بازپرسی جرایم سایبری – بخش ۱۲

پیوست الف

اصول قانونی برای ارزیابیِ امنیت اطلاعات^۱

ره‌یافت‌های این فصل:

• عمو سام به شما نیاز دارد: چگونه امنیت اطلاعات شرکت شما می‌تواند بر امنیت ملی امریکا اثر بگذارد (و برعکس)

• استانداردهای قانونیِ مرتبط با امنیت اطلاعات
• قوانین و مقررات منتخب
• یا کار خود را درست انجام می‌دهید یا روی اعتبار شرکت قمار می‌کنید: ابزارهایی برای کاهش مسئولیت قانونی

• چه چیزهایی باید در قراردادهای IEM قید شوند^۲
• اولین کاری که ما انجام می‌دهیم…؟ چرا باید وکلای شما از ابتدا تا انتها درگیر موضوع باشند

• مرور فشرده‌ی ره‌یافت‌ها
•  پرسش‌های متداول

اخطار: این پیوست، در نقشِ مشاوره‌ای قانونی نیست

این پیوست مروری است بر تعدادی از موضوعات قانونی که کارشناسان ارزیابی امنیت اطلاعات و مشتریان‌شان با آن‌ها روبه‌رو می‌شوند. امیدوارم این پیوست بتواند خوانندگان را نسبت به موضوعاتی آگاه سازد که باید در مورد آن‌ها با مشاورِ قانونیِ واجد‌شرایطی در زمینه‌ی قانون امنیت اطلاعات مشاوره کنند. البته، این پیوست هیچ توصیه یا مشاوره‌ی قانونی‌ای به خوانندگان خود ارائه نمی‌کند و نمی‌تواند بکند. خوانندگان تحت هیچ شرایطی نباید تصور کنند که می‌توانند به مطالب این پیوست، به‌عنوان مشاوره‌ای قانونی تکیه کنند. هم‌چنین، هیچ‌کدام از اظهارات بیان‌شده در این پیوست نمی‌تواند دفاعیه‌ای از نوعِ «توصیه‌ی مشاور» برای اَعمالِ مقرراتی یا اجرای قانونی یا برای دعاویِ قانونیِ مدنی ایجاد کند. به آن دسته از خوانندگان که درگیرِ امنیت اطلاعات هستند، اکیداً توصیه می‌گردد که از مشاور قانونیِ باتجربه و واجد‌شرایطی کمک بگیرند.

مقدمه

شما صدها بار این صحنه را دیده‌اید. نماینده‌ی حقوقیِ پلیسی که کاملاً یک‌دنده و به‌شدت پایبند به قوانین است، و کارآگاهی که به سرسختیِ میخ کوبیده‌شده‌ای است و حاضر است همه‌ی قوانین را به‌خاطرِ نجات زندگی یک فرد زیر پا بگذارد، در حالِ جرّ و بحث با هم در برابرِ رئیس‌پلیس هستند. کودکی دزیده شده است و ثانیه‌ها یکی پس از دیگری از دست می‌روند؛ چیزی نمانده تا قتلی صورت بگیرد و قاضیِ مربوطه حکم تفتیشی صادر نمی‌کند. رئیس‌پلیسِ از-همه‌جا-بریده مجبور است تصمیمی آنی بگیرد. آیا راهی هست که هم در محدوده‌ی قانون ماند و هم آن کودک را نجات داد؟ رئیس‌پلیس چگونه می‌تواند توازنی در وظیفه‌ی خود ایجاد کند، به‌گونه‌ای که هم از مردم شهر حفاظت نماید و هم به کتاب قانون وفادار بماند؟ آیا راه خلاقانه‌ای هست که بتوان هر دو کار را با هم انجام داد؟ در تلویزیون، معمولاً این صحنه در دفتر کهنه و پوسیده‌ی اداره‌ی مرکزی پلیس رخ می‌دهد که درون آن دفتر، فنجان‌هایی از جنسِ اِستایروفوم که پُر از قهوه‌های کهنه و بوگرفته هستند، زیرسیگاری‌هایی تا سر پُر، دیوارهایی به رنگِ سبز محو، و میزهای فلزیِ زهوار-در-رفته‌ای قرار گرفته‌اند. حالا، تصور کنید همین نمایش در صحنه‌ای کاملاً متفاوت اجرا شود.

عمو سام به شما نیاز دارد: چگونه امنیت اطلاعات شرکت شما می‌تواند بر امنیت ملی امریکا اثر بگذارد (و برعکس)

سپتامبر سال ۲۰۱۱ است. در حالی که دهمین سال‌روزِ حملات ویران‌کننده‌ی القاعده به کشور ما نزدیک می‌شود، اطلاعات صریح و روزافزونی به رئیس‌جمهور می‌رسد مبنی بر این‌که بقایای این گروه تروریستیِ بدنام، برای تکمیلِ آرزوی دیرینه‌ی خود، تصمیم گرفته‌اند که از طریق فضای سایبری حملات ویران‌کننده‌ای علیه امریکا انجام دهند. شاید آن‌ها کنترل ترافیک هوایی یا شبکه‌ی مبادلات مالی ما را غیرفعال سازند. شاید به سیستم‌های کنترل نظارتی و کشف‌وکسب داده‌ها (SCADA) نفوذ کنند تا سدها یا دیگر زیرساخت‌های انرژی را موردحمله قرار دهند. شاید برقِ صدها بیمارستان را خاموش کنند که در آن‌ها عمل جراحی‌ای در حالِ انجام است. یا شاید مستقیماً نیروهای نظامیِ ما را مورد هدف قرار دهند که به‌شدت وابسته به سیستم‌های اطلاعاتی هستند. اهداف موردنظر و دامنه‌ی آن‌ها بسیار فراتر از حدّ تصور است.

به هر حال، با طلوعِ آفتابِ روز ۱۱ سپتامبر ۲۰۱۱ مشخص می‌شود که حملات سایبری آغاز شده‌اند، اگرچه مرتکبانِ این حملات نامشخص هستند. آن‌چه رفته‌رفته روشن می‌شود این است که این حملات نه از آن سوی آب‌ها، بلکه مستقیماً در حالِ یورش به ما هستند، ؛ از سوی ده‌ها، و شاید صدها، سرورِ دانشگاهی و شرکتی که درست در همین‌جا در خودِ امریکا قرار دارند. صحنه‌ای که در ادامه توصیف می‌شود، در پشت دیوارهای اتاق وضعیت در بال غربیِ کاخ سفید به‌نمایش درمی‌آید، دیوارهایی مجلل، دارای نقوش چوبی، و به‌لحاظ الکترونیکی پیچیده. شخصیت‌های اصلی ما در این‌جا، وزیر دفاع، رئیس اطلاعات ملی، مشاوران امنیت ملی و وطن‌بومِ رئیس‌جمهور، و دادستان کل هستند. و البته، در این صحنه، فرد تصمیم‌گیرنده‌ای که بارِ کلّ جهان را به دوش می‌کشد، رئیس‌پلیس یک کلان‌شهر نیست، بلکه رئیس‌جمهور ایالات متحده است.

