ مقررات یا مادهی فدرال یا ایالتیِ معینی قرار نمیگیرند، دادستانان و مقررگرها بهوضوح نشان دادهاند که اقدامات امنیت اطلاعاتیِ «متعارف» را حتی به آن دسته از نهادهایی بسط میدهند که صریحاً تحت پوششِ قوانین معین کنونی قرار نمیگیرند. این امر از طریق اقداماتی قانونی انجام میشود که منجر به مصالحه میگردند، و اغلب شامل قرارهای تراضی (موافقتنامههایی که برای پایان دادن به دادرسی یا اقدام مقرراتی به آنها دست مییابند) هستند که در آنها شرکت موافقت میکند که «داوطلبانه» به مقررگرها اجازه دهد تا (برای مثال، بهمدت ۲۰ سال) بر برنامهی امنیت اطلاعات شرکت نظارت کنند.۵۳
از آنجا که این موافقتنامهها در دسترس عموم قرار دارند، علاوه بر ایجاد انگیزهی افزوده برای اقدامات اجراییِ مشابه در آینده، به «استاندارد مراقبتی»ای اضافه میشوند که نهادها آنها را بهکار خواهند گرفت. بنابراین، مشتریانِ حرفهایهای امنیت اطلاعات نباید در این مورد چندان آسوده باشند که هنوز قوانین معینی صریحاً بخشها یا صنایع اقتصادی آنها را هدف نگرفتهاند.
سه مغالطهی خطرناک
عقل سلیم، چیزی قدرتمند و خطرناک است، همانطور که دانش اندک نیز چنین است. شوربختانه، بسیاری از نهادهایی که فکر میکنند ملزومات قانونی و دیگر ملزوماتِ امنیت اطلاعات را در اختیار دارند، دچار برخی از مغالطههای مشخص شدهاند که گاهی تصمیمات امنیت اطلاعاتی آنها را کنترل میکنند. بدتر از آن، تعداد چشمگیری از تأمینکنندگانِ امنیت اطلاعات که باید آگاهی بیشتری داشته باشند، نیز قربانیِ این مغالطهها میشوند. بنابراین، اجازه دهید به این بهانه، روشنگری کنیم.
مغالطهی «تکقانون»
بسیاری از حرفهایهای امنیت اطلاعات، هم در بین نهادهای تجاری و آموزشی، و هم در میان جهانِ درحالِرشدِ مشاوران، دچار مغالطهی «تکقانون» میشوند. علت این امر آن است که آنها مادهای قانونی یا مجموعهای از مقررات را شناسایی میکنند که بهوضوح در خصوص مؤسسهای معین صدق میکند و اینگونه فرض میکنند که با برآورده ساختن شرایطِ همان یک استاندارد، به تمام خطرات قانونی پایان دادهاند. ممکن است این فرض صحیح باشد، اما در بسیاری از موارد نیست. چنین چیزی را فرض کردن، بدون مشاوره با مشاور قانونی واجدشرایط و باتجربه، میتواند خطایی گزاف باشد.
برای مثال، کالج یا دانشگاهی متوسط را درنظر بگیرید. ممکن است حرفهایهای امنیت اطلاعات اینگونه استدلال کنند که، از آنجا که فِرپا بهوضوح در بارهی سوابق آموزشی صدق میکند، رهنمودی که برای کالجها و دانشگاهها سازمان داده شده است، رهنمودی که طبق استدلال آنها بر اساس استانداردهای مناسب وزارت آموزش است، برای رفع هر نوع مسئولیت قانونیِ احتمالی کافی است. بدتر از آن، ممکن است آنها تصمیم بگیرند که خطر کنند و روی آن شرط ببندند، روی ابهام مفروض کنونی در بارهی اینکه آیا فِرپا نیاز به کنش تصدیقآمیز برای جلوگیری از دسترسی غیرمجاز به چنین سوابقی دارد یا نه، اینکه آیا آنها باید گامهای تصدیقآمیزی بردارند و از چنین دسترسیای جلوگیری نمایند یا نه. این کار، قماری گزاف است، بهویژه اگر مؤسسهی آموزشی پرسشهای زیر را از خود نپرسیده باشد:
- آیا مدرسه کمک مالی اعطا میکند یا دیگر اَشکالِ اعتباری را گسترش میدهد؟ در آن صورت، میتواند تابعِ GLBA باشد.
- آیا بیمارستانها را میگرداند، خدمات مشاورهی روانپزشکی میدهد، یا خدمات بهداشتی دانشجویی ارائه میکند؟ در آن صورت، میتواند تابعِ HIPAA باشد.
- آیا وبگاه مدرسه حاویِ هیچ معرفیای در بارهی امنیت سایت و/یا اطلاعات دانشگاهی است؟ در آن صورت، میتواند تابعِ دادخواهیهایی تحت یک یا چند (بسته به اینکه پردیسهایی در چندین ایالت داشته باشد یا نه) قانون ایالتیِ رویّهی بازرگانی فریبآمیز باشد.
مغالطهی نهاد خصوصی
برخی از مؤسسات، با تمرکز بر SOX و گرایش آن بر شرکتهای با بازرگانی عمومی، از اینکه خصوصی هستند آرامش خاطر مییابند و در واقع، استدلال آنها این است که آنها موضوعِ بحث SOX نیستند و/یا اینکه آنها میتوانند بهنوعی «زیرِ رادار»ِ مقررگرها و دادخواهان مدنیِ فدرال «پرواز کنند.» باز هم، یک شرطبندی خطرناک. اول اینکه، احتمالِ اینکه مقررات جامعِ امنیت اطلاعات فدرال به مرزی فراتر از شرکتهای با بازرگانی عمومی برسند، هر روز افزایش مییابد. دوم اینکه، هر کسی که تصور میکند وکلای خواهانهای آینده (دانشجویان، اساتید هیئت علمی، قربانیان حمله یا سرقت هویت) از عبارات لفظیِ SOX بر حذر خواهند بود، دچار اشتباه شدهاند. استدلالی که میتوان داشت (بهعنوان برگ برنده) این است که «استاندارد مراقبتی»ِ مناسب برای امنیت اطلاعات، در دسترس عموم و کاملاً شناختهشده بوده است. این بوده که یک مادهی قانونیِ خاص نمیتواند به معنای صریح و واضح خود در موردی صدق کند، نمیتواند موجب آسودگیِ خاطرِ نهادها نسبت به استاندارد مراقبتی شود و تکلیف آنها نباید کماهمیت و ناچیز شمرده شود. سوم و از همه مهمتر اینکه، نگاه تنگنظرانه نسبت به SOX (یا هر قانون و مقررات مجزای دیگری) که منجر به استثنا شدنِ بسیاری از دیگر منابع بالقوهی مسئولیت گردد، موجب آسودگی خاطرِ نهادها نسبت به دیگر مسئولیتهای آنها نخواهد شد؛ مسئولیتی که آنها در قبالِ فراگیری و پیروی از الزاماتی دارند که دیگر منابع قانونی، از جمله HIPAA، GLBA، مواد قانونی ایالتی، و نظریههای قوانین نانوشته، و قوانین وابسته به جایی که نهاد مربوطه کسبوکار خود را انجام میدهد، قانون بینالملل و خارجی، مانند دستورالعمل حریم شخصی اتحادیهی اروپا که پیچیده و سنگین است، و الخ مشخص میکنند.۵۴
مغالطهی «فقط یک نفوذ آزمایشی»
هر حرفهایِ امنیت اطلاعات، احتمالاً بیش از یک بار، با مشتریِ «فقط یک نفوذ آزمایشی» برخورد داشته است. این مشتری یا مطمئن است که وضعیت امنیت اطلاعاتِ آنها آنقدر خوب است که آنها فقط نیاز به شخص خارجیای دارند تا تلاش کند که سیستم آنها را «دربشکند» (نفوذ آزمایشی انجام دهد) تا ثابت شود که چقدر خوب هستند، یا نیازِ دیوانسالارانهی داخلیای احساس میکند تا به افراد دیگرِ شرکت اثبات کند که سیستمهای آنها چقدر ناایمن هستند. معمولاً، مشتری بودجهی محدودی دارد یا در واقع نمیخواهد پول زیادی صرف کند و از حرفهایِ امنیت اطلاعات نیز انتظارِ «ضربهای سریع» را دارد تا نکتهای دیوانسالارانه را اثبات کند. یکی از متغیرهایی که در این زمینه وجود دارد، مشتری است که از همان ابتدا انتظارِ نفوذی آزمایشی را دارد، پیش از آنکه تصمیم گرفته باشد تا کجا باید در مسیرِ برآورد/ارزیابیِ امنیت اطلاعات پیش رفت.
دیگر از این روشنتر نمیتوان گفت که: راهاندازیِ نفوذ آزمایشی فاجعهآمیز است، بهویژه اگر هیچ راهی برای جلوگیری از افشای نتایج بهدستآمده نباشد (بخشِ «مصونیت وکیل-موکل» را در ادامه ببینید). راهاندازی نفوذی آزمایشی، بدون برقراریِ رابطهای فراگیرتر و بلندمدتتر با وکلای واجدشرایط و باتجربه و، از طریق آنها، با مشاوران فنی امنیت اطلاعات، میتواند عواقب قانونیِ وحشتناکی بهدنبال داشته باشد. بهویژه اگر این کار از همان ابتدا بدونِ برآورد، ارزیابی، و بازسازیِ بینراهِ مناسب صورت گیرد، نه تنها به احتمال قریب به یقین، مشتری در این نفوذ آزمایشی شکست خواهد خورد، بلکه این شکست در قالبِ گزارشی مستند خواهد شد که تحت هیچ مصونیت وکیل-موکل یا دیگر حفاظتهای جلوگیریکننده از افشا قرار نخواهد داشت.
بهطور خلاصه، آزمایشی که در بدترین زمان ممکن در طی فرآیند انجام شود، بهلحاظِ آسیبپذیریهای موجود، کاملاً در معرض کشف و افشا بهوسیلهی رقبای آیندهی مشتریان شما خواهند بود. از دیدگاهِ حرفهایِ فنی امنیت اطلاعات، این امر میتواند منجر به این نیز گردد که شما بعدها مجبور شوید نسبت به ریزترین جزئیات کار خود برای مشتری، روششناسی و «اسرار تجاری» خود، و محصول کاری خود، بهطور عمومی و با یادِ سوگند، شهادت دهید.۵۵
یا کار خود را درست انجام میدهید یا روی شرکتِ خود قمار میکنید: ابزارهایی برای کاهش مسئولیت قانونی
در سالهای اخیر، مقالات فراوانی در بارهی نحوهی حفاظت از شبکهی خود از منظر فنی نوشته شده است،۵۶ اما دستِکم از اواسط سال ۲۰۰۵، سرخطهایی برجسته شدند با نمونههایی از شرکتهایی که اطلاعات حیاتی خود را به دلیلِ امنیت ناکافی از دست دادهاند. از چویسپوینت، دیاِسدبلیو شوز، چندین دانشگاه، مؤسسات مالی از جمله بانک امریکا و واچوویا، مَستِرکارت و دیگر اعتباردهندگان، و حتی FBI در مقالات خبری اخیر به دلیل از دست دادنِ اطلاعات حیاتی نام برده شده است. بهعنوان نمونه، چویسپوینت به دلیل اقدامات رخداده در ایالاتی از کالیفرنیا گرفته تا نیویورک و ایالت خانگیاش، جئورجیا، در سال ۲۰۰۵ تحت پیگرد قرار گرفت. اتهامات طرحشده در دادخواست شامل این بود که چویسپوینت در «ایمنسازی و محرمانه نگاه داشتنِ اطلاعات شخصی، مالی، و دیگر اطلاعاتی که از طرف مصرفکنندگان به امانت بهدستِ چویسپوینت سپرده شده است» کوتاهی کرده است۵۷؛ در حفظ و نگاهداریِ روندهای مناسب برای اجتناب از افشای برخی از اطلاعات مالی و اعتباری خصوصی به اشخاص ثالثِ غیرمجاز، کوتاهی کرده است؛ و نسبت به حقوق مشتریان خود برای حفظ حریم شخصی، «عمداً، بیاعتنایانه، و/یا با بیملاحظگیِ آگاهانه» رفتار کرده است.۵۸ نظریههای قانونیای که در دادخواستهای آتیِ مرتبط با امنیت اطلاعات بهکار خواهند رفت، تنها محدود به ابتکار وکلایی خواهند بود که این دادخواستها را تنظیم میکنند.
چندان دور از تصور نیست که هر کسی که نقش عمدهای در امنیت اطلاعات بر عهده دارد، دیر یا زود تحت پیگرد قرار گیرد، خواه دادخواست مربوطه پوچ و بیمعنی باشد یا نباشد. این امر، واقعیتی است که در زندگی تجاری وجود دارد. بنابراین، مشاوران امنیت اطلاعات چگونه میتوانند به مشتریان خود کمک نمایند تا «رخنمای هدف»ِ دادرسی خود را کاهش دهند؟
ما تمام تلاش خود را کردیم؛ مشکل چیست؟
بسیاری از شرکتها احساس میکنند که کارکنان امنیت و فنآوری اطلاعات داخلیِ آنها تمام تلاش خود را میکنند تا شبکههای آنها را نگاهداری و ایمن سازند. آنها حتی بهطور دورهای نفوذهایی آزمایشی انجام میدهند و تلاش میکنند که از میان صدها صفحهی مجزا از «آسیبپذیریهای» شناساییشده در گزارشهای بهدستآمده، سردرآورند. پس چرا بهاندازهی کافی خوب نیست؟ پاسخ این است که «تمام تلاش خود را انجام دادن» برای ایمنسازی و نگاهداریِ سیستمی شبکهای، کافی نخواهد بود مگر اینکه بر این بنا استوار گردد که با استانداردهای قانونی خارجی (که پیش از این بحث شدند) تطابق داشته باشد. نفوذهای آزمایشی بهتنهایی چندان کافی نیستند که بتوان اقداماتی منطقی را به نمایش گذاشت که استاندارد مراقبتی برای امنیت اطلاعات را برآورده سازند. در مورد چویسپوینت، دستِکم بر اساس آنچه از اواسط سال ۲۰۰۵ برای عموم آشکار شده است، نفودهای آزمایشی کمکی نکردهاند. بهنظر میرسد چویسپوینت قربانیِ افرادی شده است که فریبکارانه خود را تاجر وانمود کردهاند و مردم را فریفتهاند تا چیزهایی را به آنها بدهند که اطلاعات ایمن دیگری بودهاند.
اصلاحِ هر کدام از نقاط شکستِ بالقوهی ویژه، تقریباً هرگز کافی نخواهد بود. امروزه شرکتها باید منابع بالقوهی مسئولیت را بشناسند، آنهایی را که در موردِ تمام نهادهای تجاری، و نیز آنهایی را که فقط در خصوصِ صنعت آنها صدق میکنند. یک شرکت، تنها از طریق درکِ محیط قانونی و اقتباس و پیادهسازیِ خطمشیهایی برای اطمینان از دسترسی به سطح بالایی از تطابق با ملزومات قانونی رایج، میتواند خطر مسئولیت را کمینه سازد. البته، این روش سیستمی نمیتواند ایستا نباشد. این کار نیاز به بازدید و پیادهسازیِ مداوم دارد تا این اطمینان ایجاد شود که در تطابق با محیط قانونیِ هموارهمتغیّر است.
مبنای مسئولیت
مسئولیت قانونیِ شرکت میتواند در اثرِ موارد زیر افزایش یابد: (الف) استانداردها و مجازاتهای تحمیلی از سوی دولتهای فدرال، ایالتی، یا محلی؛ (ب) نقض موافقتنامههای قراردادی؛ یا (پ) خطاهای مدنی (شبهجرم) غیرقراردادیِ دیگر از کلاهبرداری، تعرض به حریم شخصی، و اختلاس گرفته تا رویّههای بازرگانی فریبآمیز و مسامحه. برای اجتناب از مسئولیتِ خلافکاریِ جزایی باید از مواد قانونی و مقرراتی که در خصوصِ کسبوکار شما صدق میکنند، نیز آگاهی یافت و به آن ملزومات پایبند بود. ممکن است مواد قانونی فدرال و ایالتی هم موجب تحمیلِ مجازاتهایی جزایی شوند و هم مبنایی برای دادخواستهای خصوصی تشکیل دهند.
مسامحه و «استاندارد مراقبتی»
ترکیبِ بودهها و رخدادهایی که در صورتِ نقض امنیت اطلاعات میتوانند موجبِ دعاویِ مدنی گردند و تأثیرات معینی که بر عملیات تجاری میگذارند، بیش از آن هستند که بتوان همه را ریزبهریز مطرح کرد. درکِ مبنای مسئولیت و انجام کسبوکار بهروشی که از مسئولیت اجتناب گردد، بهترین دفاع است. در بسیاری از موارد، دعویِ مسئولیت بر مبنای اتهامی است که شرکت و کارمندان و مدیران آن «مسامحهکارانه» انجام دادهاند. در قانون، «مسامحه» زمانی رخ میدهد که یک طرف انجامِ تکلیفی قانونی را به دیگری مدیون است، در خصوصِ آن تکلیف نقضِ عهد صورت میگیرد، و این نقض موجب وارد آمدنِ خساراتی به طرفِ زیاندیده میگردد. عموماً، رفتار «متعارف» در شرایط و مقتضیات موجود، موجب میشود که از «مسامحهکار» شناخته شدنِ مشاوران امنیت اطلاعات و مشتریان آنها جلوگیری شود.۵۹ نکته اینجا است که آنچه «متعارف» شناخته میشود: (۱) هم به شرایط ویژهی وضعیتهای فردی بستگی دارد؛ و (۲) هم همگام با اینکه قوانین و مقررات جدیدی منتشر میشوند و آسیبپذیریها، بردارهای حمله، و ضدّپیشبینیهای موجودِ جدیدی شناخته میشوند، همواره در حالِ تکامل است.
قطعاً، زمانی که شرکتی از اطلاعات مشتریِ شخصی یا محرمانه نگاهداری میکند، یا توافق کرده است که اطلاعات اسرار تجاریِ بنگاه دیگری را بهصورتِ محرمانه نگاه دارد، کمترین تکلیف آن شرکت این است که مراقبت متعارف را برای ایمنسازیِ سیستمهای رایانهای خود بهکار بندد تا از سرقت یا افشای سهویِ اطلاعاتی که به آن سپرده شده است، جلوگیری نماید. مراقبت متعارف میتواند از استانداردی بینهایت بالا برخوردارد باشد تا با تعبیهی اطمینان و محرمانگی در شرکت، بتوان اطلاعات حساس را ایمن ساخت، یا میتواند در حدّ استانداردی مراقبتی باشد که عموماً از سوی دیگر شرکتهای آن صنعت بهکار گرفته شده است.
«استاندارد مراقبتی»ِ متعارف چیزی است که قانون به این صورت تعریف میکند: حداقل اقداماتی که شرکتی باید انجام دهد تا مسامحهکاری نکرده باشد (یا، به بیان دیگر، بهطور متعارف عمل کرده باشد). یکی از بنیانهای قوی برای اجتناب از مسئولیت در قبال دعاوی مدنی این است که انجامِ امور شرکت را بر اساس استاندارد مراقبتیِ شناختهشدهای استوار کرد که از مسئولیت در قبالِ مسامحهکاری جلوگیری میکند.
استاندارد مراقبتیِ متعارف و مناسب در هر صنعت و وضعیت مفروضی میتواند از چندین منبع ناشی شود، از جمله مواد قانونی، مقررات، تکالیف قوانین نانوشته، خطمشیهای سازمانی، و وظایف قراردادی. دادگاهها به میزانِ پیشبینیپذیریِ انواع ویژهی آسیب نظر دارند تا به تعیینِ استاندارد مراقبتیِ یک صنعت کمک نمایند. به بیان دیگر، بنگاهی تجاری باید مراقبت متعارف را بهکار بندد تا از خسارتی اقتصادی که باید پیشبینی میشده، جلوگیری شود. در نتیجهی تشهیرِ مداومِ انواع جدیدِ آسیبهای ناشی از نقضِ امنیت اطلاعات، روزبهروز «پیشبینیپذیر»تر است که ممکن است اطلاعات حیاتی از طریق دسترسی غیرمجاز از دست بروند، و خطمشیها و رویّههایی که برای حفاظت از آن اطلاعات استفاده شدهاند نقش مرکزی را در آن مسامحهکاری بر عهده داشتهاند.
چه باید کرد؟
آگاهی کامل از خطرات، که بهوسیلهی مشاور واجدشرایط و باتجربه برآورد شده باشند، اولین گام اساسی است. انجام کاری که در صورتِ ایجاد اِشکال، یا از مسئولیت جلوگیری نماید یا عواقب آن را کمینه سازد، گام بلند بعدی است. موارد زیر، پیشنهاداتی هستند که در این مسیر به شما کمک خواهند کرد.
محیط قانونی خود را درک کنید
کاهش مسئولیت قانونی با درکِ قوانینی آغاز میشود که نسبت به کسبوکار یک شرکت بهکار میروند. (مجموعهی گوناگونی از ملزوماتی قانونی که بالقوه قابلاجرا هستند، در بخش «استانداردهای قانونی مرتبط با امنیت اطلاعات» در بالا بهطور خلاصه آمدهاند.) عدم آگاهی از قانون عذر موجهی نیست، و کوتاهی در همگامی با ملزومات مادهقانونی اولین منبعِ مسئولیت است. همکاری با حرفهایهای، چه داخل و چه خارجِ شرکت، برای دنبال کردنِ تغییراتِ رخداده در قانونگذاری و متناسبسازیِ خطمشیهای امنیت اطلاعات خود، اولین خطّ دفاعی است. تطابق مراقبتآمیز با قوانین نه تنها کمک میکند که احتمالِ مسئولیت جزایی یا جرایم اجرایی کاهش یابد، بلکه مدارکی برای استاندارد مراقبتی ارائه میکند که میتواند مسئولیت مدنی را کاهش دهد.
برآوردها، ارزیابیها، و پیادهسازیِ امنیت فراگیر و مداوم
شرکت با همکاری با مشاوران قانونی و مشاوران فنیِ واجدشرایط و باتجربه، باید اطلاعاتی را که کنترل میکند، شناسایی و اولویتبندی نماید، اطلاعاتی که ممکن است نیاز به حفاظت داشته باشند، و ملزومات قانونیِ معینی را فهرست کند که در خصوصِ چنین اطلاعاتی و نوع کسبوکاری که شرکت در آن فعالیت میکند، صدق میکنند. سپس، باید خطمشیهایی توسعه داده شوند تا این اطمینان ایجاد شود که اطلاعات مربوطه بهطور مناسب نگاهداری و نظارت میشوند و اینکه پرسنلِ شرکت طبق آن خطمشیها رفتار میکنند. ارزیابیهای خطمشی باید شاملِ ملزومات قانونی قابلاجرا، و نیز روندهای متعارفی برای آزمایش و حفظِ امنیتِ سیستمهای اطلاعاتی باشند.
بسیار حیاتی است که چرخهی استفاده از برآوردها/ارزیابیهای شخصثالث و بیطرف و خارجی، پیادهسازی و بهبود، و برآورد مجدد، مداوم باشد. انجامِ برآورد/ارزیابیِ ایستا بدتر از آن است که اصلاً هیچ ارزیابی یا برآوردی نباشد. در واقع پیادهسازیِ نتایجِ برآوردها/ارزیابیها، بدون اینکه بازبرآورد یا اصلاحی روی آنها صورت گیرد یا در بارهی آنها آموزش کافی به کارمندان داده شود، یا بدون ارزیابیِ کارمندان در خصوصِ درک و پیادهسازیِ چنین نتایجی، تقریباً به همان اندازهی قبلی بد است.
برای تعیین حقوق و حفاظت از اطلاعات از قراردادها استفاده کنید
بسیاری از بنگاههای تجاری فرآیندِ استفاده از قراردادها و پیروی از ضوابط آن قراردادها را، راهی برای اجتناب از دعاویِ نقضِ تعهد میدانند. آنچه چندان آسان مشخص نمیشود این است که وظایف قراردادی چگونه بر احتمالِ مسئولیت مدنی اثرگذار هستند، مسئولیتی که مبتنی بر این امر است که در بنگاهی معین، اطلاعات چگونه ایمن و مدیریت میشود؟ بسیاری از عرصههای موجود در کسبوکار شرکت نیازمندِ این هستند که قراردادهایی توسعه و سازمان داده شوند تا از ایجاد مسئولیت جلوگیری گردد و صحتِ بنگاه حفظ گردد. یکی از نمونههای آن، قانون اسرار تجاریِ همسان (UTSA) است، که تقریباً در تمام ایالات بهکار گرفته شده است و هدف از آن حفاظت از اطلاعات محرمانهی باارزش برای بنگاه تجاریِ یک شرکت است. طبق UTSA، اطلاعات محرمانه میتوانند چیزهایی مانندِ فرمولها، الگوها، تألیفها، برنامهها، افزارهها، روشها، شیوهها، یا فرآیندهایی باشند که ارزش اقتصادیِ مستقل آنها از آنجا ناشی میشود که برای عموم شناختهشده نیستند و شرکت مربوطه اقدامات متعارفی برای حفظ محرمانه بودنِ آنها انجام داده است. تقریباً هر شرکتی اسرار تجاریای دارد- از فهرستهای مشتری گرفته تا روششناسیهای تجاری خود که به آنها مزیت رقابتی میبخشد. اگر شرکت در انجام اقدامات متعارف برای محرمانه نگاه داشتنِ این اطلاعات کوتاهی کند، هر نوع حفاظتی برای این سرمایههای ارزشمند ضایع خواهد شد.
دستِکم باید قراردادهایی توسعه داده شوند تا کارمندان را متعهد سازند که اسرار تجاری شرکت، یا هر نوع اطلاعاتی را که قانوناً ملزم به حفاظت هستند (برای مثال، اطلاعات مالی یا مراقبت بهداشتی فردی)، افشا نسازند. این موافقتنامهها اغلب در صورتی که در زمان استخدام و بهعنوانِ شرط استخدام بهکار گرفته شوند، بیشترین اثرگذاری را دارند. دلیل این امر آن است که اغلبِ قراردادها نیاز به اعتباری برای پشتیبانی از لازمالاجرا بودنِ آنها دارند و نیز اینکه تأخیر در الزام به موافقتنامهی عدمِ افشا ممکن است منجر به افشای اطلاعات حساس پیش از انعقاد قرارداد گردد.
خطمشیهای استخدامی باید بر وظیفهی کارمند به حفظ محرمانگی تأکید داشته باشند. این خطمشیها باید رهنمودهای شفافی نیز در بارهی روندهایی ارائه دهند برای بهکارگیری و حفظِ گذرواژهها و برای استفادهی مسئولانه از اطلاعاتی که روی شبکه ایمن شدهاند. مصاحبهها و دورههای آموزشی برای کارمندان باید بهطور مرتب پیادهسازی شوند تا روی این موضوع تأکید کنند که این ملزومات لازمالاجرا هستند و از طرف مدیریت جدی گرفته شوند. فروشندگان و خدماتدهندگانی که ممکن است نیاز به بازدید اطلاعات محرمانه داشته باشند تنها باید طبق موافقتنامهای که استفاده از آن اطلاعات را محدود میسازد، و نیز موافقت با حفظِ محرمانگیِ آنها، امکان دسترسی مجاز به چنین اطلاعاتی را داشته باشند. استخدامِ مشاور برای انجام ارزیابیِ امنیت شبکه بدون انعقاد موافقتنامهی مناسبی برای حفظ محرمانگی، میتواند بعدها بهعنوان مدرک قانعکنندهای مطرح گردد که نشان میدهد شرکتی در اجرای اقدامات متعارف برای محرمانه نگاهداشتنِ اطلاعات کوتاهی کرده است، نتیجه میشود اینکه دیگر این اطلاعات جزء اسرار تجاریای نیستند که مستحق حفاظت باشند.
از حرفهایهای شخص ثالثِ واجدشرایط استفاده کنید
همکاری با حرفهایهای امنیت اطلاعات واجدشرایط برای پیادهسازیِ رهیافتهای سختافزاری و نرمافزاری مناسب برای کمینهسازیِ نقض امنیتی، کاری حیاتی است، اما هرگز کافی نیست. این کارها باید در پیوند با سیستمی از آزمایش و بازآزمایشِ ارزیابی که ملاحظات قانونی را در آن میگنجاند، و تحت برنگری و راهنماییِ مشاور قانونی واجدشرایط و باتجربه انجام شوند.
علاوه بر این، کار با مشاور خارجیِ واجدشرایط و باتجربه واقعاً میتواند موفقیت در رخدادی را که دعاویِ مسامحه در آن مطرح شدهاند، بهبود بخشد (استفاده از وکلا و حرفهایهایی فنی که برای انجامِ برآوردها و ارزیابیهای مداوم و فراگیر آموزش دیدهاند، مدرکی است برای متعارف بودنِ اقداماتی که برای جلوگیری از خسارت انجام شدهاند). ممکن است کارکنان داخلی شرکتها به یک اندازه صلاحیت داشته باشند تا راهبردهای امنیت اطلاعات را توسعه دهند و پیاده سازند، اما مقررگرها، دادگاهها، و هیئتمنصفهها به این توجه خواهند کرد که آیا شرکت پیش از بروز مشکل، از مشاوران فنی و مشاور قانونیِ خارجیِ واجدشرایط و باتجربهای بهره بردهاند یا نه. کار با این کارشناسان، احتمالِ پیروی از بِهرویّهها را افزایش میدهد و بازدید مستقل، بهترین راه برای کاهش خسارات پیشبینیپذیرِ اطلاعات حساس است.
همانطور که در ادامه بهتفصیل بحث خواهد شد، بهرهگیری از حرفهایهای خارجی به روشی که مصونیت وکیل-موکل ایجاد کند، (در صورتِ کنشِ دادرسی مدنی، مقرراتی، یا حتی جزایی) میتواند حفاظتی باشد در برابرِ افشای آسیبپذیریهایی از سیستم که در فرآیندهای ارزیابی و برآوردِ امنیت اطلاعات کشف شدهاند. البته، این مصونیت مطلق نیست و ممکن است کاربردهای عملیِ متفاوتی در زمینههای مدنی و جزایی داشته باشد و بهویژه زمانی که مشتری تصمیم به اظهارِ دفاعیهای از نوعِ «توصیهی مشاور» میگیرد.
یکی از ملزومات کلیدی که بهعنوانِ بخشی حیاتی از استانداردهای مراقبتیِ امنیت اطلاعاتِ در-حالِ-تکامل پدیدار شده است، این الزام است که باید بازدیدی خارجی از سوی اشخاص واجد شرایط و بیطرف صورت گیرد.۶۰ این ملزومات مبتنی بر این نظریهی درست هستند که، هیچ فرقی نمیکند که کارکنان امنیت اطلاعات و فنآوری اطلاعاتِ یک نهاد چقدر واجدشرایط، کارشناس، و خوبنیّت باشند، در هر حال امکان ندارد آنها بهراستی بیغرض باشند. علاوه بر این، مسئلهی «روباه در لانهی مرغ» بروز پیدا میکند، که مدیران ارشد را در این فکر فرو میبرد که آیا آنهایی که عهدهدارِ ایجاد و حفظ امنیت اطلاعات هستند میتوانند منصفانه و بیغرضانه کارآییِ چنین امنیتی را برآورد کنند و خواهند کرد یا نه. در نهایت، مشاوران فنی و مشاور قانونیِ خارجیِ واجدشرایط و باتجربه، دورنما و وسعتِنظری از تجربه و بهروز بودن را بههمراهِ آخرین توسعههای فنی و قانونی به ارمغان میآورند که کارکنان درونسازمانی معمولاً نمیتوانند چنین چیزی را بهطور بهصرفه انجام دهند.
اطمینان از همگامیِ برآوردهایِ استانداردهای مراقبتی خود با تکامل قانون
همانطور که در بالا بیان شد، تعریف قانونی از استاندارد مراقبتیِ «متعارف» همواره در حالِ تکامل است. خطمشیگذاران، تهدیدات و خسارات اقتصادیِ اساسیای را که بهموجبِ حملات سایبری ایجاد میشوند، جدی میگیرند. قوانین جدیدی همچنان در حالِ وضع هستند تا حملهکنندگان را مجازات کنند و مسئولیت را متوجه شرکتهایی سازند که در انجام اقدامات متعارف برای امنیت اطلاعات کوتاهی کردهاند. هماکنون وظایف قراردادی میتوانند بهطور آنی و خودکار بهسادگی توسط مشتریان جدیدی ایجاد شوند که در سراسر اینترنت، و بنابراین، سراسر جهان به وبگاه مشتریِ شما دسترسی مییابند و از خدمات آنها استفاده میکنند. همین که آسیبپذیریها، حملات، و ضدّپیشبینیهای جدیدی در مرکز توجه عموم قرار میگیرند، تکالیف جدیدی ظهور پیدا میکنند. بهطور خلاصه، آنچه ماهِ پیش «متعارف» بوده است، ممکن است این ماه متعارف نباشد.
ارزیابیها و برآوردهای امنیت اطلاعات، ابزاری برای ارزیابی بِهرویّهها و افزایش تطابق با آنها ارائه میدهند، بِهرویّههایی که برای حفاظت از اطلاعات حیاتی بهکار میروند؛ منتها، آنها، در بهترین حالت، صرفاً تصاویری آنی هستند مگر اینکه بهطور مرتب و مداوم انجام شوند. بِهرویّهها بهموجبِ درک و تطابق با قوانین صدقپذیر ایجاد میشوند، اما تنها از طریق پیگیری و پیادهسازیِ ملزوماتِ مادهقانونیِ در حالِ تکامل حفظ میشوند. همکاری با مشاور واجدشرایط و باتجربه برای پیگیریِ توسعههای قانونیِ جدید در این عرصهی سریعالسیرِ قانون و مشاوره گرفتن در خصوصِ تفسیر و پیادهسازیِ مناسبِ ملزومات قانونی، تبدیل به امری اساسی برای راهیابی در این گسترهی همیشهدرتغییر میگردد.
طرحی برای بدترین وضع داشته باشید
بهرغمِ تمام اقدامات مناسبی که صورت میگیرند، هیچچیزی نمیتواند شرکتی را کاملاً در برابر مسئولیت مصون دارد. کوتاهی در طراحیِ مدیریت بحران و راهبرد ارتباطاتی برای رخدادهایی مانند از دست رفتن یا در معرض خطر افتادنِ اطلاعات، میتواند موجب ایجاد دادخواستها و مسئولیت قانونی گردد، حتی اگر مدرکی در دست باشد که نشان دهد شرکت شما استاندارد مراقبتیِ متعارفی را برای حفاظت از اطلاعات بهکار بسته است. برای اجتناب از مسئولیت، باید طرحی نیز برای مشکلات داشت. برای مثال، یک دادخواستِ گروهی علیه چویسپوینت تنظیم شد که ادعا میکرد زمانی که شرکت در افشای وجود نقض امنیتی خود و میزان حقیقیِ اطلاعاتی که در خطر افتاده بودند، کوتاهی کرد (به مدت چند ماه)، سهامداران دچار گمراهی شدند. اگر خطمشیهای مناسبی ایجاد شده بودند تا راهبردی در خصوصِ نحوهی ارتباط با مشتریان و سهامداران احتمالی در اختیار مدیران اجرایی قرار میگرفت، میشد بهخوبی از این ادعاها جلوگیری کرد. در حال حاضر، کالیفرنیا قانونِ اعلانِ نقض امنیتی را دارد که در سال ۲۰۰۲ وضع شد.۶۱ از ماه میِ سال ۲۰۰۵، آرکانساس، جئورجیا، ایندیانا، مونتانا، نورث داکوتا، و واشنگتن با پیروی از همین الگو، قوانینی وضع کردهاند که افشای مسائل مرتبط با نقضهای امنیتی را الزامی میکند، و لوایحی نیز در دستِکم ۳۴ ایالت دیگر ارائه شدهاند تا این عرصه را تابع مقرراتی سازند.۶۲ از اواسط سال ۲۰۰۵، هیچ مقررات فدرال مشابهی وجود نداشته است، اگرچه، چندین لایحهی افشا به کنگره ارائه شده است.
در تمام ایالاتی که شرکتی در آنها فعالیت میکند، باید در قوانین افشا، خطمشی راهبردیای نیز برای مدیریت بحران درنظر گرفته شود. افشاسازیهایی که مطابق با چند قانون هستند و اثر زیانآورِ نقضهای امنیت اطلاعاتی را کمینه میسازند، و افشای آنها باید پیش از بروز بحران طرحریزی شود. برای بار دیگر تأکید میکنیم که این عرصه همیشه در حالِ تغییر است، و این خطمشیها باید بهطور مرتب بازدید و بهروز شوند. بسیار حیاتی است که این خطمشیها و طراحیها با همکاریِ مشاور واجدشرایط و باتجربه توسعه داده و انجام شوند.
بیمه
هر چه نقضهای امنیت اطلاعاتیِ بیشتری رخ دهند و افشا شوند، هزینهی بنگاههای تجاری و افراد نیز همچنان بالا خواهد رفت. در سال ۲۰۰۲، کمیسیون بازرگانی فدرال (FTC) تخمین زد که ۱۰ میلیون نفر قربانیِ سرقت هویت شدهاند. به گفتهی شرکت گارتنِر (Gartner Inc.)، ۹.۴ میلیون کاربر آنلاین در امریکا از تاریخ آوریل ۲۰۰۳ تا آوریل ۲۰۰۴ قربانیِ خساراتی بالغ بر ۱۱.۷ میلیارد دلار شدند.۶۳ هزینههایی که از طرف این خسارات بر بنگاههای تجاری تحمیل میشوند، احتمالاً در سالهای آینده تا اندازهی سرسامآوری رشد خواهند کرد، و این روند موجبِ جلب توجه برخی از شرکتهای بیمهی سطحِبالاتر و پیچیدهتر شده است. برخی از شرکتها در حالِ توسعهی محصولاتی هستند تا خسارات ناشی از نقضهای امنیت اطلاعاتی را تحت پوشش قرار دهند. شرکتها باید با متصدیان خود تماس بگیرند و پژوهش مستقل خود را انجام دهند تا ببینند چه پوششی، در صورت وجود، در دسترس است یا خواهد بود.
مشتریانِ مشاوران امنیت اطلاعات، با توصیهی مشاور واجدشرایط و باتجربه، باید تمام این موضوعات را بههنگامِ تصمیمگیری در خصوصِ بهترین کار برای کاهش خطر قانونی خود، درنظر بگیرند. یکی از اجزاء کلیدیِ کاهش آن خطر، روابطی است که با مشاوران امنیت اطلاعات، از جمله مشاور قانونی واجدشرایط و باتجربه و مشاوران فنی ماهر و موجّه، ایجاد میشود. البته، آن روابط باید طبق قراردادهایی کتبی ایجاد و هدایت شوند (که در بخش بعدی بحث خواهد شد).
چه چیزهایی باید در قراردادهای ارزیابی امنیت قید شوند
قرارداد مهمترین و تنها ابزاری است که برای تعریف و تنظیم مقرراتِ رابطهی قانونیِ بین مشاور امنیت اطلاعات و مشتری بهکار میرود. قرارداد از ایجاد سوءتفاهم بین طرفین جلوگیری میکند و باید بهوضوح مسئولیتِ پیآمدهای پیشبینینشده یا غیرعمدی را مشخص سازد، پیآمدهایی مانند فروشکست سیستم، دسترسی به اطلاعات حفاظتشده، اختصاصی، یا اطلاعات حساس دیگری که تصور میشد ایمن هستند، و خسارت به شبکه یا اطلاعات موجود در شبکه. همچنین، این قرارداد در طول چرخهی ارزیابیِ امنیت بهعنوان نقشهی راهی برای طرفین عمل میکند. اجازهنامه (که در بخش بعدی تشریح خواهد شد) هدف متفاوتی نسبت به قرارداد دارد و اغلب در موردِ موضوع اصلیای که در قرارداد پوشش داده شده است یا در خصوصِ روابط با اشخاص ثالثی بحث میکند که جزئی از قرارداد خدماتیِ اصلی نیستند. در اغلبِ ارزیابیها، به هر دوی آنها نیاز است.