به احتمال بسیار، رئیس‌جمهور مشاوره‌های متناقضی از سوی مشاوران ارشد خود دریافت خواهد کرد. برخی اصرار خواهند داشت که قانون امریکا دولت را از غیرفعال‌سازیِ سرورهای موجود در امریکا- سرورهایی که این حملات از سوی آن‌ها روانه می‌شوند- یا حتی تلاش برای شناساییِ افرادی که پشتِ این حملات قرار دارند، منع می‌کند. به‌رغمِ وجود اطلاعاتی که نشان می‌دهند این حملات در واقع از سوی تروریست‌هایی در آن سوی آب‌ها روانه می‌شوند و از سرورهای موجود در امریکا به‌عنوان «زومبی» استفاده می‌کنند تا نقشه‌ی خود را عملی کنند، این مشاوران اصرار بر رعایت احتیاط دارند. این مشاوران، در ادامه، این بحث را مطرح خواهند کرد که رئیس‌جمهور هیچ گزینه‌ی دیگری در اختیار ندارد جز این‌که از فرآیند قانون جزایی برای مبارزه با این حملات استفاده کند، فرآیندی که بسیار طاقت‌فرسا و وقت‌گیر است. مأموران اجرای قانونِ دادستان کل باید اطلاعات را جمع‌آوری نمایند، به یکی از قاضی‌های فدرال مراجعه کنند، و یک حکم تفتیش، یا در این مورد، ده‌ها یا صدها حکم تفتیش بگیرند تا بتوانند اقدام به شناساییِ افرادی کنند که در پسِ این حملات قرار دارند (جز دسترسیِ اضطراری که بدون وجود حکم تفتیش نیز طبق قانون مجاز است). حتی در چنین موارد اضطراری‌ای، ساماندهی و هدایتِ اجرای قانون بر روی صدها یا هزاران زومبی، تلاشی طاقت‌فرسا است.

مقامات رسمی دیگر به رئیس‌جمهور توصیه خواهند کرد که تا بخواهیم به خود بیاییم و حرکتی از مسیرِ معمولِ اجرای قانون انجام دهیم، خسارت ویران‌کننده‌ای به زیرساخت‌های حیاتی وارد آمده است، و مجرمانِ حاضر در آن سوی آب‌ها تمامِ ردّ پای خود را از بین برده و ناپدید شده‌اند. این مشاوران مصرّانه این استدلال را خواهند آورد که رئیس‌جمهور، طبق قوانین معمول و قانون اساسی، اختیارات بسیار وسیعی در استفاده از هر کدام از عناصر قدرت امریکا (نظامی، اطلاعاتی، یا اجرای قانونی) برای غلبه بر حملات و دفاع از کشور دارد. آن‌ها این‌گونه استدلال خواهند کرد که استفاده از مسیر معمولِ اجرای قانون، نه تنها بی‌فایده خواهد بود، بلکه به معنای کناره‌گیری از مسئولیت اصلی رئیس‌جمهور در قانونی اساسی است، مسئولیتی که طبق قانون اساسی، رئیس‌جمهور باید از کشور و مردم خود در برابر حملات حفاظت نماید. در نهایت، آن‌ها با احترام، توصیه‌ی حکیمانه‌ی قاضیِ دیوان عالی امریکا در دوران جنگ ویتنام، آرتور گُلدبِرگ، را به رئیس‌جمهور گوش‌زد خواهند کرد: «در عین حال که قانون اساسی در برابر تعرض به حقوق فردی می‌ایستد و از حقوق فردی حفاظت می‌کند، این امر به معنای میثاقی برای خودکشی نیست.»^۳

اگر این موضوع را تنها از منظرِ قانونی و قانون اساسی بررسی کنیم، احتمالاً حق با مشاوران محافظه‌کارترِ رئیس‌جمهور خواهد بود.^۴ البته، این مسئله به هیچ عنوان، بار سنگینِ وجدانی، اخلاقی، و سیاسی‌ای را که بر دوش رئیس‌جمهور خواهد افتاد، سبک نمی‌کند: آیا در نبود اطلاعات کامل، باید دستور حملات متقابل علیه زیرساخت‌های اطلاعاتیِ موجود در امریکا را داد یا نه.

با این‌که کارشناسان هنوز هم توافقی بر سرِ این موضوع ندارند که احتمال دارد چنین سناریویی در دهه‌ی بعدی رخ دهد (و حتی در میان نویسندگان این فصل نیز اختلاف نظر وجود دارد)، اغلبِ افراد توافق نظر دارند که این سناریو به‌لحاظ فنی امکان‌پذیر است.^۵ طبقِ راه‌برد ملی امریکا برای ایمن‌سازیِ فضای سایبری، شرایط لازم زیر (که امروزه وجود دارند) باید برقرار باشند تا « خسارتی نسبی [به ایالات متحده] در سطحی ملی وارد شود، که شبکه‌ها و سیستم‌هایی را تحت تأثیر قرار دهد که کشور وابسته به آن‌ها است:

• دشمنان احتمالی قصد و غرض داشته باشند.
• ابزارهایی که از فعالیت‌های بداندیشانه پشتیبانی می‌کنند، به‌طور گسترده در دسترس باشند.
• آسیب‌پذیری‌های سیستم‌های ملی، زیاد و شناخته‌شده باشند.^۶

بنابراین، حتی در نشریه‌ای طبقه‌بندی‌نشده، دولت امریکا تایید کرده است که دشمنان ما، چه تروریست‌ها، چه قومیت‌های شورشی، و چه دشمنان سنتی‌تر ما در سطح یک ملت، ترکیب کلاسیکی برای ایجاد تهدید دارند: قصد + توانایی + فرصت. اگر ۱۱ سپتامبر ۲۰۰۱ تنها یک چیز را به ما به‌عنوان یک ملت آموخته باشد، آن این است که وقتی این سه مؤلفه با هم وجود داشته باشند، ما باید آمادگی بهتری داشته باشیم.

مأموران ارشدِ اداره‌ی فدرال بازپرسی (FBI) و دیگران، سفت‌وسخت، در حضورِ کنگره تصدیق کرده‌اند که گروه‌های تروریستی علاقه‌ی بارزی به هکرها و مهارت‌های مرتبط با هک دارند؛ FBI پیش‌بینی می‌کند که «گروه‌های تروریستی یا هکرهایی را تربیت و یا اجیر خواهند کرد.»^۷ اسنادی که در پناهگاه‌های پیشین القاعده در افغانستان کشف شدند، حاکی از تمایل القاعده به توسعه‌ی مهارت‌های ترور سایبری بودند.^۸ ریچارد کلارک، «سایبرتزار»ِ پیشینِ دولت امریکا، توجه ما را به این نکته جلب می‌کرد که یکی از دانشجویان دانشگاه آیداهو که به اتهام ارتباط‌های تروری توسط مأموران FBI دستگیر شده بود، در تلاش برای کسبِ مدرک دکترا در زمینه‌ی امنیت سایبری بوده است.کلارک اخطار می‌دهد که «همان‌طور که برخی از هواپیماربایانِ ۱۱ سپتامبر در زمینه‌ی آموزش پرواز، آموزش دیده بودند، برخی از افرادی که هم‌اکنون می‌بینیم با [القاعده] در ارتباط هستند، در زمینه‌ی امنیت رایانه آموزش داشته‌اند.»^۹ چند تن از کارشناسان، از جمله کارشناسان سایبری در آزمایشگاه‌های ملی ساندیا و مدرسه‌ی فوق‌دکترای نیروی دریاییِ امریکا، بی‌پرده اعلام کرده‌اند که دشمنان می‌توانند موجبِ فروپاشیِ بخش قابل‌توجهی از شبکه‌ی برق امریکا به‌مدت چند دقیقه تا چند روز و حتی بیش‌تر از آن شوند.^۱۰

پیش از این، از حملات سایبری برای ایجاد اختلال در انتخابات آنلاین در کانادا استفاده شده است، و طی انتخابات انجام‌گرفته در اندونزی، سریلانکا، و مکزیک نیز حملاتی به‌وسیله‌ی گروه‌های تروریستی انجام شده است تا رایانه‌های دولتی را از کار بیندازند.^۱۱ در نهایت، صرف‌نظر از گروه‌های تروریستی و قومیت‌های شورشی، تعدادی از کشورهایی که دشمن بالقوه‌ی امریکا هستند، از جمله چین و روسیه، هم‌اکنون علناً جنگ سایبری را به‌عنوان بخشی از رهنامه‌ی نظامی خود می‌دانند.^۱۲

بنابراین، امکان وقوع این صحنه وجود دارد،^۱۳ مگر این‌که ما آن‌قدر خوش‌شانس باشیم که ایفای این نمایش تا سال ۲۰۱۱ طول بکشد.