هر کاری که مشتری از خدماتدهنده میخواهد که انجام دهد، باید ریزبهریز در قرارداد آورده شوند. مشاوران امنیت اطلاعات باید قرارداد استانداردی برای بستههای خدماتی داشته باشند، البته باید انعطاف کافی برای گفتوگوها را داشته باشد تا نیازهای ویژهی مشتری را برآورده سازد. آنچه در قرارداد پوشش داده میشود، یا نمیشود، و اینکه مواد قانونی چگونه باید بیان شوند، تصمیماتی هستند که هر دو طرف باید تنها با توصیهی مشاور قانونی واجدشرایط و باتجربهای بگیرند که با این حوزه آشنا باشد. همچون هر موافقتنامهی قانونی دیگری بین طرفین، هر دو طرفِ امضاکننده باید کاملاً تمام عبارات موجود در قرارداد را درک کنند، یا درخواست کنند که زبان دوپهلو، مبهم، یا بیش از حد فنی، روشن یا بازنویسی شود. اختلافنظر بر سرِ قرارداد اغلب در موقعیتهایی ایجاد میشود که دو طرف میتوانند زبان یکسانی را به روشهای مختلف بخوانند. نسبت به چیزی که امضا میکنید، کاملاً آگاهی داشته باشید.
چهچیزی، چهکسی، چهوقت، چهجایی، چگونه، و چقدر
بندهای زیر مروری است اجمالی بر آنچه باید در قراردادهای خدماتیِ امنیت اطلاعات و ارزیابی امنیت بیابند. این بندها شاملِ فهرستی از پرسشها هستند که قرارداد باید به هر دو طرف پاسخ دهد؛ البته، به خاطر داشته باشید که هر برآوردی متفاوت از دیگری است چرا که نیازهای مشتری و بودههای هر فرآیندِ ارزیابیای متفاوت خواهند بود. اطمینان یابید قراردادی که امضا میکنید، بهوضوح تمام عناوینی را که در اینجا بیان میشوند، پوشش میدهد، اما به خاطر داشته باشید که چیزی که در اینجا آمده است، فهرستی فراگیر نیست و نمیتواند جایگزینی باشد برای توصیهی ویژهای که مشاور قانونیِ خود شما برای شرایط ویژهی شما ارائه میکند.
چهچیزی
اولین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت اطلاعات، مدَنظر قرار دادنِ خدماتی مبنایی است که مشاور انجام خواهد داد. انتظارات دوطرف در خصوصِ جوانب غیرفنیِ این رابطهی تجاری، مانند پرداخت، گزارش، و مستندسازی چیست؟ این قرارداد چه خدماتی را پوشش میدهد؟ مشتری چه میخواهد؟ مشاور امنیت اطلاعات چه خدماتی میتواند بدهد؟ برخی از دستهبندیهای اطلاعاتی باید در این بخش پدیدار شوند.
تشریحِ ارزیابی امنیت و مدل کسبوکار
مشاور امنیت اطلاعات در بخش ابتداییِ قرارداد باید خدماتی را که ارائه خواهند شد و، عموماً، نحوهی انجام کسبوکارش را تشریح کند. این اطلاعات، پیشینهای میدهد در بارهی نوع قراردادی که توسط دو طرف استفاده خواهد شد (برای مثال، قراردادی برای خدمات یا قراردادی برای خدمات پشتیبانی پس از خرید و نصب نرمافزار برای اصلاحِ آسیبپذیریهای شناساییشده). این بخش ابتدایی باید مشتری را نیز شناسایی و مدل کسبوکار آن را تشریح نماید. برای مثال، آیا این مشتری سازمانی مالی، سازمانی مراقبتبهداشتی، سازمانی با چندین مکان جغرافیاییِ تحت ارزیابی است، یا آیا تابع ملزومات قانونی و/یا مقررات صنعتی خاصی است؟
تعاریف بهکاررفته در قرارداد
هر قراردادی از اصطلاحات و عباراتی استفاده میکند که نیاز به توضیحات بیشتری دارند تا معنای آنها برای هر دو طرف روشن شود. اصطلاحاتی فنی مانند «آسیبپذیری» و «نفوذ» باید ریزبهریز روشن شوند. مدیران اجرایی قراردادها را امضا میکنند. وکلا به مدیران اجرایی توصیه میکنند که قراردادها را امضا کنند یا نه. هر دو باید بدانند که معنای قرارداد مربوطه چیست.
تشریح پروژه
قرارداد باید صورتوضعیتی کلی از گسترهی پروژه ارائه کند. اگر این پروژه تلاشی بلندمدت یا رابطهای ادامهدار بین دو طرف باشد، باید این موضوع نیز تشریح شود که هر قسمت از پروژه یا هر مرحله در این رابطه چگونه باید پیش رود و چه اسناد دیگری هر مرحله یا قسمت از این پروژه را پوشش خواهند داد. همچنین، این بخش بهوضوح تعریف میکند که مشاور امنیت اطلاعات چه کارهایی را در طول ارزیابی انجام خواهد داد و نخواهد داد. همچنین، در تشریح پروژه، مشتری باید بهوضوح اهدافی را که میخواهد مشاور امنیت اطلاعات انجام دهد، تعریف کند. آیا تمام شبکههای نهاد مربوطه در شمول این پروژه قرار میگیرند؟ چه نوع آزمایشهایی لازم است؟ همچنین، این بخش باید شاملِ انواع آسیبپذیریهایی باشد که مشاور امنیت اطلاعات نمیتواند بر اساس انواع آزمایشها، شبکههای آزمایششده، و گسترهی ارزیابیِ کلی که توسط مشتری اجازه داده است، کشف کند.
فرضیات، معرفیها، و ضمانتها
در هر برآوردی، طرفین باید اطلاعاتی مبنایی را ارائه دهند یا آنها را فرض کنند. این فرضیات باید در قرارداد گنجانده شوند. فرضیات، توضیحاتی بودهای هستند و نه تشریحی از گفتوگوهایی که طرفین داشتهاند (برای مثال، «زمانبندی موجود در این قرارداد بر این فرض استوار است که تمام اعضای گروه ارزیابی ۵ روز در هفته از ۸:۳۰ صبح تا ۵:۳۰ بعدازظهر در طول کلّ دورهی قرارداد کار خواهند کرد.»). مشتری باید، با توجه به فرضیات شبکه، اطلاعات مبنایی را در خصوصِ جانماییِ شبکه ارائه دهد، اطلاعاتی که گروهِ برآورد میتواند بر اساس آنها فرضیاتی را بسازد تا این فرضیات مبنایی باشند برای انواع آسیبپذیریهایی که جستوجو خواهند کرد و برای روششناسیهای آزمایش که با موفقیت به اهداف موردنظرِ مشتری دست خواهند یافت (برای مثال، «روششناسی ارزیابیای که طبق این قرارداد در خصوصِ شبکهی مشتری بهکار بسته میشود، بر این فرض استوار است که مشتری، سرورها را فقط در یک مکان جغرافیایی، بهلحاظ فیزیکی ایمن، و بهلحاظ منطقی مجزا از شبکههای دیگر و از اینترنت نگهداری میکند.»)۶۵ همچنین، متن مورداستفاده در این بخش باید مشخص سازد که اگر فرضیات صورتگرفته اشتباه از آب درآیند، باید چه واکنشی نشان داد: در چه شرایطی قرارداد از درجهی اعتبار ساقط میشود؟ چه عاملی میتواند هزینه را افزایش یا کاهش دهد؟ در صورتی که در طول انجام ارزیابی، مشکلات غیرمنتظرهای در امنیت یا صحت ایجاد شوند، چه زمانی باید آزمایش را متوقف کرد؟ چه کسی تصمیم میگیرد؟ چه زمانی باید به مدیران مشتری اطلاع داده شود؟ در چه سطوحی؟
قراردادهای IEM باید شاملِ «معرفیها و ضمانتها»یی از سوی مشتری باشند که طی آن، اطلاعات حیاتی معینی ریزبهریز ارائه میشوند که مشتری صحتِ آنها را «ضمانت» میکند، اطلاعاتی مانند: تشریحِ اطلاعات و کارهای تجاریِ مشتری که در سیستمهای خود نگاهداری میکند؛ موافقتنامههایی که مشتری با فروشندگانِ شخص ثالث و/یا دارندگان اطلاعات آنها دارد؛ چه سیستمهای اطلاعاتیای خارج از سیستمهایی که در کنترل مشتری هستند، در صورت وجود، ممکن است بههنگامِ انجام ارزیابی و آزمایش، تحت تأثیر قرار گیرند، و مشتری باید چه اقدامات پیشگیرانهای را انجام دهد تا احتمال چنین تأثیری را از بین ببرد؛ و میزانی که مشتری، اطلاعات و سیستمهایی را که باید ارزیابی و/یا آزمایش شوند، بهطور انحصاری در تصاحب و کنترل خود دارد یا میزان موافقتنامههای کتبیِ ایمنی که دارد و بهموجبِ آنها صریحاً اجازهی ارزیابی و آزمایشِ اطلاعات و سیستمهایی که در تصاحب یا کنترل دیگران هستند، داده میشود.۶۶
مرزها و محدودیتها
علاوه بر بیانِ آنچه تحت پوششِ ارزیابی قرار خواهد گرفت، باید در این بخش ابتدایی مشخص کرد که چه برآوردهایی بهلحاظ زمانی، مکانی، دادهای، و دیگر متغیرها تحت پوشش قرار نخواهند گرفت. هدف کلی از چرخهی ارزیابی این است که سطحی از ایمنی و امنیت را در خصوصِ محرمانگی، صحت، و دسترسیپذیریِ شبکههای مشتری به او ارائه داد. اما، برخی از نواحی شبکه حساستر از نواحی دیگر هستند. علاوه بر این، هر مشتری سطحِ اعتمادِ متفاوتی نسبت به پرسنل و روششناسی ارزیابی خواهد داشت. تمام روششناسیهای ارزیابی و آزمایش برای تمام نواحیِ شبکه مناسب نیستند. مشتری باید توجهِ دقیقی داشته باشد به آنچه آزمایش میشود، و اینکه چهوقت و چگونه آزمایش میشود، همچنین به آنچه که ارزیابان باید در صورت وقوعِ آلودگی یا افشای دادهها انجام دهند.
اگر مشتریای نوع ویژهای از گزارش را در تاریخ معینی ارائه دهد تا وظایف خود را در خصوص صورتپرداخت، حسابداری، مقررات، یا وظایف دیگر را انجام دهد، آن تاریخ زمان چندان خوبی برای شروع به آزمایش شبکه نیست. حتی اگر روششناسی آزمایش درست و بیعیب باشد و پرسنل در بالاترین سطح بازدهی و مسئولیتپذیری کار خود را انجام دهند، ماهیت انسان بهگونهای است که هر اشکال شبکهایِ کوچکی در آن تاریخ را به گروه آزمایش نسبت میدهد. برای انجام هر نوع اقدامی در خصوصِ دادههای حساس نیاز به سطحِ موشکافیِ بالاتری است، اقداماتی که میتوانند خسارتی به اطلاعات بزنند یا آنها را افشا سازند، یا استفاده از اطلاعات را برای مدت زمانی ناممکن سازند. چنین اعمالی میتوانند منجر به جرایم اجرایی یا مقرراتی و اقدامات اصلاحیِ پرهزینهای گردند.
استانداردهای حریم شخصیِ دادهها بسته به صنعت، ایالت، کشور، و دستهبندی اطلاعات با هم متفاوت اند. یک زیرساخت شبکه میتواند شامل پیشینهی پرسنل، رسیدگیها یا بازپرسیهای داخلی، اطلاعات اسرار تجاری یا اختصاصی، اطلاعات مالی، و اسناد و پایگاهدادههای اطلاعات شرکتی و فردی باشد. همچنین، شبکهی مربوطه میتواند دادههایی را تحت مصونیت وکیل-موکل یا مصونیت قانونی دیگری ذخیره نماید. علاوه بر این، مشتریان باید توجه داشته باشند که کارمندان آنها دادهها را کجا و چگونه ذخیره مینمایند. آیا نمایندهی مشتری که در خصوصِ گسترهی پروژه واردِ مذاکره میشود، میداند که تمام دادههای حساس در کجای تشکیلات او، و با چه درجه اطمینانی ذخیره میشوند؟ آیا مشتری، طرح احتیاطی برای آلودگی دادهها یا دسترسی غیرمجاز دارد؟ چگونه ارزیابی امنیت، این مسئولیت را قبول میکند که پرسنل آزمایش به دادههای حساس دسترسی خواهند داشت (بخش موافقتنامههای سرّیبودن و عدمِافشا را در ادامه ببینید)؟ در این قسمت از قرارداد، مشتری باید تعیین کند که پرسنل آزمایش در کدام نواحی از شبکه، چه در طول دورهای زمانی و چه در طول مراحلی معین، نباید ارزیابی انجام دهند.
هر دو طرف باید نسبت به این بوده حساس باشند که ممکن است مشتری تصاحب و کنترلِ تمام نواحی شبکه را در اختیار نداشته باشد. مشتری فقط میتواند به آزمایشِ آن قسمتهایی از شبکه رضایت دهد که در تصاحب و کنترل او قرار دارند.
یادداشت
ارزیابیِ قسمتهای دیگرِ شبکهی شرکتی بزرگتری یا جایی که ارزیابی واردِ حیطهی اینترنت میشود، نیاز به سطحِ اجازهی اضافی از سوی اشخاص ثالثی دارد که خارج از رابطهی قراردادی هستند، و این کار هرگز نباید بدون اخذِ موافقتنامههای صریحی انجام شود که توسط مشاور قانونیِ واجدشرایط و باتجربه به بحث و گفتوگو گذاشته و بازدید شده است.
در برخی از موارد، میتوان ارزیابی را در این شبکههای بزرگتر ادامه داد، اما نیاز به مستندسازیِ اضافی، مانند یک اجازهنامه، خواهد بود (بخش «جایی که باید نشان داد چند مرده حلاجیم: اجازهنامه بهعنوان حفاظت در برابر مسئولیت» را در ادامه ببینید).
شناساییِ تحویلدادنیها
بدون بازخورد مناسب به مشتری که در قالبی کاربردی ارائه شده باشد، ارزیابی و آزمایش شبکه صرفاً تلف کردنِ منابع است. قرارداد باید باید بهطور کاملاً واضح مشخص سازد که مشتری به چه تحویلدادنیهایی و چه سطحی از مخاطبان نیاز دارد. برای مثال، یک گزارش فنیِ ۳۰۰ صفحهای که برای ارائه به هیئتمدیره آماده شده است، چندان کاربردی ندارد. ارائهنمایی دَه لغزهای برای مأموران شرکت مشتری که کانون تمرکز آن روی اولویتبندیِ آسیبپذیریها بر حسبِ میزان خطر آنها است، ارزش بسیار بیشتری دارد. برعکس، نمایشِ همان دَه لغزه به گروه مهندسی شبکه، چندان کمکی به آنها نخواهد کرد. نکتهی کلیدی در این بخش از قرارداد، مدیریتِ انتظاراتی است که در خصوصِ سطوح مختلفِ بازدیدِ ساختار مشتری وجود دارد.
چهکسی
دومین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت، این است که طرفینِ موافقتنامه را بهطور دقیق مشخص ساخت و نقش و مسئولیت هر یک (از جمله اسامی و عناوین معین افراد مسئول) را معین کرد تا ارزیابی مربوطه بهطور موفقیتآمیز تکمیل شود. این اطلاعاتِ هویتی و نقشی، برای کاهشِ احتمالِ اختلافنظرهایی بر سرِ قرارداد که بهدلیل برآورده نشدنِ انتظارات طرفین ایجاد میشوند، بسیار حیاتی هستند.
اعلامِ طرفینِ موافقتنامهی قراردادی
هویت هر کدام از طرفین باید بهوضوح با نام، مکان، و نقطهی تماس اصلیِ او در قرارداد تعیین شود تا برای ارتباطات بعدی از آنها استفاده کرد. اغلب، مأموری که امضای او ثبت شده است، همان فردی نیست که قرارداد را مدیریت خواهد کرد یا درگیرِ فعالیتهای ارتباطیِ روزانه با پرسنل ارزیابی خواهد بود. علاوه بر این، روندهای تغییرِ پرسنلِ هر نوع تماسی که ثبت شده است، باید بهطور دقیق در این بخش بیان شوند.
اعتبار امضاکنندگانِ موافقتنامهی قراردادی
در حالت ایدهآل، سطح امضاکننده باید همتراز با قرارداد باشد، و در هر رخدادی، مأمور امضاکننده باید بهاندازهی کافی بلندمرتبه باشد تا نهادهای مربوطه را متعهد به تمام وظایفی سازد که در این رابطهی قراردادی مشخص شدهاند. همچنین، اغلب مفید است که امضاکنندهی مشتری، فردی باشد که اختیارات و قدرت لازم را برای ایجاد تغییرات داشته باشد، تغییراتی که مبتنی بر توصیههایی هستند که از ارزیابی ناشی میشوند.
نقشها و مسئولیتهایِ هر یک از طرفینِ موافقتنامهی قراردادی
تشریحِ چیزهایی مانند سطوح کارکنان، مکان منابع، کسانی که آن منابع را فراهم خواهند کرد، و ماهیت دقیقِ دیگر وظایف آمادی، پرسنلی، و مالی، بسیار حیاتی است. این امر به هر دو طرف این امکان را میدهد تا به جای اینکه هر روز در این باره بحث کنند که چه کسی مسئولِ موضوعات اجراییِ پیشبینینشده و اضافی است، با تمرکز بر اهداف تعیینشده چرخهی ارزیابی را ادامه دهند. برخی از عرصههای متداول در این بخش، شامل موارد زیر هستند:
- چهکسی تسهیلات و پشتیبانیِ اجرایی را فراهم میکند؟
- چهکسی مسئولِ پشتیبانگیری از دادههای حیاتی، پیش از آغاز ارزیابی، است؟
- چهکسی مسئولِ برقراریِ ارتباط برای صورتوضعیتهای پروژه است؟ آیا مشتری درخواستِ بهروزرسانی خواهد کرد، یا گروه ارزیابی بهطور مرتب گزارش خواهد داد؟ آیا صورتوضعیتها باید کتبی باشند یا میتوانند شفاهی باشند و تنها در اسنادِ مشاور امنیت اطلاعات نگهداری شوند؟
- چهکسی مسئولِ تشخیص و تاییدِ وقوع انحراف از قرارداد یا طرح ارزیابی است و تصمیمات در این خصوص چگونه ثبتوضبط خواهند شد؟
- چهکسی هر جنبه از هر مرحله از ارزیابی را انجام خواهد داد (آیا مشتری، هیچ پرسنل فنیای در اختیار قرار خواهد داد؟)
- چهکسی مسئولِ نگاشتِ شبکه پیش از آغاز ارزیابی است (و آیا آن نگاشتهها به گروه ارزیابی داده خواهند شد، یا بهعنوانِ اندوخته نگاهداری خواهند شد تا پس از پایانِ ارزیابی برای مقایسه بهکار روند)؟
- چهکسی مسئولِ توجیهِ کارمندان ارشدِ سازمان مشتری است؟
- چهکسی مسئولِ گزارش به مدیران اجرایی و صحتسنجهای ارزیابی در خصوصِ انحرافاتی است که نسبت به طرح پروژهی توافقشده ایجاد شدهاند؟
- چهکسی مسئولِ گزارشِ نقض خطمشیها، مقررات، یا قوانینی است که طیّ ارزیابی کشف میشوند؟
- چهکسی در صورتِ وقوع اختلالات شبکهای، این اختیار را دارد که ارزیابی را فسخ نماید؟
- چهکسی خطرِ ناشی از پیآمدها یا شرایط پیشبینینشدهای را که طیّ ارزیابی ایجاد میشوند، بر عهده میگیرد؟
موافقتنامههای سرّیبودن و عدمِافشا
بسیاری از اسناد و دیگر اطلاعات مرتبط با ارزیابیهای امنیت اطلاعات، حاویِ اطلاعاتی حیاتی هستند که اگر بهطور نامناسب افشا شوند میتواند منجر به خسارت به یک یا هر دو طرف گردد. هر دو طرف، ورای ضوابطِ معینشده طبق موافقتنامهای کتبی، این مسئولیت را بر عهده میگیرند که از افشای ابزارها، شیوهها، آسیبپذیریها، و اطلاعات جلوگیری نمایند. موافقتنامههای عدمِافشا باید بهدقت تنظیم شوند تا از اطلاعات حساس حفاظت شود، و در عین حال، این امکان به هر دو طرف داده شود که بهطور مؤثر کار کنند. عرصههای معینی که باید درنظر گرفته شوند شاملِ این موارد هستند: تصاحب و استفاده از گزارشها و نتایج ارزیابی؛ استفاده از روششناسیِ آزمایش در مستندسازیِ مشتری؛ افشاهای الزامی طبق قانون؛ و مدت زمانِ محدودیتهای موجود در برابرِ افشا. اغلب، ترجیح بر این است که موافقتنامههای سرّیبودن/عدمِافشا اسنادی مجزّا و خوداتّکا باشند تا اگر بعدها بهطور علنی تحت پیگرد قانونی قرار گیرند، در حدّ امکان جزئیات کمی از موافقتنامهی بزرگتر در معرض عموم قرار گیرند.
پرسنل برآورد
گروه ارزیابی امنیت، متشکل از پرسنل کارشناس گوناگونی است، که از سوی سازمان مشتری یا پیمانکار فراهم میشوند. الزامات پرسنلی برای تکمیلِ موفقیتآمیز و مؤثرِ هر مرحله از برآورد باید ریزبهریز در قرارداد بیان شوند. هر دو طرف باید درکِ یکسانی از مهارتها و پیشینهی هر کدام از اعضای گروه داشته باشند. در صورت امکان، باید اطلاعاتی در خصوصِ پرسنلی که برآورد را انجام میدهند، در قرارداد آورده شوند. همچنین، هر دو طرف باید بدانند که در صورت لزوم انجام تحقیقات در خصوص پیشینهی پرسنلِ معینشده برای ارزیابیِ شبکههای حساس، چهکسی سرمایهی این کار را تأمین خواهد کرد و چهکسی آن را انجام خواهد داد.
مدیریت بحران و ارتباطات عمومی
ارزیابی امنیت شبکه میتواند کاری نابهسامان و آشفته باشد. هیچ شبکهای صددرصد ایمن نیست. گروهِ برآورد بهناچار با کاستیهایی روبهرو خواهد شد. گروه برآورد معمولاً با خطرات غیرمنتظرهای برخورد خواهد کرد، یا اقداماتی در پیش خواهد گرفت که منجر به نتایج پیشبینینشدهای میشوند که میتواند شبکه یا دادههای مقیمِ شبکه را تحت تأثیر قرار دهد. مرتکبِ این اشتباه نشوید که وضعیتی بد را با پاسخی ضعیف به بحران ایجادشده همراه سازید. پیادهسازیِ روندهای اطلاعرسانی در مرحلهی عقد قرارداد، اغلب در صورتِ ایجاد اشکال، صحت ارزیابی را حفظ میکند. همچنین، طرفین باید بهوضوح مشخص سازند که چهکسی نقش اصلی را در تعیینِ زمانبندی، محتوا، و مکانیزمِ تحویل برای ارائهی اطلاعات به کارمندان مشتری، مشتریان، سهامداران، و الخ برعهده دارد. همچنین، در این بخش باید ریزبهریز مشخص شود که مشتری انتظار دارد که گروه برآورد یا نقش اصلی، چه نقشی را در امور روابط عمومی بازی کنند، البته اگر نقشی داشته باشند. همچنین احتیاط بر این است که روندی برای مدیریت وضعیتهای بحرانی در دست داشت. مشاور قانونی واجدشرایط و باتجربهای باید در این فرآیندها دخیل باشد.
غرامتپردازی، بیضرر نگاه داشتن، و وظیفهی دفاع کردن
قرارداد ارزیابی امنیت، حتی بیش از بسیاری از دیگر انواعِ قراردادهای خدماتی، باید حاویِ مواد قانونیِ دقیقی باشد که صریحاً از مشاوران امنیت اطلاعات در برابرِ انواع مختلف دعاویِ مناقشهآمیزِ قراردادی حفاظت نمایند. علاوه بر زبان قراردادیِ استاندارد، این بخشها باید بهویژه مسئولیتهای هر دو طرف، یعنی هم مشتری و هم مشاوران امنیت اطلاعات، (و حدود آنها) را ریزبهریز معین کنند تا جلوی ادعای خسارت را بگیرند؛ ادعای خسارت نسبت به اطلاعات یا سیستمهای خارجی و مالکیت فکری یا نقض گواهیِ نرمافزاری که، در صورت وجود، توسط مشاور امنیت اطلاعات بهمنظورِ انجام ارزیابی، توسعه داده شده است.
تصاحب و کنترل اطلاعات
اطلاعات موجود در گزارش نهایی و خلاصهوضعیتهای در سطح مدیریتی، میتوانند بینهایت حساس باشند. هر دو طرف باید بدانند که اطلاعات در تصاحب چهکسی هستند و افشا و انتشارِ آنها در کنترل چهکسی است، همچنین، باید بدانند که پس از فرآیند بازدید، دو طرف چه کارهایی ممکن است با این اطلاعات انجام دهند. هر نوع اطلاعات یا فرآیندهای اختصاصی، از جمله اسرار تجاری، باید خاطرنشان شوند، و در بخش مجزایی از قرارداد پوشش داده شوند. عناوین کلیدیای که از میانِ کاربردهای مختلف باید پوشش داده شوند، شامل این موارد هستند: استفاده از نتایج ارزیابی در بروشورهای فروش یا بازاریابیِ هر دو طرف؛ عرضهی نتایج به بدنههای مدیریتی یا مقرراتی؛ و افشای آمار در پیمایشهای صنعتی. مشتری باید هر کنترل شرکتیِ داخلی برای اطلاعات را ریزبهریز در این بخش مشخص کند. اگر مشتری، رمزبندیِ دادههای ارزیابی را الزامی میداند، آن الزامات و اینکه چهکسی مسئولِ ایجاد یا ارائهی کلیدها است، باید بهوضوح در این بخش ریزبهریز بیان شوند.
یکی از عرصههای تصاحب مهم که باید بهویژه در قراردادهای ارزیابی امنیت اطلاعات پوشش داده شود، این است که گزارشها و دیگر مستندسازیهای بهدستآمده از ارزیابی چگونه بهکار برده خواهند شد. آیا مشاوران امنیت میتوانند کپیهایی از این اسناد را، دستِکم برای مدت زمانی متعارف پس از پایان ارزیابی، نگاه دارند (برای مثال، در موردی که مشتری اقدامی قانونی علیه مشاور انجام میدهد)؟ چهکسی مسئولِ نابودیِ کپیهای اضافهی چنین اطلاعاتی است؟ آیا مشاور امنیت اطلاعات میتواند از نسخههایی از گزارشها که بهطور مناسب پاکسازی شدهاند، بهعنوانِ نمونهکار استفاده کند؟
دغدغههای مالکیت فکری
تصاحب و استفاده از مالکیت فکری، عرصهی پیچیدهای از قانون است. اما، ایجاد رهنمودِ شفاف در بخش پیشین در خصوصِ تصاحب و استفاده از اطلاعات ارزیابی، به طرفین کمک خواهد کرد تا از بروز مناقشه بر سرِ مالکیت فکری جلوگیری نمایند. نکتهی کلیدی برای ایجاد رابطهی قانونیِ روان بین طرفین این است که انتظارات بهطور شفاف تعیین شوند.
گواهیها
گروه ارزیابی باید اطمینان یابد که برای هر قطعهنرمافزاری که در ارزیابی بهکار میرود، گواهیهای معتبری در اختیار دارد. مشتری باید صحتوسقمِ این گواهیهای معتبر را بررسی نماید.
چهوقت
سومین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت، ایجاد برنامهای زمانی برای اجرای ارزیابی است که شاملِ تمام مراحل و گزارههایی مشروط میشود تا تغییرات ایجادشده در آن برنامهی زمانی را پوشش دهند. این قرارداد باید دستِکم خطّ سیری برای ارزیابی کلی و برای هر مرحله بیان کنند، از جمله:
- خطّ سیری برای تکمیلِ تحویلدادنیها در قالبهای پیشنویس و نهایی
- تاریخهای تخمینیِ خلاصهوضعیتهای مدیریتی، در صورتِ درخواست
- خطّ سیری برای هر کارِ پشتیبانیای که پیشبینی شده است
اقدامات یا رخدادهایی که بر برنامهی زمانی تأثیر میگذارند
بهناچار چیزی اتفاق میافتد که برنامهی زمانی را تحت تأثیر قرار میدهد. اقدام پرسنل، تغییراتِ جانمایی شبکه میتوانند موجبِ بروزِ گسترهای از عوامل پیشبینینشده گردند. با اینکه گروهِ قرارداد نمیتواند آن عوامل را کنترل کند، میتواند زبان موجود در قرارداد را به خدمت بگیرد تا امکانِ تطبیق سریعِ برنامهی زمانی را، بسته به عوامل مختلف، بدهد. اگر گروه مربوطه در نقطهای حساس از برآورد قرار داشته باشد، وقفههای کوتاه در برآوردها میتوانند منجر به اثراتی بلندمدت شوند. در مرحلهی عقد قرارداد، هر دو طرف باید با عناصر دیگر در شرکت خود مشاوره نمایند تا مشخص سازند که چه رخدادهایی میتوانند برنامهی زمانی را تحت تأثیر قرار دهند. کوتاهی در طراحی مناسب برای زمانبندیِ کشاکشها یا اختلالات میتواند منجر به نقض قرارداد از سوی یکی از طرفین گردد. هر دو طرف باید بر سرِ طرحی مشروط توافق نمایند، طرحی برای زمانی که ارزیابی باید نابههنگام پایان پذیرد. طرحهای مشروط میتوانند چیزهایی مانندِ ازسرگیریِ ارزیابی در زمانی دیگر یا تنظیم میزان کلّیِ هزینهی قرارداد بر اساس مراحل تکمیلشده باشند.
چهجایی
چهارمین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت، تعیین مکان(ها)یی، چه جغرافیایی و چه منطقی، است که در معرض ارزیابی قرار خواهند گرفت. دقیقاً در حالِ آزمایشِ چهجایی هستید؟ برای تعیین حدودِ ارزیابی و جلوگیری از سوءتفاهمهای بزرگ بر سرِ گسترهی برآورد یا ارزیابی، تمام تسهیلات، آدرسهای فیزیکی و/یا مکانهای منطقی، از جمله محدودهی آدرس پروتکل اینترنت (IP)، را فهرست نمایید. اطمینان یابید که هر دستگاهی که به آن فضای IP متصل است، در کنترل قانونی و فیزیکیِ مشتری قرار دارد. اگر مکانی وجود دارد که در خارج از امریکا قرار دارد، بیدرنگ در خصوصِ این موضوعِ خاص با مشاور مشورت نمایید. با اینکه تحت پوشش قرار دادنِ توسعههای سریعی که در قوانین خارجیِ این زمینه رخ میدهند، فراتر از گسترهی این بخش است، باید بدانید که بسیاری از کشورها قوانین جرایم رایانهای را پیاده میسازند و هر دو سازوکارِ پاسخگوییِ مدنی و جزایی را برای مبارزه با جرایم رایانهای بهکار میبندند. عناصر مختلفِ ارزیابی امنیت شبکه میتواند مشابهِ دسترسی غیرمجاز به رایانهای حفاظتشده باشد. هنگام ارزیابیِ سیستمی که حتی بخشی از آن در خارج قرار گرفته است، هم ارزیابیکننده و هم مشتری باید اقدامات احتیاطیِ اضافهای در پیش گیرند و روندهای اطلاعرسانیِ عظیمتری را پیاده سازند. علاوه بر این، این بخش باید مکانی را که گروه ارزیابی بهعنوانِ پایگاه عملیات خود استفاده خواهد کرد، پوشش دهد. اگر دو مکان بهلحاظ جغرافیایی مجزا هستند، طرفین باید دسترسی الکترونیکیِ موردنیاز برای ارزیابی را مدّنظر قرار دهند.
اگر ارزیابی مربوطه روی اینترنت انجام میشود، احتیاط بیشتری را بهکار بندید. استفاده از اینترنت برای انجام ارزیابیها حاملِ سطح بالاتری از خطر و مسئولیت قانونی است چرا که هیچکدام از طرفین، تمام ساختارهای شبکهی میانجی را در تصاحب یا کنترل ندارد.
اخطار
جایی که ارزیابی و آزمایش شما باید روی اینترنت انجام شود، بدون مشورت با مشاور واجدشرایط و باتجربه کاری انجام ندهید.
چگونه
پنجمین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت، ترتیب دادنِ روششناسیای برای تکمیل ارزیابی است. در صورتی که قرارداد، رابطهای تجاری را پوشش خواهد داد که چندین برآورد را به هم مرتبط خواهد کرد، این بخش باید هر محله از ارزیابی و/یا چرخهی کلیِ آزمایش را مشخص و تشریح نماید. نکتهی کلیدی اینجا است که از غافلگیریِ هر دو طرف جلوگیری کرد. تقسیم برآوردها و/یا ارزیابیهای پیچیده به چند مرحله در قرارداد، به مأموران بازدیدکننده امکان میدهد تا بدانند که در ازای چهچیزی پول میپردازند و کِی میتوانند انتظار نتایج را داشته باشند. اینکه ارزیاب در هر مرحله چه کاری انجام خواهد داد، اهداف و مقاصدِ هر مرحله، هر عملی که گروه ارزیابی در طول آن مرحله تکمیل خواهد کرد، و تحویلدادنیهای موردانتظار را با زبانی جامع و مانع بیان کنید. از زبان فنی استفاده نکنید. اغلب، سندِ پسزمینهی مجزایی در بارهی روششناسیِ ارزیابی و آزمایش (برای مثال، NSA/IAM، IEM، ISO 17799، و الخ) مفیدتر از شلوغ کردنِ قرارداد با جزئیات فنی غیرضروری است. همچنین، این بخش باید استانداردهایی را بیان و تشریح نماید که گروه ارزیابی از آنها برای سنجش نتایج ارزیابی استفاده خواهد کرد. آزمایش باید نتایج را در مقیاسی سنجشی ارائه دهد که امکان مقایسه در طول زمان و بین مکانها را فراهم سازد.
چقدر
ششمین و آخرین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت، این است که هزینههای ارزیابی و دیگر شرایط پرداختِ مرتبط را ریزبهریز بیان کند. این بخش مشابه با دیگر قراردادهای خدمات تجاری است. دستِکم باید شاملِ پنج عنصر زیر باشد.
دستمزدها و هزینه
طرفین باید بر سرِ ساختاری دستمزدی بحث و توافق نمایند که نیازهای هر دو طرف را برآورده سازد، که در اغلبِ موارد مستلزمِ چندین پرداخت بر اساسِ تکمیل مرحله است. مثال مفیدی که در این باره میتوان زد، ساخت خانه است. صاحبخانه در چه مراحلی به پیمانکار، پول پرداخت خواهد کرد: خاکبرداری و تسطیحِ زمین؛ تکمیل پیِ ساختمان؛ قاببندی؛ دیوارها و ادوات ساختمان؛ یا بازرسی نهایی؟ همچنین، باید سطحی بهعنوان مدیریت مشتری در نظر گرفت که تکمیل مرحله و پرداخت را تایید کند. در اغلبِ موارد، پرداخت نهایی در قرارداد به طریقی مشروط به تحویل گزارش نهایی خواهد شد. هر دو طرف باید در این باره نیز بهدقت بحث کنند که مشتری مسئولیتِ چه هزینههایی را برعهده دارد. اگر گروههای ارزیابی باید به مکان مشتری سفر کنند، چهکسی هزینههای سفر، غذا، اقامت، و دیگر هزینههای غیرِدستمزدیِ آن پرسنل را خواهد پرداخت، و برای پردازشِ مراحلِ پرداخت، چه سطحی از مستندسازی لازم است؟ آیا این هزینهها شاملِ کرایهی هوایی، اقامت، کرایهی سواری، امرار معاش (وعدههای غذایی و اقلام فرعی)، و دیگر مخارج میشود؟ آیا مشتری این الزام را میگذارد که مخارج مربوطه «متعارف» باشند یا نمایندهی مشتری باید از قبل اجازهی این مخارج را بدهد؟ برای اجتناب از اختلافنظرهایی که موجب کاهشِ تمرکز گروه در انجام برآورد میشود، انتظارات طرفین را ریزبهریز در قرارداد بیاورید. همچنین، طرفین باید مشخص سازند که چهکسی مخارج پیشبینینشدهی فوقالعادهای مانند خرابی تجهیزات را پرداخت خواهد کرد. در برخی از شرایط، بهترین روش برای برخورد با مخارجِ واقعاً نامنتظره این است که این امر در قرارداد تصدیق شود که طرفین در خصوصِ چنین هزینههایی، بههنگامِ بروز آنها، مذاکره خواهند کرد.
روششناسی صدور صورتحساب
الزاماتِ صدور صورتحساب یا برگِ فروش باید ریزبهریز مشخص شوند تا سازوکارهای حسابداریِ مشتری برای انجامِ وظایف قیدشده در قرارداد بهطور مناسب آماده شوند. اگر مشتری، تنظیمِ نوع خاصی از اطلاعات را در برگ فروش الزامی کند، آن اطلاعات باید بهصورت کتبی، ترجیحاً در قرارداد، به پیمانکار داده شود. انواع دستمزدها و هزینههایی که در برگ فروش خواهند آمد، نیز باید مورد بحث قرار گیرند، و مشتری باید رهنمودی در خصوصِ سطح جزئیاتِ موردنیاز خود ارائه دهد، و در همین حال، پیمانکار باید ماهیت قابلیتهای صورتحساب خود را توضیح دهد.
انتظارات و برنامهی زمانیِ پرداخت
قرارداد باید بهوضوح انتظارات طرفین را در خصوصِ پرداخت نقدی مشخص سازد. آیا پیمانکار برگ فروشها را در هر مرحله ارائه خواهد داد یا بهصورت ماهانه؟ آیا موعدِ برگ فروشها بر اساسِ برگِ رسید است یا در روز معینی از ماه؟ پیمانکار برگِ فروش را کجا و به چهکسی درونِ ساختار مشتری میفرستد؟ آیا پیمانکار درخواستِ پرداخت الکترونیکیِ برگ فروشها را دارد، و در این صورت، به چه حسابی؟ پیمانکار چه جرایمی را برای دیرکردِ پرداخت یا چکهای برگشتی تعیین خواهد کرد؟ باز هم میگویم، نکتهی کلیدی این است که انتظارات هر دو طرف را درنظر گرفت تا از غافلگیریِ هر دو جلوگیری کرد.
حقوق و روندهای جمعآوریِ پرداخت
در صورت وقوعِ مشکلاتی در رابطهی قراردادی یا ایجاد تغییراتی مدیریتی که قرارداد را تحت تأثیر قرار میدهند، حقوق طرفین چیست؟ همانند سایر قراردادهای تجاری، تشریح دقیقِ حقوق و چارهها امری اساسی است تا هزینهی مناقشات کمینه شود یا کاملاً از آن اجتناب گردد.