بسیاری از کارشناسان قانونی بین‌المللی بیان می‌کنند که، طبق قوانین پذیرفته‌شده‌ی بین‌المللیِ تعارض مسلح، حملاتی که توسط کشورهای خارجی یا تروریست‌های بین‌المللی با استفاده از بیت‌ها و بایت‌ها از طریق فضای سایبری انجام می‌شوند، می‌توانند عملِ جنگی محسوب شوند، درست همان‌طور که استفاده از تفنگ‌ها یا بمب‌ها یا هواپیماهای مسافربریِ مملو از سوخت می‌تواند عملِ جنگی محسوب شود.^۱۴

اگر کشوری حمله‌ای سایبری را در حکمِ عملی جنگی علیه خود بداند، آن حکم، به نوبه‌ی خود، می‌تواند به دلیل آن تهاجمات صورت‌گرفته، حقوقی را برای آن کشور ایجاد کند تا عملی دفاعی یا واکنشی را علیه مهاجمان خود انجام دهد.^۱۵ با به رسمیت شناختنِ تهدیدِ حمله‌ی سایبری و نیاز بالقوه به چیزی بیش از پاسخگوییِ اجرای قانون، رئیس‌جمهور بوش در سال ۲۰۰۳ با نظر به چنین حملاتی، خط‌مشی امریکایی جدیدی را اعلام کرد:

وقتی که کشور، گروه تروریستی، یا هر دشمن دیگری از طریق فضای سایبری به ایالات متحده حمله می‌کند، پاسخ ایالات متحده باید محدود به پیگرد جزایی باشد. ایالات متحده این حق را برای خود محفوظ می‌داند که به روش مقتضی پاسخ آن را بدهد. ایالات متحده برای چنین پیش‌آمدهای احتمالی‌ای آماده خواهد بود.^۱۶

در حمله‌ی سایبری (برخلاف حمله‌ی نظامی معمول)، برای تصمیم‌گیران دشوار خواهد بود که بدانند علیه چه کسی عمل کنند تا حمله را متوقف نمایند و/یا پاسخ گویند. البته، برخلاف بمب‌گذاریِ تروریستی یا حتی حملات فجیع ۱۱ سپتامبر ۲۰۰۱، ممکن است حمله‌ی سایبری برای مدت زمانی به‌قدرِ کافی طولانی ادامه یابد که عمل دفاعیِ سریع بتواند خسارت وارده بر زیرساخت‌های حیاتی و اقتصاد را تا اندازه‌ی چشم‌گیری کاهش دهد، حتی جایی که مرتکبین آن جرم هنوز ناشناخته باشند.

بنابراین، حمله‌ای سایبری که با استفاده از سرورهای «زومبیده‌شده»ی درونِ امریکا در حالِ اجرا باشد، تصمیم‌گیران را در مخمصه‌ی آزاردهنده‌ای گرفتار خواهد کرد. اگر در دقایق و ساعات ابتداییِ پس از حمله کاری انجام ندهند، ممکن است نسبت به زمانی که تصمیم به توقف حمله یا غیرفعال ساختنِ دست‌گاه‌های حمله‌کننده می‌گیرند، خسارت بزرگ‌تری رخ دهد. البته، اتخاذ چنین تصمیمی این خطر را دارد که خودِ سرورهای زومبیده دچار خسارت یا نابودی گردند، و شاید طرف‌های مجرم نیز شناسایی نشوند. علاوه بر این، انجام چنین کاری می‌تواند منجر به نابودیِ اطلاعاتی گردد که ممکن است بعدها برای شناسایی و بازداشت مجرم(ها) لازم باشند.

واقعیتی که این موقعیت را حتی خطرناک‌تر و پیچیده‌تر می‌سازد، این است که «تمایز میان فعالیت بدخواهانه‌ای که از مجرمان، عاملانِ ملی قومی، و تروریست‌ها نشأت می‌گیرد، در آنِ واحد کار دشواری است.»^۱۷ در بسیاری از موارد، اختصاص خصیصه‌ی مثبت به فن‌آوری‌های امروزی تقریباً ناممکن است. بنابراین، تصمیم‌گیرانی که با این انتخابِ چالش‌برانگیز بین دو گزینه روبه‌رو هستند- این‌که اقدام به غیرفعال‌سازی یا نابودیِ سرورهای زومبیده‌ی موجود در امریکا کنند یا این خطر را به جان بخرند که در صورتِ منتظر ماندن، خسارت بیش‌تری به کشور ما وارد شود- ممکن است نتوانند در آنِ واحد تصمیم محکمی بگیرند که آیا حمله‌ای حقیقی در جریان است یا آن‌چه که شبیه به مراحل ابتداییِ یک حمله است، در واقع فعالیت بدخواهانه‌ی دیگری است.

معنای این امر برای کارشناسان ارزیابی امنیت اطلاعات و مشتریان آن‌ها چیست؟ بیش و پیش از همه، به این معنا است که شما دوست ندارید سرورهای «زومبیده»ی به‌کاررفته در حمله‌ای سایبری، مالِ شما باشند. زمانی که امریکا (یا کشوری دیگر)^۱۸ تصمیم می‌گیرد که واکنشی رسمی علیه سرورهای بلند‌شده‌ای نشان دهد که در اجرای حمله به‌کار گرفته شده‌اند، نهادی که سرورهای آن به‌کار رفته‌اند، روز بدی را پشت سر خواهد گذاشت. علاوه بر این، با این‌که مشاوران امنیت اطلاعاتِ محتاط همچنان در تمام تهدیدهای بالقوه حضور خواهند داشت تا از شبکه‌های مشتریان شما حفاظت نمایند، هویتِ هر تهدید خاصی تا حدّ زیادی خارج از این موضوع است، حتی اگر بتوان منشأ آن را مشخص ساخت. می‌توان هزاران دلیل آورد که حافظانِ اطلاعات حساس، از هر نوع اطلاعاتی که باشند، باید وضعیتِ قابل‌قبولی را برای امنیت اطلاعات، توسعه دهند و نگه‌داری نمایند، از جمله‌ی این دلایل می‌توان به این موارد اشاره کرد: نیازهای عملیاتی کسب‌وکار؛ جلوگیری از خسارات اقتصادی و جاسوسی صنعتی؛ کاهش خطر دادرسی، مقرراتی، و دادستانیِ احتمالی؛ و حفظ اعتبارِ مسئول امنیتی در برابرِ افراد دیگرِ همان کسب‌وکار.

خطرِ مشارکت غیرارادی در حمله‌ای سایبری، یا دفاع در برابر چنین حمله‌ای، مزید بر علت می‌شود تا اغلبِ بنگاه‌ها و مؤسسات آموزشی کاری را انجام دهند که از پیش می‌دانند کار درست همان است. البته، برخلاف انگیزه‌های دیگر برای امنیت اطلاعات، اجتناب از دخالت در حمله‌ای سایبری، از اهمیت بسیاری برخوردار است حتی اگر سازمانی هیچ اطلاعات «حساسی» را نگه‌داری ننماید. برخلاف هکرها، مجرمان، و دیگر افراد «سنتی» که از آسیب‌های امنیت اطلاعاتی بهره می‌جویند، تروریست‌ها صرفاً به این دلیل که نتوانسته‌اند اطلاعات حساسی بیابند، به‌سادگی از شرکت‌ها چشم‌پوشی نمی‌کنند. در عوض، تروریست‌ها به این توجه می‌کنند که با استفاده از سرورهای شما به‌عنوانِ پراکسی، چه خسارتی می‌توان وارد آورد. و اگر مشخص شود که سرورهای شما در حمله‌ای دخالت دارند و باید خنثی شوند (یا بدتر از آن)، دولت‌ها نیز توجهی نخواهند کرد که شما چه اطلاعاتی دارید یا ندارید.