بیمهی خسارت احتمالی حینِ ارزیابی
کدامیک از طرفین، وارد آمدنِ خسارت به سیستمها و اطلاعات مشتری و همچنین سیستمها و اطلاعاتِ اشخاص ثالث را بیمه خواهد کرد؟
قانون مورفی (وقتی که جایی از کار لنگ میزند)
آخرین مجموعهگزارههای استاندارد برای قرارداد، در ارتباط با احتمالِ کشمکش بین طرفین یا ایجاد اصلاحاتی در قرارداد است.
قانون حاکم
جایی که هر دو طرف در ایالت یکسانی هستند، و ارزیابی محدود به امکاناتِ آن منطقه است، احتمالاً این گزاره چندان ضرورتی ندارد. اما، در اغلبِ موارد، فعالیتهای مربوطه از مرزهای ایالتی فراتر خواهند رفت. طرفین باید توافق نمایند که کدام قانون ایالتی در خصوص این قرارداد بهکار بسته خواهد شد و طرفین، تحت کدام حوزهی قضایی میتوانند دادخواستها را تنظیم نمایند. تعیین دادگاهِ صالح برای مناقشات، پیش از بروز آن مناقشات، میتواند هزینههای قانونی را کاهش دهد.
مشیّتهای الهی، حملات تروری، و دیگر حوادث پیشبینیناپذیر
وکلا و مهندسان شبکه دستِکم یک ویژگی مشترک دارند؛ هیچکدام نمیتوانند با هیچ قطعیتی پیشبینی کنند که چه زمانی کارها با مشکل روبهرو خواهند شد، اما همگی توافق دارند که سرانجام چیزی اتفاق خواهد افتاد که شما انتظارش را نداشتید. بلایای طبیعی، اشکالات کوچک سیستمی، وقفههای منبعتغذیه، کودتاهای نظامی، و هزاران رخداد دیگر میتوانند پروژهای را تحت تأثیر قرار دهند. جایی که فروشکست، تقصیرِ هیچکدام از طرفین نیست، هر دو طرف باید از قبل تکلیف خود را در خصوصِ راهکار مناسب تعیین کرده باشند.
زمانی که موافقتنامه فسخ میشود و چارهها
زمانی که یک طرف تصمیم میگیرد شرایط قرارداد را انجام ندهد یا به هر دلیل از انجامِ آنها عاجز میشود، یا اعتقاد دارد که طرف دیگر به وظایف قراردادیِ خود عمل نکرده است، میتواند از طرف مقابل، درخواستِ فسخ (گسست) موافقتنامه و تقاضای چاره نماید. بسیاری از انواع چارهها برای فسخ قرارداد وجود دارند. همچنین، هر دو طرف میتوانند موضوع را به دادگاه بکشند، که میتواند اوضاع را بسیار آشفته سازد و بینهایت پُرهزینه است. پیشبینیِ چنین وضعیتهایی و وارد ساختنِ آنها در قرارداد برای مواجهه با فسخ قراردادهای احتمالی، میتواند هزاران دلار در دستمزدهای وکیل و هزینههای دادگاه صرفهجویی کند. هر دو طرف باید پیش از مذاکرهی قرارداد برای خدمات ارزیابی امنیت، گزینههای زیر را با مشاور در میان بگذارند. اول، آیا گزینههای حکمیت یا میانجیگری، مناسب یا مطلوب هستند؟ دوم، اگر موضوع به دادگاه کشیده شود، ناگزیر یک طرف دستمزدهای وکیل را بهعنوان بخشی از خسارات وارده مطالبه خواهد کرد. این مطالبه را از پیش ببینید و در قرارداد بگنجانید تا مشخص کند که چه دستمزدهایی بخشی از چاره هستند و آیا طرفی که بازندهی مناقشهی مربوطه میشود، دستمزدهای وکیل را خواهد پرداخت، یا هر طرف مسئولِ دستمزدهای وکیل خود خواهد بود.
خسارات تسویهحساب
خسارات تسویهحساب، مبلغ توافقشده یا «تسویهحسابشده»ای هستند که یک طرف در صورتِ فسخ یا خاتمهی زودهنگامِ قرارداد باید به طرف دیگر بپردازد. خسارات تسویهحساب برای ایجاد اطمینان و قطعیت در موردِ رابطهای شکستخورده ارزشمند هستند اما اگر برای ایجادِ سود بادآورده یا تنبیهِ طرفی بهکار روند که وظایف قراردادی خود را انجام نداده است، مناسب نیستند. در عوض، برای اینکه بهلحاظ قانونی لازمالاجرا باشد، بندِ خسارات تسویهحساب باید خسارات پیشبینیشدهی متعارفِ طرفین را در صورتِ وقوعِ فسخ یا خاتمهی زودهنگامِ قرارداد، تخمین زند. اگر بتوان خسارات واقعی را بهسادگی مشخص ساخت، خسارات تسویهحساب نمیتوانند بهعنوان جریمه باشند و مناسب نیستند.۶۷ برای مثال، دادگاهها در کولورادو معمولاً وجودِ بندِ خسارات تسویهحساب را در قرارداد الزامی خواهند کرد اگر: (۱) در زمانی که قرارداد عقد میشد، تعیین خسارات پیشبینیشده در موردِ فسخ دشوار بوده باشد؛ (۲) طرفین بهاتفاق قصد کرده باشند که آنها را از قبل تسویه و واریز کنند؛ و (۳) مبلغ خسارات تسویهحساب، که در زمان عقد قرارداد دیده شده بود، تخمین متعارفی باشد از خسارات واقعیِ احتمالی که از فسخ قرارداد ناشی میشوند.۶۸ اگر این عوامل بر تراکنش شما اِعمال شوند، خسارات تسویهحساب باید مدّنظر قرار گیرند تا در صورتِ وقوع فسخ، از منازعات متمادی در خصوصِ ضرر و زیانِ طرفین جلوگیری شود.
محدودیتهای مسئولیت
همیشه باید محدودیتهایی برای مسئولیت درنظر گرفته شوند و، در صورت امکان، در تمام قراردادهای خدمات ارزیابی گنجانده شوند. گزارههای معمول بیان میکنند که مسئولیت، محدود به مبلغی برابر با کلّ مبلغی است که مشتری طبق قرارداد پرداخته است. دیگر محدودیتهای خسارات ممکن است مشتری را ملزم کنند که از خساراتِ پیآمدی و جزئی چشمپوشی کنند یا مانع از وصولی شوند که ناشی از عمل خاصی توسط مشاور امنیت اطلاعات است. البته، همانند خسارات تسویهحساب، ممکن است قابلیتِ محدودسازی یا چشمپوشی از خسارات، منحصر به مواد قانونی و تصمیمات دادگاه باشد. برای مثال، در برخی از ایالات، مواد قانونیِ قراردادیای که قصدِ محدودسازیِ مسئولیت برای اهمال فاحش یا برای رفتار خودسرانه یا سرکشانه را دارند، لازمالاجرا نیستند.۶۹ در اغلبِ ایالات، اگر موافقتنامه بهطور مناسب اجرا شده باشد و طرفین ……………….، محدودیتهای مسئولیت پذیرفتهشده و لازمالاجرا هستند.۷۰ از این رو، شما باید تلاش کنید که حق مشتری را برای وصول خسارات پیآمدی، خسارات تنبیهی، و منافع ازدسترفته محدود سازید. کار با مشاور قانونی واجدشرایط کمک میکند تا بتوان مشخص کرد که در هر تراکنش خاصی چه محدودیتهایی لازمالاجرا هستند.
ابقاء وظایف
این بخش مشخص میسازد که پس از انقضای قرارداد، چه اتفاقی برای وظایف قراردادیِ خاص، مانند تکالیف عدمِافشا و پرداخت وجوه دیونی، میافتد.
چشمپوشی و تفکیکپذیری
این بخش از قرارداد تشریح میکند که اگر هر کدام از طرفین بخواهد از اِعمالِ قسمتی از قرارداد چشمپوشی نماید، چه اتفاقی میافتد، و اگر دادگاهی حکم دهد که یک بند یا بخش قابلاجرا نیست، این امکان را به هر بخش از قرارداد میدهد تا از کلّ قرارداد تفکیکپذیر باشد. همچنین، این بخش، زبان قراردادیِ استانداردی است و باید از سوی وکیل مربوطه در اختیار طرفی قرار گیرد که در حالِ پیشنویسِ قرارداد است.
اصلاحیههای قرارداد
احتمال دارد در قراردادهایی که دورههای زمانیِ طولانیای را شامل میشوند، یکی از طرفین یا هر دو نیاز به ایجاد اصلاحاتی در قرارداد داشته باشند. برای اجتناب از ایجاد مناقشه، قرارداد اصلی باید ریزبهریز قالبِ هر نوع اصلاحیهای را مشخص سازد. اصلاحیهها باید کتبی باشند و به امضای نمایندگان معتبرِ هر دو طرف برسند. طرفین باید ترتیباتِ مالیِ مترتّب بر تغییر قرارداد را نیز مدّنظر قرار دهند. اصلاحیههای پیشنهادی در قرارداد باید از سوی طرف دریافتکننده پذیرفته شوند.
جایی که باید نشان داد چند مرده حلاجیم: اجازهنامه بهعنوان حفاظت در برابر مسئولیت
قرارداد بهعنوان موافقتنامهای کلی بین سازمانی که برآورد امنیت را انجام میدهد و شرکت یا شبکهای که آزمایش یا برآورد خواهد شد، عمل میکند. بین هر دو طرف، چه طرفِ قرارداد ارزیابی اصلی باشد و چه نباشد، باید از اجازهنامهای استفاده کرد تا رضایت به انجامِ فعالیتهای خاص را مستند ساخت و در برابرِ انواع مختلف مسئولیتِ معکوس حفاظت ایجاد شود. برای مثال، Widgets-R-Us با Secure-Test قرارداد میبندد تا امنیت شبکهی مدیریتِ عرضهی آنلاین جدیدی را آزمایش کند، شبکهای که متصل به انبارهای Widgets است. فلان ISP پهنای باند لازم را برای انبارهای ساحل شرقیِ Widgets تأمین میکند. Widgets باید اجازهنامهای به Secure-Test بدهد مبنی بر رضایت نسبت به ترافیک شبکهی خاصی که میتواند سیستمهای آشکارسازی نفوذ یا پاسبانهای فلان ISP را تحریک کند. نسخهای از این نامه باید پیش از آغاز آزمایش، بهعنوانِ اعلام فعالیت و مدرکِ دالّ بر رضایت Widgets، به فلان ISP داده شود. علاوه بر این، بسته به متن موافقتنامهی خدمات میان Widgets و فلان ISP، ممکن است لازم باشد که Widgets از فلان ISP بخواهد که اجازهنامهای برای هر کدام از فعالیتهای Secure-Test بدهد، فعالیتهایی که میتوانند بر زیرساخت شبکهی آنها تأثیر بگذارند یا اصلاً موافقتنامهی خدمات پهنای باند را از درجهی اعتبار ساقط کنند. فلان ISP طرفِ قرارداد ارزیابی امنیت اطلاعاتِ اولیه نبود، بنابراین، Secure-Test برای انجامِ آن فعالیتها به این برگهی موافقتنامهی اضافی نیاز دارد.
اینکه مشتریای، تنها کاربرِ سیستمِ شبکهایِ شخصِ ثالثی باشد، موردی خاص و غیرمعمول است. از این رو، شبکه میزبانیِ اطلاعاتِ بنگاهها و افرادی را برعهده دارد که ممکن است حاوی اطلاعات محرمانه یا اطلاعاتی باشند که در تصاحبِ مشتری مربوطه نیست. صرفاً دسترسی به این اطلاعات بدونِ کسب اجازهی مقتضی، میتواند منجر به جرایم جزایی و مدنی گردد. علاوه بر این، موافقتنامههای بین مشتری و میزبان شبکه میتوانند چنین دسترسیای به سیستم مربوطه را بهکل ممنوع سازند. شما، در کنار مشاور قانونی خود، همیشه باید روابط موجود با مشتری خود را مرور نمایید، با محدودیتهای قراردادی تطابق دهید، و اجازههای مقتضی را کسب کنید.
در بسیاری از موارد، اجازهنامه تنها مدرک و مهمترین مدرکی خواهد بود که شما امضا میکنید. علاوه بر مسئولیت مدنیِ احتمالی در خصوصِ هر نوع خسارت وارده بر سیستمهای مشتری شما یا اشخاص ثالث که در طول مدتزمانی اتفاق میافتد که شما از دسترسی مجاز خود فراتر میروید، کوتاهی در کسب اجازهی لازم میتواند منجر به ارتکاب جرم گردد. همچنان که در بخش «استانداردهای قانونی مرتبط با امنیت اطلاعات» مطرح شد، قانون سوءاستفاده و کلاهبرداری رایانهایِ فدرال، برای دسترسی غیرمجاز به سیستمهای رایانهای و برای دسترسی فرامجاز به رایانههای خاص، مسئولیت جزایی قائل شده است. هر ایالتی بهنوعی قانونی را وضع کرده است که دسترسی به سیستمهای رایانهای را بدون اجازهی مقتضی ممنوع میسازد.۷۱ همکاری با مشاور قانونی واجدشرایط و باتجربه امری حیاتی است تا مطمئن شوید که کار شما به دور از نقض قانون و احتمالِ مسئولیت جزایی است.
دیگر کاربرد معمولِ اجازهنامه، افزودنِ بخشی به ارزیابی یا اصلاح چالشهای فنی پیشبینینشده در طول دورهی قرارداد است (برای مثال، Widgets-R-Us پس از آغاز ارزیابی امنیت، انباری در ساحل غربی خریداری میکند، و قصد دارد این انبار را به فهرست تسهیلاتی بیافزاید که Secure-Test بازدید خواهد کرد). Widgets-R-Us نیاز به قرارداد جدیدی ندارد، و به احتمال قریب به یقین نیازی به اصلاحِ قرارداد کنونی ندارد، بهشرطی که هر دوطرف اجازهنامهای را بپذیرند تا بتوان دامنهی برآورد امنیتی را گسترش داد. چه اجازهنامه پذیرفته شود و چه نشود، اصلاحیههای اِعمالی بر قراردادی جاری باید در خودِ قرارداد اصلی نوشته شوند.
یکی از بخشهای مهمِ اجازهنامه (همانند خودِ قرارداد کلی) تصریحِ جامع و دقیقی از آن چیزی است که مشتری اجازهی آن را نمیدهد (برای مثال، سیستمها یا پایگاهدادههای معینی که مناطق ممنوعه هستند، زمانهای معینی که نباید آزمایش انجام شود، ابزارهایی که مشاور امنیت اطلاعات بهکار خواهد برد و بهکار نخواهد برد، اقداماتی امنیتی که مشتری اجازهی انجامِ آنها را به مشاور نخواهد داد، و الخ). این مسئله هم برای مشتری و هم برای مشاور امنیت اطلاعات به یک اندازه اهمیت دارد.
اجازهنامهها باید توسط مقامات رسمیِ هر طرف با اختیار کافی برای موافقت با تمام شرایط معینشده امضا شوند. مسئلهی مهم این است که اجازهنامههای بین مشتری و مشاور امنیت اطلاعات باید تمام انواع اطلاعات یا سیستمهای مشخصی را که مشتری، اجازهی مجاز ساختنِ دسترسی به آنها را ندارد، مشخص سازند. با اینکه قیود اجازهنامه میتوانند بخشی از خودِ قرارداد اصلی باشند، همچون موافقتنامههای عدمِافشا، اغلب ترجیح داده میشود که اجازهنامه موافقتنامهای مجزا و خوداتّکا باشد تا اگر این اجازهنامه بعدها بهطور علنی تحت پیگرد قرار گیرد، تا حدّ امکان جزئیات کمتری از موافقتنامهی بزرگتر در معرض عموم قرار گیرد.
فراتر از شما و مشتری شما
در واقع، کسب رضایت مشتری خود برای دسترسی به سیستمهای رایانهای آنها امری ضروری است، اما همیشه کافی نیست. مشتری شما وظایفی در قبالِ مشتریان خود، گواهیدهندگان خود، و دیگر اشخاص ثالث دارد. محترم شمردنِ این تعهدها از ایجاد مسئولیت احتمالی برای شما و مشتری شما جلوگیری خواهد کرد.
موافقتنامههای گواهی نرمافزار
نوعاً، نرمافزاری که بهوسیلهی مشتری بهکار گرفته میشود، تابعِ موافقتنامهی گواهی است که رابطهی بین مشتری و نرمافزاردهنده را تنظیم میکند. معمول است که موافقتنامههای گواهی نرمافزار، پادترجمه، همبَرداری، یا مهندسی معکوسِ کد نرمافزار را ممنوع، و دسترسی به نرمافزار را محدود میسازند.
استفاده از ابزارها برای نفوذ به سیستمهای رایانهای میتواند موجب استفاده، دسترسی، و اجرای نرمافزار اجرایی با استفاده از سیستمعامل رایانه و دیگر برنامهها بهگونهای گردد که موافقتنامهی گواهی نقض شود. برای اجتناب از مسئولیت مدنی، رایزن مربوطه باید از مشاور قانونی واجدشرایط و باتجربهای بخواهد که موافقتنامهی گواهی اِعمالی را بازدید کند و، به اقتضای شرایط، پیش از انجام آزمایشِ سیستم مشتری، از گواهیدهنده اجازه بگیرند.
مشتریِ مشتریِ شما
برای اجتناب از ایجاد مسئولیت برای مشتری شما، شما باید مشتریانِ مشتری خود و انتظارات آنها را بشناسید. مشتری شما باید بتواند اطلاعات محرمانه و تمام الزامات قراردادیِ معینِ مشتری خود را مشخص سازد. شناساییِ منبعِ اطلاعات شخص ثالث (چگونه ذخیره میشود و کجا مناسب یا لازم است)، و کسب رضایت برای دسترسی به اطلاعات آنها ضروری است. برای حفظ صحتِ کار خود، باید به محرمانگیِ اطلاعات مشتری خود و اطلاعات شخص ثالثی که در دسترس مشتری شما قرار دارند، احترام بگذارید. حتی اگر هیچ تقاضای رسمیای صورت نگرفته باشد یا موافقتنامهی کتبیای ثبت نشده باشد، این امر باز صادق است. شما بهعنوان کارگزارِ مشتری خود دیده خواهید شد؛ دوراندیشی و حفظ حریم شخصی لازمهی حرفهایگری هستند.
به همین ترتیب، باید حقوق مالکیت فکریِ مشتری خود و مشتریان او را تشخیص دهید و محترم شمارید. بهطور کلی، برای حفاظت از مشتری خود، باید از مشتریان او نیز حفاظت نمایید و این کار از این طریق میسر میشود که استاندارد بالایی برای حریم شخصی و امنیت اطلاعاتی قائل شوید که در اختیار مشتری خود قرار میدهید.