دوم این‌که، درک نگاهِ دولت‌ها نسبت به امنیت اطلاعات، زمینه‌ای ایجاد می‌کند برای درکِ این‌که چگونه بیانیه‌های خط‌مشی می‌توانند منجر به توسعه‌ی «تکلیفی» قانونی برای افراد و سازمان‌ها شوند تا سهم خود از فضای سایبری را ایمن سازند (در ادامه مفصل‌تر در این باره بحث شده است). جانِ کلام این‌که، دانشی واقعی یا دانشی سازنده (برای مثال، اطلاعات در حوزه‌ی عمومی) از خط‌مشی عمومی که «مالکان» خصوصیِ فضای سایبری را متعهد کند تا اجزاء خود را ایمن سازند، می‌تواند «تکلیفی» قانونی برای انجام آن کار ایجاد نماید، که این امر می‌تواند موضوع دادرسی‌های آینده گردد. همین‌طور، ایجاد خط‌مشی فدرال در خصوصِ حملات سایبریِ احتمالی، به‌خوبی می‌تواند منجر به حرکتی گردد که امنیت اطلاعات خصوصی را در سطح فدرال، بیش از پیش تنظیم نماید، حرکتی که از پیش عزم خود را جزم کرده است.

استانداردهای قانونیِ مرتبط با امنیت اطلاعات

قوانین به‌وسیله‌ی سیاست‌مداران وضع می‌شوند و سیاست‌مداران به‌وسیله‌ی واکنش عمومی و رسانه‌ای به رویدادهای معین، هدایت می‌شوند. بنابراین، قوانین ذره‌ذره ساخته می‌شوند، دستِ‌کم تا زمانی که توده‌ای بحرانی از راه برسد؛ این امر قانون‌گذاران را به این نتیجه می‌رساند که بافتارِ نوظهوری از قوانین و مقرراتِ مرتبط، البته اغلب ناهمسان، نیاز به قانون چندگونهای دارد تا پایداری و پیش‌بینی‌پذیری بیش‌تری ایجاد شود. در نبودِ چنین قانون فدرال یک‌پارچه‌سازی، بخش‌ها یا صنایع ویژه‌ای در معرض عموم قرار می‌گیرند، بخش‌هایی که به‌عنوانِ مشکلات دیده‌شده در آن صنایع، مورد هدف قرار می‌گیرند تا تحت تنظیم‌مقررات درآیند. قوانین و مقرراتی که صنایع هدف را تحت پوشش قرار می‌دهند، به‌تدریج از طریق دادرسی مدنی و کنش مقرراتی گسترش می‌یابند که همه‌ی این‌ها تنها محدود به شکیباییِ قضات و پندارِ وکلای خواهان، دادستانان، و مقررگرها دارند.

این، وضعیت کنونیِ موجود در قانون امنیت اطلاعات است. همان‌طور که در بخش «قوانین فدرال منتخب» بحث خواهد شد، قانون فدرال، از میان چیزهای دیگر، در خصوصِ اطلاعات مراقبت سلامتِ شخصاً-قابل‌شناسایی، اطلاعات مالی افراد، و در درجه‌ای بالاتر، اطلاعات مالی‌ای که در اختیار شرکت‌هایی با بازرگانی عمومی هستند، مقرراتی را برای امنیت اطلاعات تنظیم می‌کند. اگرچه هیچ ماده‌ی قانونیِ فدرالِ «چندگونه»ای وجود ندارد که بر تمام جوانب امنیت اطلاعات حاکم باشد، این استانداردهای مراقبتی که برای این بخش‌های اقتصادی معین ایجاد شده‌اند، از طریق دادرسی مدنی، از جمله به‌وسیله‌ی مقررگرها و دادستانان ایالتی، به دیگر عرصه‌های تجاری نیز «صادر» می‌شوند.^۱۹

این امر برای رویّه‌کاران امنیت اطلاعات می‌تواند خبری خوب/خبری بد باشد. اغلب، اقدامات صورت‌گرفته در تنظیم‌مقررات «فراگیر»، شبیه آش شله‌قلمکار از آب درمی‌آید، به‌ویژه زمانی که چندین بخش اقتصادی با محیط کاری و نیازهای متفاوت تحتِ تنظیم‌مقررات قرار می‌گیرند. چنین تنظیم‌مقرراتی به‌ویژه زمانی بیهوده (یا حتی بدتر از آن) است که وقتی اعلام شوند که بخش خصوصی هنوز ره‌یافتی عملی را پیاده نکرده است، بخش خصوصی‌ای که بِه‌رویّه‌هایی ثابت و امتحان‌پس‌داده در طول زمان را توسعه داده است. از طرف دیگر، بافتاری از قوانین و مقررات فدرال، ایالتی، و بین‌المللی متفاوت (چیزی که وضعیت کنونیِ قانون امنیت اطلاعات است)، می‌تواند گیج‌کننده باشد و ارزش افزوده‌ای به آنالیز قانونیِ دقیق و موردی، و مشاوره گرفتن از مشاوری واجدشرایط و باتجربه ببخشد.

قوانین فدرال منتخب

برای نمایش آرایه‌ای از قوانینی که بر امنیت اطلاعات تأثیر دارند، در ادامه پیمایشی کلی از مواد قانونی، مقررات، و دیگر قوانینی آورده می‌شود که حاکم بر کارِ مشاوران امنیت اطلاعات و مشتریان آن‌ها هستند. این فهرست جامع نیست، اما می‌تواند به شناسایی مسائل موجود در کار با مشتریان و نیز به درکِ این موضوع کمک نماید که در واقع کدام «بِه‌رویّه‌ها» در قانون، پذیرفته و به‌کارگرفته شده‌اند.

قانون گرام-لیچ-بلیلی

یکی از اولین یورش‌های دولت امریکا برای تحت اختیار گرفتنِ استانداردهای امنیت اطلاعات، قانون گرام-لیچ-بلیلی (GLBA) بود.^۲۰ بخش ۵۰۱(b) تمام مؤسسات مالیِ تحت‌پوشش را ملزم می‌سازد که «ایمنی‌پاهای مناسب» را برقرار سازند تا: (۱) نسبت به امنیت و محرمانه بودنِ اسناد و اطلاعات مشتریان اطمینان حاصل شود؛ (۲) در برابر تهدیدات یا مخاطرات پیش‌بینی‌شده برای امنیت یا صحتِ آن اسناد حفاظت صورت گیرد؛ و (۳) در برابر استفاده، یا دسترسی غیرمجاز به چنین اسناد یا اطلاعاتی حفاظت صورت گیرد، امری که می‌تواند منجر به وارد آمدنِ زیان یا ناراحتی قابل‌توجهی به مشتری گردد.^۲۱ GLBA استانداردهایی را الزام کرد که باید برای ایمنی‌پاییِ اطلاعات مشتری، در قالبِ مقررات معینی تنظیم می‌شدند.^۲۲ این وظیفه همراه با انتشار استانداردهای احرازیِ رهنمودهای میانجی‌گری برای ایمنی‌پاییِ اطلاعات مشتری انجام شد («رهنمودها»).^۲۳

این رهنمودها در خصوصِ اطلاعات مشتری به‌کار گرفته می‌شوند، اطلاعاتی که به‌وسیله‌ی «مؤسسات مالی»ِ تحت‌پوشش نگه‌داری می‌شوند، که هر دوی این اصطلاحات در قوانین و مقررات کاربردی به‌تفصیل تعریف شده‌اند. این رهنمودها نیاز به برنامه‌ی امنیتی نوشته‌شده‌ای دارند که به‌طور ویژه متناسب با اندازه و پیچیدگیِ هر کدام از مؤسسات مالی تحت‌پوشش، و ماهیت و گستره‌ی فعالت‌های آن باشد.^۲۴

طبق این رهنمودها، مؤسسات تحت‌پوشش باید برای اطلاعات مشتری، برآورد خطر کنند و خط‌مشی‌ها، روندها، آموزش، و آزمایش مناسب را پیاده سازند تا تهدیدات داخلی و خارجیِ پیش‌بینی‌پذیر را مدیریت کنند.^۲۵ هم‌چنین، مؤسسات باید اطمینان یابند که هیئت مدیره (یا کمیته‌ی وابسته به آن) بر اقدامات امنیت اطلاعاتیِ آن مؤسسه نظارت لازم را دارد.^۲۶ علاوه بر این، مؤسسات باید پشتکار لازم را در انتخاب و نظارت پیوسته بر «خدمات‌دهنده‌ها» (نهادهایی که از طریق ارائه‌ی خدمات به مؤسسه‌ای تحت‌پوشش، اطلاعات مشتری را نگاه‌داری، یا پردازش می‌کنند یا به هر طریقی امکان دسترسی مجاز به آن‌ها را دارند) داشته باشند.^۲۷ هم‌چنین، مؤسسات باید طیّ توافق‌نامه‌ای کتبی، از این موضوع اطمینان یابند که خدمات‌دهنده‌ها اقدامات امنیتی لازم را رعایت می‌کنند.^۲۸

قانون حساب‌پس‌دهی و انتقال‌پذیری بیمه‌ی بهداشتی

قانون حساب‌پس‌دهی و انتقال‌پذیری بیمه‌ی بهداشتیِ ۱۹۹۶ (HIPAA) در آگوست سال ۱۹۹۶ تبدیل به قانون شد. بخش ۱۱۷۳(d) از HIPAA وزیر خدمات بهداشتی و بشری (HHS) را ملزم کرد که استانداردهایی امنیتی برای حفاظت از تمام اطلاعات بهداشتی حفاظت‌شده‌ی الکترونیکی (EPHI) اتخاذ کند.^۲۹ توسعه‌ی این استانداردهای امنیتی به وزیر HHS واگذار شد، که قاعده‌ی نهاییِ امنیتیِ HIPAA («قاعده‌ی امنیتی») را در فوریه‌ی سال ۲۰۰۳ منتشر کرد.^۳۰ هم‌اکنون تمام نهادهای تحت‌پوشش، به استثنای طرح‌های بهداشتی کوچک، باید خود را با قاعده‌ی امنیتی تطابق دهند.^۳۱

از آنجا که HIPAA، به طریقی، پُربنیه‌ترین و مفصّل‌ترین رهنمود موجود در حوزه‌ی قانون و مقررات فدرالِ مرتبط با امنیت اطلاعات است، ما بیش‌تر از هر ماده‌ی قانونی فدرال دیگری، روی قاعده‌ی امنیتی HIPAA تمرکز می‌کنیم. علاوه بر این، بسیاری از اصول کلی‌ای که در قاعده‌ی امنیتی آمده‌اند، در دیگر نظام‌های قانونیِ مرتبط با امنیت اطلاعات نیز رایج و مشترک هستند. قاعده‌ی امنیتی HIPAA، به‌عنوان چارچوبی کلی: (a) پی‌آمدهای معینی را تحت فرمان خود درمی‌آورد؛ و (b) به جای استانداردهای فنیِ مشخصاً دستوری، ملزومات فرآیندی و روندی را تعیین می‌کند. این پی‌آمدهای دستوری برای نهادهای تحت‌پوشش، شامل موارد زیر است:

• اطمینان از محرمانه بودن، صحت، و دسترسی‌پذیریِ EPHIهایی که به‌وسیله‌ی نهادی تحت‌پوشش، ایجاد، دریافت، حفظ، یا مبادله شده‌اند^۳۲
• حفاظت در برابر تهدیدات یا مخاطراتِ متعارف‌پیش‌بینی‌شده برای امنیت یا صحتِ چنین اطلاعاتی^۳۳
• حفاظت در برابر کاربردها یا افشاسازی‌های متعارف‌پیش‌بینی‌شده‌ای از EPHI که طبق قاعده‌ی حریم شخصیِ HIPAA مجاز نیستند^۳۴ و
• اطمینان از رعایت قاعده‌ی امنیتی توسط کارمندان خود.^۳۵

گذشته از این پی‌آمدهای کلی و دستوری، قاعده‌ی امنیتی حاویِ ملزوماتی فرآیندی و روندی است که به چندین دسته‌ی کلی تقسیم شده است^۳۶:

• ایمنی‌پاهای اجرایی^۳۷  فرآیندهای الزامیِ کلیدی در این عرصه شامل این موارد هستند: انجام آنالیزی فراگیر از خطرات پیش‌بینی‌شده؛ ماتریس‌سازیِ خطرات شناسایی‌شده در برابرِ ترکیب منحصربه‌فرد اطلاعاتِ نهاد تحت‌پوششی که نیاز به ایمنی‌پایی دارد؛ آموزش، آگاهی، آزمایش و تایید مجوز کارمند؛ حساب‌پس‌دهیِ فردی برای امنیت اطلاعات؛ اجازه‌ی دسترسی، مدیریت، و کنترل‌های نظارتی؛ داشتنِ طرح برای بازیابیِ وقایع اتفاقی و غیرمترقبه؛ و ارزیابیِ فنی و غیرفنیِ مداوم از تطابق با قاعده‌ی امنیتی.
• ایمنی‌پاهای فیزیکی^۳۸  اقدامات ایمنی‌پاییِ امنیت فیزیکی شامل این موارد هستند: کنترل‌های دسترسیِ تسهیلات دستوری؛ ملزومات استفاده از ایستگاه کاری و امنیت ایستگاه کاری؛ کنترل‌های افزاره و رسانه؛ محدودسازیِ دسترسی به اطلاعات حساس؛ و حفظ و نگه‌داری از پشتیبان‌های رایانه‌ایِ خارج‌ازمحل.
• ایمنی‌پاهای فنی^۳۹  قاعده‌ی امنیتی HIPAA، بدون تعیین سازوکارهای فن‌آورانه، فرآیندهای فنیِ خودکاری را الزامی می‌کند که هدف از آن‌ها حفاظت از اطلاعات و کنترل و ثبتِ دسترسی به چنین اطلاعاتی است. فرآیندهای دستوری، شاملِ کنترل‌های اصالت‌سنجی برای دسترسی اشخاص به EPHI، ملزومات رمزبندی/رمزگشایی، کنترل‌های حساب‌رسی، و سازوکارهایی برای اطمینان از صحت داده‌ها می‌شوند.

قاعده‌ی امنیتی، گذشته از این دسته‌های کلی، شاملِ ملزومات دیگری نیز می‌شود: طبق توافق‌نامه‌ای کتبی، باید این اطمینان ایجاد شود که نهادهایی که با نهادی تحت‌پوشش EPHI مبادله می‌کنند، اقدامات امنیتی مناسب و معقول را رعایت می‌کنند، و ملزم کردنِ آن نهادها به استانداردهای توافق‌شده؛ توسعه‌ی روندها و خط‌مشی‌هایی کتبی برای پیاده‌سازیِ ملزومات قاعده‌ی امنیتی، انتشار این روندها، و بازدید و به‌روزرسانیِ دوره‌ای آن‌ها با توجه به تغییراتی که در تهدیدها، آسیب‌پذیری‌ها، و شرایط عملیاتی رخ می‌دهند.