اولین کاری که ما انجام میدهیم…؟ چرا باید وکلای شما از ابتدا تا انتها درگیر موضوع باشند
اندکی از سخنان شکسپیر اغلبِ اوقات از سخنان جاودانِ «……………..» نقلقول (و بهاشتباه نقلقول) شدهاند: «اولین کاری که انجام میدهیم، بیایید تمام وکلا را بکُشیم.»۷۲
مصونیت وکیل-موکل
مصونیتِ بهاصطلاح وکیل-موکل یکی از قدیمیترین حفاظتهای شناختهشدهی قانونی برای اطلاعات محرمانه است که کاملاً قدرتمند است. در هر ایالتی، بهرغمِ وجود درجات متفاوتِ سهولت برای احراز مصونیت و درجات مختلف استثنای آن، مشاورههای قانونیِ دادهشده از سوی مشاور قانونی به موکل دارای «مصونیت» هستند، به این معنا که، در برابرِ افشای اجباری، از جمله در دادخواستهای مدنی، از آنها حفاظت میشود.۷۶ اطلاعاتی که با هدف کسب مشاورهی قانونی از سوی موکل به وکیل داده شده است نیز بهطور مشابه تحت حفاظت قرار دارند.۷۷ در بسیاری از حوزههای قضایی، البته نه تمام آنها، دستِکم در دادرسیِ مدنی، زمانی که دادگاهی تشخیص دهد که در جایی مصونیت شامل میشود، هر چقدر هم که توسط رقیب قانونی ادعا شده باشد که به آن اطلاعات مصونیتدار نیاز است، باز هم اهمیت حفاظتِ ناشی از مصونیت بالاتر است.۷۸ البته، این حفاظتِ تقریباًمطلق در دستِکم برخی از حوزههای قضایی، در زمینهی دادرسی جزایی، قطعیت کمتری دارد.۷۹
علاوه بر این، بهنظر میرسد دادگاهها در بسیاری از ایالات، موشکافی بسیار بیشتری در خصوصِ مشاور قانونیِ شرکتی و دیگر وکلای «درونسازمانی» انجام میدهند تا مؤسسات وکالتیِ خارجی که توسط شرکتی برای انجامِ خدمات قانونی ویژهای بهخدمت گرفته میشوند.۸۰ میتوان گفت، دادگاهها پیش از اعطای مصونیت وکیل-موکل برای ارتباطات انجامشده با مشاور قانونیِ درونسازمانی، شرکتها را وادار میکنند که از درونِ «حلقهها»ی مدرکیِ بیشتری بپرند تا برخوردی که نسبت به ارتباطات انجامشده با مؤسسات وکالتیِ خارجی دارند.۸۱
مسئلهای که برای مشاوران امنیت اطلاعات اهمیت دارد، این است که دادگاهها (اگرچه نه در زمینهی امنیت اطلاعات، بلکه در زمینههای مشابه با آن، مانند کار با حسابداران و مشاوران محیطی) اعتقاد دارند که کار فنیِ انجامشده توسط مشاوران کارشناس نیز میتواند از حفاظتِ مصونیت وکیل-موکل برخوردار گردد.۸۲ بنابراین، این حفاظت میتواند شاملِ کار مشاور شود اگر و تنها اگر موکل، وکیل را برای انجام خدمتی قانونی استخدام کرده باشد (مثلاً، برای مشاوره به موکل در خصوصِ بهترین نحوهی تطابق با HIPAA یا قوانین دیگر، که سپس وکیل، مشاور را استخدام میکند تا اطلاعات فنی موردنیاز برای ارائهی مشاورهی قانونی صحیح را در اختیار وکیل بگذارد).۸۳ و این زنجیرهی استخدام نمیتواند ساختگی یا صرفاً ظاهری باشد، طوریکه موکل از آن برای کسب اطلاعات فنی استفاده کرده است اما با بهکارگیریِ ناصحیح از حفاظتِ مصونیتدار، آن دادهها را بهطور ناصحیح پنهان سازد.۸۴
این احتمال که جوانب فنیِ ارزیابیهای امنیت اطلاعات از حفاظت بالاتری در برابرِ افشا برخوردار شوند، تأثیرات آشکاری بر نتایج ارزیابی امنیت اطلاعات دارد. «زنجیرهی استخدام» (استخدام وکیلی برای ارائهی مشاورهی قانونی که او نیز به نوبهی خود، نیاز به همکاری با کارشناسان فنی برای انجامِ برآورد/ارزیابی دارد)، اگر صادقانه و درست انجام شود، میتواند از تمام کار حفاظت نماید. برای مثال، مشاورهی قانونی و همچنین گزارشهایی فنی که نشاندهندهی آسیبپذیریهای احتمالیِ شناساییشده در امنیت اطلاعات موکل هستند، میتوانند طبقِ مصونیت وکیل-موکل تحت حفاظت قرار گیرند.
آگاهی از این امر اهمیت بسیاری دارد که مصونیت وکیل-موکل، همچون اقدامات احتیاطیِ امنیت اطلاعات، هرگز «ضدگلوله» نیست. این مصونیت مطلق نیست و در هر حوزهی قضاییای، استثنائات و راههای شناختهشدهای وجود دارند که موجب نادیده گرفتنِ حفاظت میشوند (برای مثال، اطلاعات دادهشده به وکیلی با هدفِ ارتکاب جرم یا کلاهبرداری، حفاظتشده نیستند).۸۵ اگر موکل یا وکیل، اطلاعات را برای اشخاص ثالثی فاش سازند که خارج از ارتباط بینِ وکیل (و مشاوران استخدامشده توسط وکیل) و پرسنل شرکتی معین باشند (یا در حضور چنین اشخاص ثالثی، ولو اینکه وکیل هم حاضر باشد)، ممکن است ماهیت حفاظتشدهی اطلاعاتِ مصونیتدار از بین برود.۸۶ همچنین، مواقعی پیش میآید که صلاح بر این است که مصونیت را نادیده گرفت (برای مثال، ممکن است بنگاهی تجاری یا مؤسسهای آموزشی تصمیم به نادیدهانگاریِ مصونیت بگیرد تا دفاعیهای از نوعِ «توصیهی مشاور» انجام دهد.) همچنین، یادداشت تامسون، که توسط لِری تامسون معاون وزیر دادگستری امریکا در ژانویهی ۲۰۰۳ منتشر شد،۸۷ با بیانِ عواملی که در تصمیمِ دولت مبنی بر پیگرد یا عدمِ پیگرد جزایی نقش دارند، شرکتها را ترغیب میکند که در انجام بازپرسیها با دولت همکاری نمایند. یکی از عوامل مهم این است که آیا شرکت قصد دارد مصونیت وکیل-موکل و دیگر مصونیتها را نادیده گیرد یا نه. به هر حال، برای ترغیب دولت به عدم پیگرد قانونی، بهتر است این مصونیتها را در اختیار داشت ولی آنها را نادیده گرفت، تا اینکه اصلاً این مصونیتها را نداشت.
دادگاهها به این نتیجه رسیدهاند که دلسرد نساختنِ نهادها نسبت به انجام برآوردهای خود در خصوصِ تطابق خود با قوانین اجرایی، مزیتی اجتماعی دارد که به معایبِ احتمالیِ مصونیت میارزد، معایبی مانند جلوگیری از ارائهی تمام اطلاعات مرتبط در محاکمه.۸۸ این امر حس عمومیِ خوبی نیز ایجاد میکند. اگر نهادها اطمینان داشته باشند که نتایج بهدستآمده تحت حفاظت خواهند بود، احتمال بسیار بیشتری دارد که برآوردها/ارزیابیهای تطابقیِ مخصوص به خود را در امنیت اطلاعات، و همچنین در بسیاری از عرصههای دیگر، بنا نهند.۸۹
دفاعیهی توصیهی مشاور
شوربختانه، بسیاری از مشاوران امنیت اطلاعات، بازرسان، و دیگران در بارهی نحوهی تطبیق با قوانین و مقرراتی که به باورِ آنها قابلاِعمال هستند، توصیههایی به مشتریان میکنند. این امر به چندین دلیل مهم، مشکلساز است. اول، بهطور کلی، وکلای باتجربه و واجدشرایط بهتر از دیگران میتوانند مسائل مرتبط با قانون را بهدقت تفسیر کنند و در این خصوص توصیههایی ارائه دهند. دوم، همچنان که پیش از این چندین بار اشاره شد، ممکن است افراد غیروکیل بهقصدِ ارائهی توصیهی قانونی، گرفتارِ قانون ایالتی گردند.
علاوه بر این دلایل، پیروی از توصیهی افراد غیروکیل در خصوص نحوهی تطابق با قانون، در دادخواستها، دادرسیهای مقرراتی، یا پیگردهای آتی، همان سطح از دفاعیهی قانونی را نخواهد داشت که پیروی از توصیهی وکیل دارد. در کل، موکلّی که هنگامِ گرفتنِ توصیه در بارهی تطابق با قانون امنیت اطلاعات، اطلاعات کامل و دقیقی به وکیل دهد و با حسن نیت به آن توصیه عمل نماید، میتواند از دفاعیهای موسوم به «توصیهی مشاور» برخوردار گردد.۹۰ این دفاعیه حفاظت بسیار مهمی در برابرِ مسئولیت قانونی است. پیروی از توصیهی وکیل در خصوصِ تطابق قانونیِ امنیت اطلاعات میتواند از موکل حفاظت نماید، حتی اگر آن توصیه اشتباه از آب درآید.۹۱
احراز و اجرای دقیقِ استانداردهای برآورد، مصاحبه، و گزارشنویسی
مصاحبه با پرسنل کلیدی مشتری و بازدید اسناد آنها، از اجزای مهمِ برآوردها و ارزیابیهای امنیت اطلاعات هستند. با اینکه مهندسان یا دیگر مشاوران میتوانند این کار را بهتنهایی انجام دهند، و اغلب انجام میدهند، مصاحبه و بازدید اسناد مهارتهایی هستند که وکلا تمایل دارند بهطور انحصاری در آنها خبره باشند. این دو وظیفه سهم عمدهای از کار روزانهی بسیاری از وکلا را تشکیل میدهند. بههمان اندازه که واقعاً انجامِ مصاحبهها و بازدید اسناد اهمیت دارند، اطمینان از این امر نیز اهمیت دارد که از افرادِ درستی مصاحبه صورت میگیرد و اینکه تمام اسناد مرتبط مکانیابی و بهدقت بازدید شدهاند. لازمهی این وظایف، به نوبهی خود، این است که گروه ارزیابی انعطافپذیر و گوشبهزنگِ راههای جدیدی برای پرسوجو باشند، راههایی که در طول انجامِ ارزیابی (همچنین، در طولِ آمادهسازی، و پشتیبانیِ ارزیابی) پدیدار میشوند. باز هم باید گفت که این مهارتها، مهارتهایی هستند که وکلا در عمل بهطور روزانه در رویّههای معمول خود بهکار میبرند.
صرفنظر از اینکه چقدر اطلاعات جمعآوری میگردد، تا زمانی که این اطلاعات به شکلی شفاف و قابلفهم درنیایند و در زمینهی مناسب خود قرار داده نشوند، فایدهای برای مشتری ندارند. اطلاعات نامربوط و غیرضروری باید جدا شوند. باید از زبان ساده و تشریحی استفاده کرد. مفهومِ هر تکه از اطلاعات موجود در گزارش باید بهوضوح مشخص شوند. باز هم باید تأکید کرد که شفاف و قابلفهم نوشتن، سرمایهی اصلیِ وکلای خوب است. بهکارگیریِ وکیل در پیشنویسی، یا دستِکم در بازدید و ویرایشِ گزارشهای ارزیابی امنیت اطلاعات میتواند تا حدّ بسیار زیادی مزایای این فرآیند، و محصول نهایی را برای مشتری افزایش دهد.
ایجاد سوابق مناسب برای دادرسیهای آینده
بسیاری از وکلای واجدشرایط و باتجربه میدانند که برای قضات و هیئت منصفه چگونه بنویسند. مصونیت وکیل-موکل سکهای است که روی دیگری نیز دارد که کمک میکند تا نتایج محرمانهی ارزیابیهای امنیت اطلاعات در برابر افشای اجباری در دادگاه حفاظت شوند. به بیان دیگر، در صورتی که این مصونیت به هر دلیلی ردّ شود (برای مثال، چشمپوشیِ سهوی از آن از طرفِ موکل) و گزارشی باید افشا شود، یا گزارشی در نهایت در دادرسی مفید واقع میشود و شما میخواهید آن را افشا کنید، مدیریتِ مناسبِ این فرآیند موجب میشود تا گزارشهای بهدستآمده کار خود را در دادگاه درست و بینقص انجام دهند. در چنین شرایطی، دو چیز مهم خواهد بود. اول، فرآیند ارزیابی و گزارش(های) بهدستآمده باید طبق استانداردهای مدرکی انجام شوند که این استانداردها توسط قواعد دادرسی مدنی وضع شدهاند. برای مثال، باید بهگونهای سوابق مناسبی از مصاحبهها و بازدیدهای اسناد نگهداری شوند که مبدّل به «دنبالهی کاغذی»ِ قابلدفاعی گردند تا دادگاه را متقاعد سازد که این اطلاعات بهقدر کافی قابلاطمینان هستند تا در دادگاه بهعنوان مدرک شناخته شوند. دوم، گزارشها باید بهگونهای نوشته شوند که تهدیدها و آسیبپذیریها را بهوضوح تشریح کنند، اما نباید جایی که اجازهی درازگویی نیست، در موردِ آنها زیادهگویی کنند یا با عبارات فاجعهآمیزی در خصوصِ آنها صحبت کنند.
وکلا، و بهویژه وکلای باتجربهی دادرسی، تمایل دارند که در هر دو وظیفه مهارت یابند.
بیشینهسازیِ امکان دفاع در دادرسی
در واقع، تمام مزایایی که پیش از این در خصوصِ بهکارگیریِ مشاور قانونیِ واجدشرایط و باتجربه مطرح شدند، به حرفهایهای امنیت اطلاعات و مشتریان آنها کمک خواهند کرد تا در دادرسیهای آینده امکان دفاع داشته باشند و، به همان اهمیت، طرفین دعوی را از پیگرد قانونی در همان وهلهی اول بازمیدارد. مزیت دیگری نیز برای دفاع از دادرسی احتمالی وجود دارد، که اغلب از آن اینگونه تعبیر میشود: «در هنگامِ از زمین بلند شدن، در هنگامِ به زمین نشستن.» بهویژه در عرصههای تجاری که خطر ذاتیِ قابلتوجهی برای کنش اجرایی یا دادرسی دارند، در اختیار داشتنِ وکلای واجدشرایط و باتجربهی دادرسی که از همان ابتدای فرآیند تجاری و در کلّ آن فرآیند دخیل باشند، کمک میکند که تواناییِ مشاوران امنیت اطلاعات و مشتریان آنها برای استقامت در برابر دادرسیهای آینده بیشینه گردد.
تعامل با مأموران تنظیمکنندهها، اجرای قانون، امنیت وطنبوم، و سرویس اطلاعاتی
ملاقات شما با عمو سام دستِکم از دو راه میتواند رخ دهد: شما میتوانید با او تماس بگیرید، یا او با شما تماس میگیرد. راه اول ترجیح داده میشود.
سناریوی اول از چند راه میتواند پدیدار شود. ممکن است مشتری شما تصور کند که قربانیِ حملهای به سیستمهای اطلاعاتیاش، یا حملهای مرتبط با تروریسم یا حملهای دیگر شده است، و نیز نمیتواند آن حمله را متوقف نماید، نمیتواند منشأ آن را پس از اتمامِ آن معین سازد، یا نمیتواند مشخص سازد که آیا حملهکنندگان در فکرِ حملات دیگری در زمانی دیگر هستند یا نه. یا ممکن است مشتری شما واقعاً تصور کند که کارِ درست، تماس با مراجع مربوطه است. به هر حال، ممکن است آن مراجع بخواهند که بهعنوان بخشی از بازپرسیِ خود صحبتی با شما داشته باشند- و احتمالاً شما را برای شهادت در دادگاه احضار کنند. از سوی دیگر، ممکن است زمانی که شما در حالِ کار بر روی سیستمهای مشتری هستید، حملهای رخ دهد که در نتیجه، شما را تبدیل به «اولین پاسخگو» میسازد.
سناریوی دوم، اینکه عمو سام بهطور مثبت با شما و/یا مشتریان شما تماس بگیرد، نیز ممکن است از چند راه پدیدار شود، اما دو چیز بهوضوح ثابت هستند. اول اینکه، دولت پیش از تماس با مشتری شما، بهطور کامل سیستمهای مشتری شما را بررسی خواهد کرد. دوم اینکه، زمانی که آنها از راه میرسند، معمولاً اطلاعاتی را که نیاز دارند، بهدست خواهند آورد، حتی اگر احضاریه یا حکم تفتیشی لازم باشد. همچنان که طبق راهبرد ملی برای ایمنسازی فضای سایبری، و بهویژه از ۱۱ سپتامبر به بعد، لزوم وجودِ نوعی از «واحد سایبری» در بسیاری از سازمانهای اجرای قانون، اطلاعاتی، و امنیت وطنبوم ملی به اثبات رسید، هر نوع نقض امنیت سایبری که میتواند امنیت ملی ما را تهدید کند، بهشدت موردتوجه عمو سام قرار گرفته است. این توجه، و اقدامات تند و تهاجمیِ دولت برای تحت پیگرد قرار دادنِ آن، احتمالاً رو به افزایش خواهند بود.
در هر دو سناریو (تماس داوطلبانه یا غیرداوطلبانه با دولت، از جمله دوایر اجرای قانون ایالتی)، آنچه شما و/یا مشتریان شما در چند ساعت اولیه انجام میدهید میتواند نقشی حیاتی در این خصوص داشته باشد که سیستمهای اطلاعاتی و اطلاعات حساس آنها در پایانِ فرآیند تا چه میزان دستنخورده و سالم باقی میمانند. چه کسی اختیارات لازم را دارد تا با مراجع دولتی صحبت کند؟ چه چیزهایی را میتوان به آنها گفت و چه چیزهایی را نمیتوان؟ پیش از دادنِ اجازهی ورود به آنها، تا چه حد اختیار قانونی (درخواست در برابرِ حکم تفتیش در برابر احضاریه) لازم است؟ آیا اطلاعاتی وجود دارند که نباید اجازهی بازدید آنها را داد؟ مسئولیت قانونیِ احتمالی در قبالِ اشتراک بیش از حدّ اطلاعات چیست؟ کمتر از حد، چطور؟ واضح است که مشتریان شما (و شما، در صورتی که در این امر دخیل باشید) میخواهند که با درخواستهای درست و قانونی همکاری کنند، و در واقع، ممکن است خودِ آنها درخواستِ کمک از دولت کرده باشند، اما تمام بنگاهها، مؤسسات آموزشی، و مشاوران امنیت اطلاعات باید مراقب باشند که در اثر نحوهی برقراری تماسهای خود با مراجع قانونی، مسئولیت مدنی یا جزایی برای خود ایجاد نکنند.
یک بار دیگر، نکات کلیدی را یادآوری میکنم: (۱) فوراً از مشاور قانونی واجدشرایطی کمک بخواهید که هم در قانون امنیت اطلاعات و هم در تعامل با مأموران اجرای قانون، سرویس اطلاعاتی، و امنیت وطنبوم باتجربه باشد؛ و (۲) پیشاپیش طرح مناسبی را در این خصوص در دست داشته باشید که چگونه با چنین مراجعی تعامل خواهید داشت، از جمله اینکه مشاوری قانونی را آمادهبهکار در دست داشته باشید.
نکات پنهان…
آنچه باید از وکلای خود انتظار داشته باشید
هر کسی که وکیلی را با هر هدفی بهکار میگیرد، میتواند انتظارِ برخی از مشخصات بدیهی را از او داشته باشد. از جملهی این موارد، راستی و درستی، شهرتی خوب در جامعهی قانونی، و صلاحیت کلی است. همچنین، شما باید وکیلی با پیشینهای قوی در تراکنشهای تجاری و شرکتی را درنظر بگیرید که با فرآیند قرارداد بستن آشنا باشد. هنگامی که اقدام به تهیهی فهرست خلاصهای از وکلای احتمالی برای انجام مصاحبه میکنید، یکی از ابزارهایی که میتواند در این راستا برای ارزیابیِ این ویژگیها مفید واقع شود، شرکتی با نام مارتیندِل هابِل (www.martindale.com) است. بهدنبالِ وکلایی با رتبهی «AV» (بالاترین رتبهی مارتیندل) بگردید.
(یادداشت: هرگز وکیلی را بدون دستِکم یک ملاقات رودررو استخدام نکنید، ملاقاتی با این منظور که ببینید حسّ شما به شما چه میگوید، آیا میتوانید با آن وکیل کار کنید یا نه.)