ساربانز-اوکسلی

قانون ساربانز-اوکسلی ۲۰۰۲ (SOX) برای مدیران اجراییِ ارشدِ شرکت‌هایی با بازرگانی عمومی، مسئولیت قانونی ایجاد می‌کند، از جمله محکومیت‌های سنگین حبس و جریمه‌هایی تا ۵,۰۰۰,۰۰۰ دلار به ازای هر تخلف، برای تایید آگاهانه‌ی ترازنامه‌هایی مالی که ملزومات ماده‌ی قانونی مربوطه را برآورده نمی‌سازند.^۴۰ بخش ۴۰۴ از SOX، بنابر قواعد اعلام‌شده توسط کمیسیون بورس و اوراق بهادار (SEC)، مدیران ارشد را ملزم می‌سازد که موارد زیر را تصدیق نمایند: «(۱) مسئولیت مدیران برای احراز و برقراریِ ساختار و روندهای کنترل داخلیِ مناسب برای گزارش مالی؛ و (۲) …بازدهِ ساختار و روندهای کنترل داخلیِ منتشرکننده برای گزارش مالی.»^۴۱ بخش ۳۰۲ نیز بنابر مقررات SEC این الزام را دارد که مأموران امضاکننده‌ی گزارش‌های مالی شرکت تصدیق کنند که «مسئولِ احراز و برقراریِ کنترل‌های داخلی» هستند و «بازدهِ» آن کنترل‌ها را «ارزیابی کرده‌اند» و نتیجه‌گیری‌های خود را نیز به همان شکل گزارش کرده‌اند.^۴۲

قانون مدیریت و امنیت اطلاعات فدرال

قانون مدیریت و امنیت اطلاعات فدرال ۲۰۰۲، که مورد تجدیدنظر قرار گرفته است، (FISMA) به‌طور مستقیم مسئولیتی برای حرفه‌ای‌های امنیت اطلاعات بخش خصوصی در قبالِ مشتریان‌شان ایجاد نمی‌کند.^۴۳ اما، حرفه‌ای‌های امنیت اطلاعات باید از این قانون آگاهی داشته باشند، زیرا این قانون:

• قانوناً فرآیندی را الزامی می‌کند که ملزومات امنیت اطلاعات‌ باید طبق آن فرآیند، برای شعب و دوایر دولتی فدرال توسعه داده و پیاده‌سازی شوند
• دولت فدرال رو به مسیری هدایت می‌کند که در خصوص «بِه‌رویّه‌ها»ی کاربردی به بخش خصوصی نظر داشته باشد و در موردِ امنیت اطلاعات همکاری لازم را با بخش خصوصی داشته باشد (در صورت درخواست)
• با الزام برخی از روندها و خط‌مشی‌های معین، در توسعه‌ی «استاندارد مراقبتی» برای امنیت اطلاعات مشارکت می‌کند

قانون فِرپا و تیچ

قانون حقِ حفظِ حریم شخصیِ آموزشیِ خانواده (FERPA) برنامه‌ها و دوایر آموزشی را از اتخاذِ خط‌مشی یا رویّه‌ی «اجازه‌ی انتشار»ِ سوابق آموزشی معین منع می‌سازد، کاری که در صورت انجامِ آن خطرِ از دست دادن اعتبارات فدرال است.^۴۴ فِرپا بیان نمی‌کند که آیا این ممنوعیت، ملزومات تصدیق‌آمیزی بر دوش مؤسسات آموزشی قرار می‌دهد تا با استفاده از اقدامات امنیت اطلاعاتی، از دسترسی غیرمجاز به این سوابق جلوگیری نمایند، یا نه. قطعاً این احتمال وجود دارد که دادگاهی در آینده بتواند این‌گونه نتیجه‌گیری نماید که مؤسسه‌ای آموزشی، که نتوانسته است اقدامات امنیت اطلاعاتیِ مناسبی را برای جلوگیری از دسترسی غیرمجاز به اطلاعات حفاظت‌شده انجام دهد، طبق قانون فِرپا به‌دلیلِ «اجازه‌ی انتشار»ِ چنین اطلاعاتی مسئول است. قانون هم‌آهنگ‌سازیِ فن‌آوری، آموزش، و حقِّ‌کپی ۲۰۰۲ («قانون TEACH») صریحاً مؤسسات آموزشی را ملزم می‌کند که اقداماتِ «به‌لحاظ فن‌آورانه امکان‌پذیر»ی انجام دهند تا از اشتراک غیرمجازِ اطلاعات دارای حقّ‌کپی جلوگیری نمایند، اطلاعاتی که فراتر از چیزهایی هستند که دانشجویان به‌طور مشخص برای مطالعات خود به آن‌ها نیاز دارند، و بنابراین، می‌تواند وظایف قانونی لازم‌الاجرای جدیدی در ارتباط با امنیت اطلاعات برای مؤسسات آموزشی ایجاد نماید.^۴۵

قانون حریم شخصی ارتباطات الکترونیکی و قانون سوءاستفاده و کلاه‌برداری رایانه‌ای

این دو ماده‌ی قانونی فدرال، با این‌که روندهای امنیت اطلاعاتی‌ای را الزامی نمی‌کنند، مجازات‌های جزایی جدی‌ای را برای هر شخصی ایجاد می‌کنند که دسترسی غیرمجاز به اسناد الکترونیکی بیابد. برخلاف قوانینی مانند HIPAA و GLB، این دو ماده‌ی قانونی، صرف‌نظر از نوع اسناد الکترونیکیِ موردنظر، کاربرد گسترده‌ای دارند. قانون حریم شخصی ارتباطات الکترونیکی (ECPA)، کاربرد یا شنودِ بدون اجازه‌ی محتویات ارتباطات الکترونیکی را جرمی فدرال می‌سازد.^۴۶ به همین ترتیب، قانون سوءاستفاده و کلاه‌برداری رایانه‌ای ۱۹۸۴ (CFAA) دسترسی غیرمجاز به گستره‌ی بسیار وسیعی از سیستم‌های رایانه‌ای (از جمله مؤسسات مالی، دولت فدرال، و هر سیستم رایانه‌ای حفاظت‌شده‌ای که در تجارت بین‌ایالتی به‌کار رفته باشد) را جرمی فدرال می‌سازد.^۴۷ در نتیجه، حرفه‌ای‌های امنیت اطلاعات باید مراقبت بسیاری داشته باشند- و متکی به حرفه‌ای‌های قانونیِ واجدشرایط و باتجربه‌ای باشند- تا اطمینان یابند که اجازه‌هایی که آن‌ها از سوی مشتریان خود دریافت می‌کنند، به‌اندازه‌ی کافی وسیع و معین هستند تا مسئولیت‌های جزاییِ بالقوه‌ی موجود در ECPA و CFAA را خنثی سازند.

قوانین ایالتی

علاوه بر مواد قانونی و مقررات فدرالی که مشمول امنیت اطلاعات می‌شوند، قوانین ایالتی فراوانی نیز وجود دارند که، بسته به مکان نهاد و جاهایی که نهاد مربوطه تجارت خود را انجام می‌دهد، می‌توانند ملزوماتی قانونی در ارتباط با کارِ حرفه‌ای‌های امنیت اطلاعات ایجاد کنند.

دسترسی غیرمجاز

در کولورادو (و دیگر ایالت‌ها)، دسترسی، به‌کارگیری، یا دسترسی یا به‌کارگیریِ فراتر از حدّ مجازِ رایانه، شبکه‌ای رایانه‌ای، یا هر قسمتی از سیستمی رایانه‌ای، جرم است.^۴۹ هرگونه عملی علیه سیستمی رایانه‌ای که منجر به خسارت، سرقت، یا هر هدف خلاف‌کارانه‌ی دیگری شود، جرم است. البته، آگاهی از این امر به‌ویژه برای حرفه‌ای‌های امنیت اطلاعات اهمیت دارد که دسترسی آگاهانه به سیستمی رایانه‌ای بدون اجازه یا فراتر از حدّ دسترسی مجار، نیز جرم است. این یکی از دلایلی است که نشان می‌دهد این موضوع برای حرفه‌ای‌های امنیت اطلاعات، نقشی حیاتی دارد که با کمکِ مشاوری واجد‌شرایط و باتجربه، با تمام مشتریان خود، اجازه‌نامه‌ای (LOA) فراگیر و به‌دقت واژه‌پردازی‌شده را طی کنند (در ادامه به‌تفصیل بحث شده است).

رویّه‌های بازرگانی فریب‌آمیز

رویّه‌های بازرگانی فریب‌آمیز، غیرقانونی هستند و به‌طور بالقوه می‌توانند هر کسی را که مرتکب آن‌ها شود، محکوم به جرایم و خسارات مدنی سازد.^۵۰ در کولورادو (مثل بسیاری از ایالت‌های دیگر)، «رویّه‌های بازرگانی فریب‌آمیز» شامل این موارد می‌شوند:

• «آگاهانه مشخصات… [یا] مزایای کالاها، …خدمات، یا اموال را به‌دروغ معرفی کردن»^۵۱
• «کوتاهی در افشای اطلاعاتِ مربوطه به کالاها، خدمات، یا اموالی که آن اطلاعات در زمان تبلیغات یا فروش معلوم بودند، به شرطی که چنین کوتاهی‌ای در افشای چنین اطلاعاتی به‌قصدِ اغوای مصرف‌کننده برای ورود به تراکنشی صورت گرفته باشد»^۵۲

مقررگرها از قوانینِ رویّه‌های بازرگانی فریب‌آمیز، و نه از استانداردهای مقرراتی یا ماده قانونی، استفاده کرده‌اند تا (از طریق دادخواهی) ملزومات امنیت اطلاعات را بر نهادهای موجود در صنایع تحمیل کنند.

این‌‎ها تنها دو نمونه از بسیاری از انواع قوانین ایالتی هستند که بالقوه می‌توانند در باره‌ی حرفه‌ای‌های امنیت اطلاعات و مشتریان آن‌ها به‌کار گرفته شوند. علاوه بر این، رهنامه‌های مسامحه‌ی قوانین نانوشته در هر ایالتی می‌تواند مسئولیت قانونی مدنی برای حرفه‌ای‌های امنیت اطلاعات و مشتریان آن‌ها ایجاد نماید (در ادامه در بخش «یا کار خود را درست انجام می‌دهید یا روی اعتبار شرکت قمار می‌کنید: ابزارهایی برای کاهش مسئولیت قانونی» بحث خواهد شد).

درکِ قوانین ایالتی بی‌شماری که در خصوص امنیت اطلاعات، و هر نهاد خاصی به‌کار گرفته می‌شوند، و نحوه‌ی هم‌پوشانی و تعامل چنین قوانینی با قوانین فدرال، پیچیده و همواره در حالِ تکامل است. حرفه‌ای‌های امنیت اطلاعات و مشتریان آن‌ها باید با مشاور قانونیِ واجدشرایط و باتجربه‌ای مشورت کنند تا آن‌ها را در این محیط قانونیِ پُرتلاطم هدایت کند.

اقدامات اجرایی

آن‌چه «استاندارد مراقبتیِ متعارف» را در امنیت اطلاعات، همانند تمام عرصه‌های قانونی، تشکیل می‌دهد، همچنان تکامل خواهد یافت، و البته نه فقط از طریق مواد قانونی و مقررات جدید. دادستانان و مقررگرها منتظرِ چنین توسعه‌های قانونی و رسمی‌ای نخواهند ماند. در دادخواهی‌ها، و اقداماتی اجرایی علیه نهادها که مستقیماً تحت پوششِ مقررات یا ماده‌ی فدرال یا ایالتیِ معینی قرار نمی‌گیرند، دادستانان و مقررگرها به‌وضوح نشان داده‌اند که اقدامات امنیت اطلاعاتیِ «متعارف» را حتی به آن دسته از نهادهایی بسط می‌دهند که صریحاً تحت پوششِ قوانین معین کنونی قرار نمی‌گیرند. این امر از طریق اقداماتی قانونی انجام می‌شود که منجر به مصالحه می‌گردند، و اغلب شامل قرارهای تراضی (موافقت‌نامه‌هایی که برای پایان دادن به دادرسی یا اقدام مقرراتی به آن‌ها دست می‌یابند) هستند که در آن‌ها شرکت موافقت می‌کند که «داوطلبانه» به مقررگرها اجازه دهد تا (برای مثال، به‌مدت ۲۰ سال) بر برنامه‌ی امنیت اطلاعات شرکت نظارت کنند.^۵۳

از آنجا که این موافقت‌نامه‌ها در دسترس عموم قرار دارند، علاوه بر ایجاد انگیزه‌ی افزوده برای اقدامات اجراییِ مشابه در آینده، به «استاندارد مراقبتی»‌ای اضافه می‌شوند که نهادها آن‌ها را به‌کار خواهند گرفت. بنابراین، مشتریانِ حرفه‌ای‌های امنیت اطلاعات نباید در این مورد چندان آسوده باشند که هنوز قوانین معینی صریحاً بخش‌ها یا صنایع اقتصادی آن‌ها را هدف نگرفته‌اند.

سه مغالطه‌ی خطرناک

عقل سلیم، چیزی قدرتمند و خطرناک است، همان‌طور که دانش اندک نیز چنین است. شوربختانه، بسیاری از نهادهایی که فکر می‌کنند ملزومات قانونی و دیگر ملزوماتِ امنیت اطلاعات را در اختیار دارند، دچار برخی از مغالطه‌های مشخص شده‌اند که گاهی تصمیمات امنیت اطلاعاتی آن‌ها را کنترل می‌کنند. بدتر از آن، تعداد چشم‌گیری از تأمین‌کنندگانِ امنیت اطلاعات که باید آگاهی بیش‌تری داشته باشند، نیز قربانیِ این مغالطه‌ها می‌شوند. بنابراین، اجازه دهید به این بهانه، روشنگری کنیم.

مغالطه‌ی «تک‌قانون»

بسیاری از حرفه‌ای‌های امنیت اطلاعات، هم در بین نهادهای تجاری و آموزشی، و هم در میان جهانِ درحالِ‌رشدِ مشاوران، دچار مغالطه‌ی «تک‌قانون» می‌شوند. علت این امر آن است که آن‌ها ماده‌ای قانونی یا مجموعه‌ای از مقررات را شناسایی می‌کنند که به‌وضوح در خصوص مؤسسه‌ای معین صدق می‌کند و این‌گونه فرض می‌کنند که با برآورده ساختن شرایطِ همان یک استاندارد، به تمام خطرات قانونی پایان داده‌اند. ممکن است این فرض صحیح باشد، اما در بسیاری از موارد نیست. چنین چیزی را فرض کردن، بدون مشاوره با مشاور قانونی واجدشرایط و باتجربه،‌ می‌تواند خطایی گزاف باشد.