در عرصهی ارزیابی امنیت اطلاعات، شما باید بهدنبالِ وکلایی با تخصص عمیق و وسیع در این زمینه باشید. بهترین راه برای انجامِ چنین کاری این است که بهدنبالِ ملاکهای خارجی و مستقلاً قابلتاییدی بود که اعتبارنامهی آزمودهی وکیل یا مؤسسهای حقوقی را به اثبات رسانند (برای مثال، آیا نامِ وکیلی که شما بهدنبالِ بهکارگیریِ او هستید، در فهرست وبگاه دایرهی امنیت ملی (NSA) جزء افرادی آمده است که بهعنوان آموزشدیده در روششناسی بیمهی امنیت اطلاعات (IAM)ِ این دایره گواهی گرفتهاند؟ در این صورت، در وبصفحهی مربوطهی NSA (برای مثال، www.iatrp.com/indivu2.cfm#C) ، فهرستی مانندِ این خواهید یافت:
Cunningham, Bryan, 03/15/05, (303) 743-0003, bc@morgancunningham.net)
آیا وکیلی که شما درنظر میگیرید، اثر منتشرشدهای را در عرصهی قانون امنیت اطلاعات نوشته است؟ آیا منصبی را مرتبط با امنیت اطلاعات، چه در دولت یا چه در جایی دیگر، برعهده داشته است؟ در نهایت، بررسیِ شمِّ شما است. چه حسی در بارهی وکیل احتمالی خود دارید؟ آیا هنگامِ کار با او راحت هستید؟ آیا او شفاف و مختصر ارتباط برقرار میکند؟ آیا بهنظر میرسد او بیشتر علاقه دارد که هوای خود را داشته باشد تا اینکه به شما برای حفاظت از علایقتان مشاورهی قانونی دهد؟
اصول اخلاقی ِ ارزیابی امنیت اطلاعات۹۲
فیلسوف قرن هجده، امانوئل کانت، چنین گفتهای دارد که: «در قانون، شخص زمانی گناهکار است که حقوق دیگران را نقض کند. در اخلاق، او گناهکار است حتی اگر فقط به انجامِ آن فکر کند.»۹۳ اخلاقی اندیشیدن و عمل کردن، به چیزی بیش از صرفاً تطابق کامل با قانون نیاز دارد. لازمهی این امر، درکِ مشتری خود، محیط تجاری آنها، و وظایفی است که مشتری شما، طبق ملزومات مادهقانونی و نیز قراردادهای خصوصی، نسبت به دیگران برعهده دارد. پاداش این امر، افزایشِ احتمال تطابق با قوانین و کسب اعتبار در جامعه است که احتمالِ ایجاد مناقشه با مشتریان را کاهش و قابلیت بازاریابیِ شما را افزایش میدهد. اخلاق به رفتار شما ربط پیدا میکند و نه به رفتار آنهایی که شما با آنها تراکنش تجاری دارید. البته، این موضوع غیراخلاقی نیست که مراقبِ این احتمال باشید که دیگرانی که شما در حالِ دادوستد با آنها هستید، خودشان غیراخلاقی هستند. سادهلوح نباشید. پیروی از رویّهای اخلاقی، جایگزین این نیاز نمیشود که شما باید از طریق فرآیندهای قابلاطمینان، روششناسیهای استوار، و قراردادهای بهخوبی-پیشنویسشدهای از خود حفاظت نمایید که شاملِ کار تعریفشده، محدودیتهای مسئولیت، و پرداخت غرامت باشند.
اجازه ندهید نقض حقوق دیگران به ذهن شما خطور کند. میانبُر نزنید. تصور نکنید میتوانید کار خود را بدونِ درکِ نیازها و حقوق دیگران و اقدام به حفاظت از آنها انجام دهید. کوتاهی در درکِ حقوق مشتریانی که برای کمک به آنها بهکار گرفته شدهاید، یا حقوق آنهایی که با مشتریان شما سروکار دارند، معادل با اندیشیدن به نقض حقوق آنها است. بنابراین، لازمهی کسبوکار اخلاقی این است که بازیگران این عرصه را بشناسید و بدانید که حقوق چهکسانی در خطر هستند.
در نهایت اینکه، هرچند بدیهی بهنظر میرسد، کار خود را بهخوبی انجام دهید. مارتین وَن بیورِن این توصیه را داشت که «درست انجام دادن کار، راحتتر است تا توضیحِ اینکه چرا آن را انجام ندادید.» اغلب، مشتریان برای مستندسازیِ رابطه و کسب رضایتهای لازم پیش از آغاز کار، روی میانبُرها پافشاری میکنند و پیشنهادهایی را که نیاز به تأخیرات زمانی دارند، رد میکنند. مشتریان خیلی زود تقاضاهای اخیر خود برای صرفهجویی در هزینه و عجله در بهپایان رساندنِ پروژه را فراموش میکنند. تسلیم نشوید و استوار بمانید. کار را درست انجام دهید تا مجبور نشوید برای مشتری عصبانی، دادستان، قاضی، یا هیئت منصفهای توضیح دهید که چرا این کار را انجام ندادید.
مرور فشردهی رهیافتها
عمو سام به شما نیاز دارد:
چگونه امنیت اطلاعات شرکت شما میتواند بر امنیت ملی امریکا اثر بگذارد (و برعکس)
- دولت امریکا هم احتمالِ حملهی امنیت اطلاعاتیِ قابلتوجهی علیه زیرساخت حیاتیِ امریکای ما، و قصدِ آن برای واکنش مؤثر به چنین حملهای در صورت لزوم، و هم وظیفهی بخش خصوصی برای ایمنسازیِ بهترِ سهم خود از فضای سایبری را اعلام کرده است.
- اگرچه هیچ کس نمیتواند پیشبینی کند که چنین حملهای ممکن است چهزمانی و به چه شدتی باشد، نهادهای آموزشی و اقتصادی محتاط، پس از حملات یازده سپتامبر ۲۰۰۱، باید اینگونه فرض کنند که چنین حملهای اتفاق خواهد افتاد و بر این اساس عمل نمایند.
- این موضوع دلیل دیگری است، فراتر از نیازهای کاریِ تجاری، ملزومات قانونی و مقرراتی، و اطمینان مشتری، بر اینکه چرا نهادهای آموزشی و اقتصادی باید مشاور قانونی واجدشرایط و باتجربه و ارائهدهندگان امنیت اطلاعات فنی را خیلی زودتر از آنکه دیر شود، استخدام کنند.
استانداردهای قانونیِ مرتبط با امنیت اطلاعات
- بافت پیچیدهای از مواد قانونی، مقررات، و قوانین نانوشتهی فدرال، ایالتی، و بینالمللی در حالِ تکامل است تا تکالیفی قانونی برای نهادهای آموزشی و اقتصادی در عرصهی امنیت اطلاعات ایجاد نمایند.
- مشاوران غیروکیل، حتی آنهایی که مطلع و وارد هستند، بهلحاظ قانونی نمیتوانند در خصوصِ تطابق با این قوانین توصیهای ارائه دهند، و نهادهای آموزشی و اقتصادی نباید برای انجام چنین کاری به آنها تکیه کنند.
- این فصل نمیتواند توصیهای قانونی به نهادهای آموزشی یا اقتصادی (یا هر کس دیگری) ارائه دهد. تنها مشاور قانونی واجدشرایط، گواهیدار، و باتجربه در ارتباطی مستقیم با موکلان آموزشی و شرکتیِ اختصاصی میتواند چنین کاری انجام دهد.
قوانین و مقررات منتخب
- در سطح فدرال امریکا، HIPAA، GLBA، SOX، قانون سوءاستفاده و کلاهبرداری رایانهای، و دیگر مواد قانونی و مقررات پایینتر از آنها، بههمراهِ دیگر قوانین جدیدی که همچنان پدید میآیند، همواره در حالِ ایجاد وظایف قانونیِ جدیدی در زمینهی امنیت اطلاعات هستند.
- قوانین ایالتی و نظریههای «قوانین نانوشته»ای مانند مسامحه نیز ممکن است منجر به مسئولیت به دلیلِ کوتاهی در پیگیریِ «استانداردهای مراقبتی»ِ در حالِ ظهور گردد.
- خسارات مدنی، کنش مقرراتی و، در برخی موارد، حتی مسئولیت جزایی، ممکن است از کوتاهیِ بخشی از نهادهای آموزشی و اقتصادی و نیز مشاوران امنیت اطلاعاتی ناشی شوند که به آنها خدمات میدهند، کوتاهی در کسب (و پیروی از) توصیهی مشاور قانونی واجدشرایط و باتجربه در خصوص وظایف قانونی بسیاری که در حالِ ظهور هستند.
یا کار خود را درست انجام میدهید یا روی شرکتِ خود قمار میکنید: ابزارهایی برای کاهش مسئولیت قانونی
- حرفهایهای قانونی و فنی، خارجی، و واجدشرایطی را استخدام کنید.
- روابط قراردادی خود را بهطور مؤثر مدیریت نمایید تا مسئولیت خود را کمینه سازید.
چه چیزهایی باید در قراردادهای IEM قید شوند۹۴
- مشاوران امنیت اطلاعات باید اطمینان یابند که وظایف و حقوق قانونی آنها، و مشتریان آنها، بهوضوح و ریزبهریز در موافقتنامههای کتبی دقیقی بیان شده است.
- دستِکم، این قراردادها باید عناوینِ مطرحشده در متن این فصل را دربربگیرند.
- در اغلبِ موارد اجازهنامهها، که اسناد مجزایی هستند که به قرارداد کلّی ملحق شدهاند، باید بهوضوح اختیارات، و تمام محدودیتهای مشاوران امنیت اطلاعات را در دسترسی و انجام آزمایش بر روی تمام انواع اطلاعات، سیستمها، و بخشهایی از اینترنت احراز نمایند، بخشهایی که برای انجامِ کار خواستهشده ضروری هستند.
اولین کاری که ما انجام میدهیم…؟ چرا باید وکلای شما از ابتدا تا انتها درگیر موضوع باشند
- وکلا در نقشِ شرّ ناگزیری برای تمام مشاوران امنیت اطلاعات و مشتریان آنها هستند.
- وکلا، از بین باقیِ چیزها، از این طریق ارزش افزوده ایجاد میکنند: (۱) کمک به احراز حفاظت در برابرِ افشا، هم برای اسرار تجاری و آسیبپذیریهای کشفشدهی امنیت اطلاعات مشتری و هم برای روششناسی کاریِ مشاوران امنیت اطلاعات؛ (۲) ایجاد دفاعیههای قانونی اضافی در برابرِ مسئولیت آینده.
- وکلا (و تنها وکلا) میتوانند بهلحاظ قانونی به موکلان توصیه کنند که چگونه به بهترین نحو با HIPAA، GLBA، SOX، و دیگر ملزومات قانونیِ مواد قانونی، مقررات، و قوانین نانوشتهی فدرال و ایالتی تطابق یابند.
پرسشهای متداول
پرسشهای متداول زیر، که توسط نویسندگان این کتاب پاسخ داده شدهاند، با این هدف طراحی شدهاند که هم میزان یادگیری شما از مفاهیم ارائه شده در این فصل را بسنجند و هم به شما کمک کنند تا با کاربرد عملی این مفاهیم آشنا شوید. برای پاسخگویی به پرسشهایتان در مورد این فصل توسط نویسندهی مربوطه، به آدرس www.syngress.com/solutions بروید و روی فرم «Ask the Author (از نویسنده بپرسید)» کلیک کنید.
پرسش: اگر من مشاور امنیت اطلاعاتِ مطلّعی باشم، چرا نمیتوانم در بارهی تطابق با ملزومات امنیت اطلاعاتِ HIPAA یا SOX به مشتریان توصیه کنم؟
پاسخ: انجام چنین کاری نه تنها شما را در معرض این خطر قرار میدهد که ممنوعیتهای قوانین ایالتی را در خصوص رویّهی قانونی غیرمجاز نقض نمایید، بلکه نه میتواند حفاظتِ مصونیت وکیل-موکل را در برابرِ افشای اطلاعاتِ آسیبپذیریها به مشتریان شما بدهد و نه دفاعیهی «توصیهی قانونی» را.
پرسش: چرا دخالتِ وکیل درونسازمانیِ من، حفاظت کافی در خصوص مصونیت وکیل-موکل به من نمیدهد؟
پاسخ: بستنِ قراردادِ ارزیابیهای امنیت اطلاعات از طریق مشاور قانونیِ درونسازمانی، بهتر از این است که در کل چنین چیزی نباشد. اما، همچنان که پیش از این بحث شد، دادگاههای چندین حوزهی قضایی برای اینکه امکان استفاده از مصونیت وکیل-موکل را در خصوص مشاور قانونیِ درونسازمانی بدهند، استاندارد بالاتری را در مقایسه با همین مصونیت برای وکلای خارجیِ استخدامشده وضع میکنند.
پرسش: چندوقت یکبار باید ارزیابیهای امنیت اطلاعات را انجام دهم؟
پاسخ: دادگاهها و مقررگرها تصمیمگیریای «متعارف» را در خصوصِ این پرسش لحاظ میکنند، تصمیمی که مبتنی بر بودههای موجود خواهد بود، بسته به صنعتی که شما در آن قرار دارید، انواع و حجمِ اطلاعاتی که در اختیار دارید، و در عین حال، وضعیت کنونیِ ملزوماتی قانونی و مقرراتی که در موردِ کسبوکار شما قابلاِعمال هستند. اما در کل، احتمالاً کمتر از یک بار در سال نخواهند بود، و در بسیاری از موارد، بیشتر نیز خواهند بود.
پرسش: بهکارگیریِ وکیل در جریانِ ارزیابیهای امنیت اطلاعات، چقدر به هزینهی این کارها میافزاید؟
پاسخ: با این فرض که شما مشاور قانونیِ واجدشرایط و باتجربهای را پیدا میکنید که با مشاوران فنیِ واجدشرایطِ همترازی کار میکند، و آن دو گروه، با شراکتِ هم، محصول یکپارچهای را ارائه میدهند که به شیوهای متعارف و بستهبندیشده قیمتگذاری شده است، هزینههای شما بسیار کمتر از زمانی خواهد بود که صرفاً از شرکتهای مشاورهایِ بزرگ و گرانقیمتی استفاده کنید که بر اساسِ ساعت درجهبندی شدهاند.
پرسش: چقدر احتمال دارد که حملهی اطلاعاتیِ فاجعهباری به کشور ما صورت گیرد؟
پاسخ: اختلافات بسیاری بر سرِ این پرسش، از جمله میان نویسندگان این فصل، مطرح است. اما، دولت امریکا خطمشیِ علناً اعلانشدهای در خصوصِ احتمال چنین حملهای، و پسا یازدهِ سپتامبر، در پیش گرفته است که در موردِ احتمال رخدادِ چنین حملهای محتاط عمل میکند. شاید مهمتر از همه این است که فرضِ احتمال رخداد چنین حملهای، صرفاً پشتیبانی است برای دلایل تجاریِ بیشمار دیگری که اقدامات امنیت اطلاعاتی را توجیه میکنند، از جمله دلیلی که وکلا بهندرت در بارهی آن صحبت میکنند: کارِ درست، انجامِ چنین کاری است.
پرسش: چرا هماکنون دانشمندان از وکلا بیش از موشها برای آزمایشها استفاده میکنند؟
پاسخ: (۱) هماکنون وکلا بیش از موشها در دسترس هستند؛ (۲) احتمال دارد که دانشمندان بهلحاظ احساسی به موشها وابسته شوند؛ و (۳) چیزهایی وجود دارند که شما نمیتوانید موشی را مجبور به انجامِ آنها کنید.
مراجع
۱ این فصل با همکاریِ افراد زیر نوشته شده است: برایان کانینگهام، مدیر شرکت مورگان و کانینگهام، مؤسسهی حقوقی و مشاورهایِ امنیت وطنبومِ مبتنی بر دِنوِر، و نایبمشاور قانونیِ پیشینِ شورای امنیت ملی امریکا و کمکمشاور قانونی عمومی، دایرهی اطلاعات مرکزی؛ سی. فارِست مورگان، مدیر شرکت مورگان و کانینگهام، و آماندا هابِرد، ترایِل اِتِرنی، وزارت دادگستری امریکا با تجربهی گستردهای در جامعهی اطلاعاتی امریکا. همچنین، نویسندگان از همیاریِ نیر دی. یاردِن در زمینهی پژوهش و آنالیز، قدرشناسانه سپاسگزاری میکنند.دیدگاههای بیانشده در اینجا بهندرت دیدگاههای نویسندگان هستند و لزوماً دیدگاههای ناشر یا دولت امریکا را انعکاس نمیدهند.
۲ این بخش، تا حدی، از قسمتهایی از صفحههای ۷ تا ۱۱ ِ برآورد امنیت: مطالعات موردی برای پیادهسازیِ NSA IAM، استخراج شده است که با اجازهی شرکت انتشاراتی سینگرس بهکار رفته است.
۳ Kennedy v. Mendoza-Martinez, 372 U.S. 144, 160 (1963).
۴ برای مثال، نگاهی کنید به رأی ۱۹۹۳ ِ وزارت دادگستری امریکا ادارهی مشاور قانونی: «مفهومِ «اجرا» گسترده است، و مادهی قانونیِ مفروض میتواند به روشی «اجرا» شود جز پیگرد جزایی که مستقیماً تحت آن آورده شده است.»
Admissibility of Alien Amnesty Application Information in Prosecutions of Third Parties, 17 Op. O.L.C. (1993);
همچنین نگاهی کنید به رأی ۱۸۹۸ ِ دادستان کلّ وقت، جان کِی. ریچاردز:
صیانت از تمامیت ارضی ما و حفاظت از منافع خارجی ما وظیفهای است که در وهلهی اول به رئیسجمهور سپرده شده است…. در حفاظت از این حقوق بنیادین، که مبتنی بر قانون اساسی و در حالِ گسترش به فراتر از حوزهی این کشور ورای قلمرو خود و حقوق و وظایف بینالمللی خود بهعنوان حاکمیتی مجزا هستند، رئیسجمهور محدود به اجرای اَعمال معینی از کنگره نیست. [رئیسجمهور] باید از آن حقوق بنیادین صیانت، حفاظت، و دفاع کند که این حقوق از خودِ قانون اساسی ناشی میشوند و متعلق به حق حاکمیتی هستند که قانون اساسی ایجاد کرده است.
Foreign Cables, 22 Op. Att‘y Gen. 13, 25-26 (1898);
همچنین، نگاهی کنید به:
Cunningham v. Neagle, 135 U.S. 1,64 (1890).
۵ همان که در پانوشت ۱۳ مطرح شده است.
۶ United States National Strategy to Secure Cyberspace, February 14, 2003 (hereinafter “National Strategy”) at 10.The National Strategy is available at: http://www.whitehouse.gov/pcipb/.
۷ نگاهی کنید به شهادت کِیت لوردئو، نایبمعاون رئیس، واحد سایبری، FBI در حضورِ زیرکمیسیون قضایی سنا در موردِ تروریسم، فنآوری، و امنیت وطنبوم، ۲۴ فوریهی ۲۰۰۴ («طبقِ برآوردِ FBI میزان تهدید تروریسم سایبری در امریکا بهسرعت در حالِ گسترش است، چرا که تعداد افرادِ دارای این توانایی که از رایانهها برای اهداف غیرقانونی، مضر، و احتمالاً تخریبی استفاده کنند، در حال افزایش است. گروههای تروریستی علاقهی بارزی به توسعهی ابزارهای پایهایِ هک نشان دادهاند و FBI پیشبینی میکند که گروههای تروریستی، بهویژه با هدفِ اجرای حملات فیزیکی بزرگ با استفاده از حملات سایبری، هکرهایی را تربیت یا اجیر خواهند کرد.»)؛
Robert Lenzner and Nathan Vardi, Cyber-nightmare, http://protectia.co.uk/html/cybernightmare.html.
۸ Id.
۹ Frontline interview conducted March 18, 2003, at http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/clarke.html.
۱۰ http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/clarke.html.
۱۱ http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/clarke.html; Hildreth, CRS Report for Congress, Cyberwarfare, Updated June 19, 2001, at 18, at http://www.fas.org/irp/crs/RL30735.pdf
۱۲ Cyberwarfare. at 2.
۱۳ ایدهی حملهی سایبریِ فاجعهبار توسط گروههای تروریستی علیه امریکا فاصلهی بسیار زیادی تا پذیرش همگانی دارد. برای مثال، نگاهی کنید به:
James A. Lewis, Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats, Center for Strategic and International Studies, December 2002, at http://www.csis.org/tech/0211_lewis.pdf.
علاوه بر این، همچنان که پیش از این گفته شد، یکی از سه نویسندهی این فصل اعتقاد دارد، با اینکه بهلحاظ فنی امکان چنین چیزی هست، اما اغلب در موردِ این تهدید، دستِکم بهعنوان احتمالی نزدیکدست، اغراق شده است. اما، برای حرفهایهای امنیت اطلاعات و مشتریان آنها، روش احتیاطی- با توجه به توانایی، مقصود، و فرصتِ دشمن و خطمشیِ بیانشدهی دولت امریکا در خصوصِ آمادگی برای واکنش به حملهی سایبری- این است که احتمال چنین حملهای را درنظر بگیرند. علاوه بر این، فراوانیِ تهدیدهای فعالِ شناختهشده علیه امنیت اطلاعات، از جمله اخاذها، سارقانِ هویت، باندهایی که اقدام به گردآوری و فروش اطلاعات مالی و دیگر اطلاعات شخصیِ ارزشمند میکنند، بد-هکرها، و دیگران، دقیقاً همان انگیزهای را برای ایمنسازیِ سیستمهای اطلاعاتی ایجاد میکنند که تروریستهای سایبری انجام میدهند.
۱۴ برای مثال، نگاهی کنید به:
Law of Armed Conflict and Information Warfare—How Does the Rule Regarding Reprisals Apply to an Information Warfare, Attack?, Major Daniel M.Vadnais, March 1997, at 25
(«تا حدّی که جنگ اطلاعات، در قالب معنای سنتّیِ آسیب وارده به تمامیّت حاکمیتی قرار میگیرد، قانون تعارض مسلح باید اِعمال شود، و طرفین، حقّ تلافیِ متقابل را دارند. از طرف دیگر، آنجا که آسیب وارده به تمامیت حاکمیتی، فیزیکی نیست، حفرهای در قانون وجود دارد.»).
http://www.fas.org/irp/threat/cyber/97-0116.pdf.
۱۵ Id.
۱۶ National Strategy at p. 59 (A/R 5-4).
۱۷ National Strategy at p. 49 (Priority V: National Security and International Cyberspace Security Cooperation).
۱۸ حملاتی که از درون امریکا علیه ما صورت میگیرند، تقریباً همانقدر برای کشور ما خطرناک هستند که اگر سرورهای زومبیدهی اینجا برای انجامِ حملهای علیه کشوری دیگر بهکار گرفته میشدند. واکنش چین یا ایران را در شرایطی تصور کنید که سرورهای درونِ امریکا بهکار گرفته شدهاند تا خسارتی به زیرساخت آنها یا آسیبی به مردم آنها وارد آورند. اول اینکه، احتمالاً آنها تکذیبهای دولت ما را باور نخواهند کرد که این کنشهای کشمکشزا بهعمد توسط دولت ما انجام نشده است. دوم اینکه، حتی اگر آنها چنین تکذیبهایی را واقعاً باور کنند، هنوز ممکن است احساس کنند که باید با شدتِ عمل واکنش نشان دهند تا سیستمهای افرادی را که بهنظرِ آنها همان حملهکنندگان به آنها هستند، غیرفعال یا نابود سازند، و/یا آن افراد را مجازات سازند.
۱۹ بهویژه بهدنبالِ رخنههای امنیتی معروفِ سال ۲۰۰۵ در چویسپوینت، لِکسیسنِکسیس، مسترکارت، بآنکهای بزرگ، دیگر نهادهای اقتصادی، و دانشگاهها، سعی شد تا تعدادی از مواد قانونی از طریق کنگرهی امریکا وضع شوند، یا خبر از تصویب آنها در آیندهی نزدیک داده شد، قوانینی که افشای رخنههای امنیت اطلاعاتی و/یا اقدامات امنیت اطلاعاتی بهتری را الزامی میکردند. نگاهی کنید به:
Roy Mark, Data Brokers Step Into Senate Panel’s Fire, e-Security Planet.com, http://66.102.7.104/search?q=cache:REXdffBCvEYJ:www.esecurityplanet.com/trends/article.php/3497591+specter+and+information+security+and+disclosure&hl=en.
۲۰ ۱۵ U.S.C. §§ ۶۸۰۱, et. seq.
۲۱ ۱۵ U.S.C. § ۶۸۰۱(b).
۲۲ ۱۵ U.S.C. §§ ۶۸۰۴ – ۶۸۰۵.
۲۳ Available at http://www.ffiec.gov/ffiecinfobase/resources/elect_bank/
frb-12_cfr_225_appx_f_bank_holding_non-bank_affiliates.pdf.
۲۴ Guidelines.
۲۵ Id.
۲۶ Id.
۲۷ Id.
۲۸ Id.
۲۹ EPHI در قانون به این صورت تعریف میشود: اطلاعات بهداشتیِ شخصاً شناساییپذیری که بهوسیلهی رسانهی الکترونیکی جابهجا میشوند، یا در آن نگاهداری میشوند، بهاستثنای چندین دستهبندی محدود از سوابق آموزشی، استخدامی، و دیگر سوابق. ۴۵ C.F.R. part 106.103. البته، توجه داشته باشید که قاعدهی حریم شخصیِ HIPAA نیز بهطور مجزا «امنیت مناسب» را برای تمام PHIها، حتی اگر بهشکلِ الکترونیکی نباشند، الزامی میسازد.
۳۰ ۴۵ C.F.R. part 164.
۳۱ در آوریل سال ۲۰۰۵ تطابق با قاعدهی امنیتی برای همه بهجز طرحهای مراقبت بهداشتی کوچک الزامی شد. طرحهای مراقبت بهداشتی «کوچک» باید تا آوریل سال ۲۰۰۶ تطابق یابند.
۳۲ ۴۵ C.F.R. part 164.
۳۳ Id. یکی از دلایلِ حیاتی بودن بهکارگیریِ مداومِ مشاور قانونی واجدشرایط و باتجربه از سوی حرفهایهای امنیت اطلاعات این است که «متعارفپیشبینیشده» در اصل، استانداردی قانونی است که بهبهترین نحو توسط مشاور قانونی درک و تشریح میشود و نیز به این دلیل که آنچه «متعارفپیشبینیشده» است، همواره با کشف و همگانیسازیِ تهدیدات جدید، در حالِ تکامل است و برنامههای امنیت اطلاعات باید همگام با آن تکامل یابند تا مسئولیت قانونی کاهش یابد.
۳۴ Id.
۳۵ Id.
۳۶ یادآوری این نکته حائز اهمیت است که میزان قابلتوجهی از این ملزومات فرآیندی و روندی، فنی نیستند. این امر، از میان دیگر ملاحظات، موجبِ توصیه به استفاده از گروههای چندتخصصی میشود، که کارشناسان فنی فقط یکی از اعضای آن گروهها هستند که ارزیابیهای امنیت اطلاعات را اجرا و مستند میکنند.
۳۷ ۴۵ C.F.R. Part 164.308.
۳۸ ۴۵ C.F.R. Part 164.310.
۳۹ ۴۵ C.F.R. Part 164.312.
۴۰ ۱۸ U.S.C. § ۱۳۵۰.
۴۱ SOX § ۴۰۴.
۴۲ SOX § ۳۰۲.
۴۳ FISMA,Title III of the E-Government Act of 2002, Public Law No. 107-347.
۴۴ FN: 20 U.S.C § ۱۲۳۲g
۴۵ As enacted, the TEACH Act amended Section 110 of the Copyright Act. 17 U.S.C. §۱۱۰.
۴۶ ۱۸ U.S.C. § ۲۵۱۰, et. seq.
۴۷ ۱۸ U.S.C. § ۱۰۳۰, et. seq.
۴۸ از دیگر قوانین و مقررات فدرالی که بالقوه به کار حرفهایهای امنیت اطلاعات و مشتریان آنها مرتبط است، میتوان به موارد زیر اشاره کرد، هرچند محدود به این موارد نیستند: قانون حفاظت از حریم شخصی آنلاین کودکان ۱۹۹۸، استانداردهای امنیت اطلاعات که توسط مؤسسهی ملی استانداردها منتشر شدهاند، دستورالعمل تصمیمگیریِ ریاستجمهوریِ ۶۳ (۲۲ ماه میِ سال ۱۹۹۸)، و دستورالعمل ریاستجمهوری امنیت وطنبومِ ۷ (۱۷ ماه دسامبر سال ۲۰۰۳). علاوه بر این، قوانین ایالتیِ فراوانی، از جمله مواد قانون تراکنشهای مالی یکپارچه و کد اقتصادی یکپارچه، که در ایالات مختلف وضع شدهاند، ملزومات امنیت اطلاعات را برای بخشهای اقتصادی معین و/یا انواع تراکنشها الزامی میسازند.
۴۹ Colorado Revised Statutes § ۱۸-۵.۵-۱۰۲.
۵۰ Colorado Revised Statutes § ۶-۱-۱۰۵.
۵۱ Colorado Revised Statutes § ۶-۱-۱۰۵(e).
۵۲ Colorado Revised Statutes § ۶-۱-۱۰۵(u).
۵۳ بین سالهای ۲۰۰۱ و ۲۰۰۵ چنین اعمالی علیه شرکت مایکروسافت، ویکتوریاز سِکرِت، اِلی لیلی، و زیف دِیویس مِدیا انجام شدند. برای مثال، نگاهی کنید به:
http//www.ftc.gov/os/2002/08/microsoftagree.pdf;
http://www.oag.state.ny.us/press/2002/aug/aug28a_02_attach.pdf.
۵۴ Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal of the European Communities of 23 November 1995 No L. 281, 31, available at http://www.cdt.org/privacy/eudirective/EU_Directive_.html.
۵۵ برای مثال، نگاهی کنید به رونوشت استماع دفاعیات در حضور قاضی بخشِ امریکا رویس لامبِرت، که در آن، مشاور امنیت اطلاعاتی بهطور علنی بهمدت چند روز، در ارتباط با نفوذ آزمایشیِ انجامشده برای ادارهی امور هندِ امریکا، تحت استنطاق و استنطاق مخالف با یاد سوگند قرار میگیرد.
۵۶ برای مثال، مقالهی زیر نکتههایی را برای تحکیم امنیت خود و حفاظت از بنگاه خود در برابر سارقان و هکرهای درِپشتی ارائه میدهد:
B. Grimes The Right Ways to Protect Your Net PC World Magazine, September 2001
۵۷ http://wsbradio.com/news/0223choicepointsuit.html.
۵۸ Harrington v. ChoicePoint Inc., C.D. Cal., No. CV 05-1294 (SJO) (JWJx), 2/22/05).
۵۹ معمولاً، محاسبهی پساکنونیِ «متعارف بودن» مبتنی بر ایجاد توازن میان عواملی اینچنین است: (۱) احتمال وقوع خسارتِ متعارفپیشبینیشده؛ (۲) شدّت پیشبینیشدهی این خسارت در صورت وقوع؛ (۳) اقداماتی احتیاطی که بهطور متعارف برای کاهش خطر در دسترس هستند؛ و (۴) هزینهی پیادهسازیِ چنین اقداماتی.
۶۰ نگاهی کنید به:
Assurance of Discontinuance, In the Matter of Ziff Davis Media Inc., at 7, available at http://www.oag.state.ny.us/press/2002/aug/aug28a_02_attach.pdf.;
Agreement Containing Consent Order, In the Matter of Microsoft Corporation, at 5, available at
http://www.ftc.gov/os/2002/08/microsoftagree.pdf.
۶۱ California Civil Code Sections 1798.29 and 1798.82 accessible at http://www.leginfo.ca.gov/calaw.html.
۶۲ ۲۰۰۵ Breach of Information Legislation. http://www.ncsl.org/programs/lis/CIP/priv/breach.htm.
۶۳ P. Britt, Protecting Private Information Information Today (Vo. 22 No. 5 May, 2005) http://www.infotoday.com/it/may05/britt.shtml.
۶۴ این بخش، تا حدی، از قسمتهایی از صفحههای ۷ تا ۱۱ ِ برآورد امنیت: مطالعات موردی برای پیادهسازیِ NSA IAM، استخراج شده است که با اجازهی شرکت انتشاراتی سینگرس بهکار رفته است.
۶۵ البته، با این فرض که از NSA IAM استفاده میشود، بخش عمدهای از این کار حیاتی، پیش از آغاز IEM مستند شده است.
۶۶ موضوعِ کسب اجازهی کامل و ایمن برای تمام انواع اطلاعات و سیستمهایی (داخلی و خارجی) که ممکن است بهواسطهی انجام ارزیابی و آزمایش تحت تأثیر قرار گیرند، بهعمد در چندین قسمت از این بخش تحت پوشش قرار گرفته است. این امر برای رضایتِ قانونیِ مشاور و نیز مشتری کاملاً حیاتی است تا از شفاف بودنِ پاسخگویی نسبت به این موارد اطمینان یابند، که به همین دلیل، این بخش چندین مسیر مختلف را برای بررسی این مسئله مدّنظر قرار میدهد. به همان اندازه، رسیدن به تفاهم روشنی از «تقسیم مسئولیت» نیز حیاتی است، تقسیم مسئولیت در قبالِ هر نوع خسارتی که، با وجود تمام تلاش هر دو طرف، ممکن است بر سیستمهای خارجی وارد آید. این امر باید از طریق ترکیب غرامتپردازی (که در ادامه تشریح شده است)، اظهارات روشن در خصوصِ پاسخگویی در قرارداد، موافقتنامههای کتبی با اشخاص ثالث، و بیمه مورد توجه قرار گیرد.
۶۷ برای مثال، نگاهی کنید به:
Management Recruiters, Inc. v.Miller, ۷۶۲ P.2d 763, 766 (Colo.App.1988).
۶۸ Board of County Commissioners of Adams County v. City and County of Denver, ۴۰ P.3d 25 (Colo.App.,2001).
۶۹ برای مثال، نگاهی کنید به:
Butler Manufacturing Co. v.Americold Corp., ۸۳۵ F.Supp. 1274 (D.Kan. 1993).
۷۰ برای مثال، نگاهی کنید به:
Elsken v. Network Multi-Family Sec. Corp., ۸۳۸ P.2d 1007 (Okla.1992)
۷۱ National Conference of State Legislatures information page accessible at
http://www.ncsl.org/programs/lis/cip/hacklaw.htm.
۷۲ Henry VI, Part 2, act iv, scene ii.
۷۳ برای مثال، نگاهی کنید به:
Seth Finkelstein,“The first thing we do, let‘s kill all the lawyers” – It’s a Lawyer Joke, The Ethical Spectator, July 1997., available at: http://www.sethf.com/essays/major/killlawyers.php.
۷۴ Koscove v. Bolte, ۳۰ P.3d 784 (Colo.App. 2001).
۷۵ برای مثال، نگاهی کنید به:
Rule 238(c), Colorado Court Rules (2004).
۷۶ برای مثال، نگاهی کنید به:
Pacamor Bearings, Inc. v. Minebea Co., Ltd., ۹۱۸ F.Supp. 491, 509-510 (D. N.H. 1996).
۷۷ Id.
۷۸ برای مثال، نگاهی کنید به:
Diversified Indus., Inc. v. Meredith, ۵۷۲ F.2d 596, 602 (8th Cir. 1978).
۷۹ برای مثال، نگاهی کنید به:
People v. Benney, ۷۵۷ P.2d 1078 (Colo.App. 1987).
۸۰ برای مثال، نگاهی کنید به:
Southern Bell Telephone & Telegraph Co. v. Deason, ۶۳۲ So. 2d 1377 (Fla. 1994);
McCaugherty v. Sifferman, ۱۳۲ F.R.D. 234 (N.D. Cal. 1990). United States v. Davis ۱۳۲ F.R.D. 12 (S.D.N.Y. 1990).
۸۱ برای مثال، نگاهی کنید به:
United States v. Chevron, No. C-94-1885 SBA, 1996 WL 264769 (N.D. Cal. Mar. 13, 1996).
۸۲ برای مثال، نگاهی کنید به:
Gerrits v. Brannen Banks of Florida ۱۳۸ F.R.D. 574, 577 (D. Colo. 1991).
۸۳ برای مثال، نگاهی کنید به:
Id.
۸۴ برای مثال، نگاهی کنید به:
Sneider v. Kimberly-Clark Corp., ۹۱ F.R.D. 1, 5 (N.D. Ill. 1980)
۸۵ برای مثال، نگاهی کنید به:
In re Grand Jury Proceedings, ۸۵۷ F.2d 710, 712 (10th Cir. 1988).
۸۶ برای مثال، نگاهی کنید به:
Winchester Capital Management Co. vs. Manufacturers Hanover Trust Co., ۱۴۴ F.R.D.170, 174 (D. Mass. 1992).
۸۷ U.S. Department of Justice, Federal Prosecution of Business Organizations in Criminal Resource Manual No. 162 (2003) available at
http://www.usdoj.gov/usao/eousa/foia_reading_room/usam/title9/crm00162.html
and amended and available at http://www.usdoj.gov/dag/cftf/corporate_guidelines.html.
۸۸ برای مثال، نگاهی کنید به:
Union Carbide Corp. v. Dow Chem. Co., ۶۱۹ F. Supp. 1036, 1046 (D. Del. 1985)
۸۹ یکی از حفاظتهای مرتبط با مصونیت وکیل-موکل، رهنامهی بهاصطلاح «محصول کار» نامیده میشود. این حفاظت برای اسنادی که ممکن است نشاندهندهی راهبردها یا دیگر «ادراکات ذهنی»ِ وکیل در زمانی باشند که چنین اسنادی «برای پیشبینیِ دادخواهی» آماده میشوند، کارِ مشاوران امنیت اطلاعات را تحت پوشش قرار خواهد داد؛ مشاورانی که در آمادهسازیِ اسناد برای استفاده در دادرسی یا تعامل با مأموران اجرای قانون یا مقررگرها، به وکلا کمک میکنند. حفاظت محصول کار نسبت به مصونیت وکیل-موکل، بیشتر در معرض این خطر است که، بنا بر اثبات نیازِ بسیار زیاد به آن اسناد از سوی رقیب شما، توسط دادگاه غیرقابلاِعمال گردد.
۹۰ برای مثال، نگاهی کنید به:
United States v. Gonzales, ۵۸ F.3d 506, 512 (10th Cir. 1995).
۹۱ Id.
۹۲ میتوان کتاب کاملی در خصوص این موضوع نوشت، و کتابهایی دستِکم در خصوص موضوع گستردهترِ اخلاقِ IT نوشته شدهاند. برای مثال، نگاهی کنید به:
IT Ethics Handbook: Right and Wrong for IT Professionals, Syngress Publishing, Inc.
بحث فراگیر در خصوصِ اخلاق ارزیابی امنیت اطلاعات، فراتر از گسترهی این کتاب است. بحثی که در اینجا مطرح شده است، صرفاً تمامِ آن چیزهایی را به ما یادآوری میکند که ما از پدران و مادران خود فراگرفتهایم و حالا آنها را در قالب روابط تجاری خود ترجمه کردهایم.
۹۳ Available at
http://en.thinkexist.com/quotation/in_law_a_man_is_guilty_when_he_violates_the/7854.html.
۹۴ این بخش، تا حدی، از قسمتهایی از صفحههای ۷ تا ۱۱ ِ برآورد امنیت: مطالعات موردی برای پیادهسازیِ NSA IAM، استخراج شده است که با اجازهی شرکت انتشاراتی سینگرس بهکار رفته است.