برای مثال، کالج یا دانشگاهی متوسط را درنظر بگیرید. ممکن است حرفه‌ای‌های امنیت اطلاعات این‌گونه استدلال کنند که، از آنجا که فِرپا به‌وضوح در باره‌ی سوابق آموزشی صدق می‌کند، رهنمودی که برای کالج‌ها و دانشگاه‌ها سازمان داده شده است، رهنمودی که طبق استدلال آن‌ها بر اساس استانداردهای مناسب وزارت آموزش است، برای رفع هر نوع مسئولیت قانونیِ احتمالی کافی است. بدتر از آن، ممکن است آن‌ها تصمیم بگیرند که خطر کنند و روی آن شرط ببندند، روی ابهام مفروض کنونی در باره‌ی این‌که آیا فِرپا نیاز به کنش تصدیق‌آمیز برای جلوگیری از دسترسی غیرمجاز به چنین سوابقی دارد یا نه، این‌که آیا آن‌ها باید گام‌های تصدیق‌آمیزی بردارند و از چنین دسترسی‌ای جلوگیری نمایند یا نه. این کار، قماری گزاف است، به‌ویژه اگر مؤسسه‌ی آموزشی پرسش‌های زیر را از خود نپرسیده باشد:

• آیا مدرسه کمک مالی اعطا می‌کند یا دیگر اَشکالِ اعتباری را گسترش می‌دهد؟ در آن صورت، می‌تواند تابعِ GLBA باشد.
• آیا بیمارستان‌ها را می‌گرداند، خدمات مشاوره‌ی روان‌پزشکی می‌دهد، یا خدمات بهداشتی دانشجویی ارائه می‌کند؟ در آن صورت، می‌تواند تابعِ HIPAA باشد.
• آیا وب‌گاه مدرسه حاویِ هیچ معرفی‌ای در باره‌ی امنیت سایت و/یا اطلاعات دانشگاهی است؟ در آن صورت، می‌تواند تابعِ دادخواهی‌هایی تحت یک یا چند (بسته به این‌که پردیس‌هایی در چندین ایالت داشته باشد یا نه) قانون ایالتیِ رویّه‌ی بازرگانی فریب‌آمیز باشد.

مغالطه‌ی نهاد خصوصی

برخی از مؤسسات، با تمرکز بر SOX و گرایش آن بر شرکت‌های با بازرگانی عمومی، از این‌که خصوصی هستند آرامش خاطر می‌یابند و در واقع، استدلال آن‌ها این است که آن‌ها موضوعِ بحث SOX نیستند و/یا این‌که آن‌ها می‌توانند به‌نوعی «زیرِ رادار»ِ مقررگرها و دادخواهان مدنیِ فدرال «پرواز کنند.» باز هم، یک شرط‌بندی خطرناک. اول این‌که، احتمالِ این‌که مقررات جامعِ امنیت اطلاعات فدرال به مرزی فراتر از شرکت‌های با بازرگانی عمومی برسند، هر روز افزایش می‌یابد. دوم این‌که، هر کسی که تصور می‌کند وکلای خواهان‌های آینده (دانشجویان، اساتید هیئت علمی، قربانیان حمله یا سرقت هویت) از عبارات لفظیِ SOX بر حذر خواهند بود، دچار اشتباه شده‌اند. استدلالی که می‌توان داشت (به‌عنوان برگ برنده) این است که «استاندارد مراقبتی»ِ مناسب برای امنیت اطلاعات، در دسترس عموم و کاملاً شناخته‌‍شده بوده است. این بوده که یک ماده‌ی قانونیِ خاص نمی‌تواند به معنای صریح و واضح خود در موردی صدق کند، نمی‌تواند موجب آسودگیِ خاطرِ نهادها نسبت به استاندارد مراقبتی شود و تکلیف آن‌ها نباید کم‌اهمیت و ناچیز شمرده شود. سوم و از همه مهم‌تر این‌که، نگاه تنگ‌نظرانه نسبت به SOX (یا هر قانون و مقررات مجزای دیگری) که منجر به استثنا شدنِ بسیاری از دیگر منابع بالقوه‌ی مسئولیت گردد، موجب آسودگی خاطرِ نهادها نسبت به دیگر مسئولیت‌های آن‌ها نخواهد شد؛ مسئولیتی که آن‌ها در قبالِ فراگیری و پیروی از الزاماتی دارند که دیگر منابع قانونی، از جمله HIPAA، GLBA، مواد قانونی ایالتی، و نظریه‌های قوانین نانوشته، و قوانین وابسته به جایی که نهاد مربوطه کسب‌وکار خود را انجام می‌دهد، قانون بین‌الملل و خارجی، مانند دستورالعمل حریم شخصی اتحادیه‌ی اروپا که پیچیده و سنگین است، و الخ مشخص می‌کنند.^۵۴

مغالطه‌ی «فقط یک نفوذ آزمایشی»

هر حرفه‌ایِ امنیت اطلاعات، احتمالاً بیش از یک بار، با مشتریِ «فقط یک نفوذ آزمایشی» برخورد داشته است. این مشتری یا مطمئن است که وضعیت امنیت اطلاعاتِ آن‌ها آن‌قدر خوب است که آن‌ها فقط نیاز به شخص خارجی‌ای دارند تا تلاش کند که سیستم آن‌ها را «دربشکند» (نفوذ آزمایشی انجام دهد) تا ثابت شود که چقدر خوب هستند، یا نیازِ دیوان‌سالارانه‌ی داخلی‌ای احساس می‌کند تا به افراد دیگرِ شرکت اثبات کند که سیستم‌های آن‌ها چقدر ناایمن هستند. معمولاً، مشتری بودجه‌ی محدودی دارد یا در واقع نمی‌خواهد پول زیادی صرف کند و از حرفه‌ایِ امنیت اطلاعات نیز انتظارِ «ضربه‌ای سریع» را دارد تا نکته‌ای دیوان‌سالارانه را اثبات کند. یکی از متغیرهایی که در این زمینه وجود دارد، مشتری است که از همان ابتدا انتظارِ نفوذی آزمایشی را دارد، پیش از آن‌که تصمیم گرفته باشد تا کجا باید در مسیرِ برآورد/ارزیابیِ امنیت اطلاعات پیش رفت.

دیگر از این روشن‌تر نمی‌توان گفت که: راه‌اندازیِ نفوذ آزمایشی فاجعه‌آمیز است، به‌ویژه اگر هیچ راهی برای جلوگیری از افشای نتایج به‌دست‌آمده نباشد (بخشِ «مصونیت وکیل-موکل» را در ادامه ببینید). راه‌اندازی نفوذی آزمایشی، بدون برقراریِ رابطه‌ای فراگیرتر و بلندمدت‌تر با وکلای واجدشرایط و باتجربه و، از طریق آن‌ها، با مشاوران فنی امنیت اطلاعات، می‌تواند عواقب قانونیِ وحشتناکی به‌دنبال داشته باشد. به‌ویژه اگر این کار از همان ابتدا بدونِ برآورد، ارزیابی، و بازسازیِ بین‌راهِ مناسب صورت گیرد، نه تنها به احتمال قریب به یقین، مشتری در این نفوذ آزمایشی شکست خواهد خورد، بلکه این شکست در قالبِ گزارشی مستند خواهد شد که تحت هیچ مصونیت وکیل-موکل یا دیگر حفاظت‌های جلوگیری‌کننده از افشا قرار نخواهد داشت.

به‌طور خلاصه، آزمایشی که در بدترین زمان ممکن در طی فرآیند انجام شود، به‌لحاظِ آسیب‌پذیری‌های موجود، کاملاً در معرض کشف و افشا به‌وسیله‌ی رقبای آینده‌ی مشتریان شما خواهند بود. از دیدگاهِ حرفه‌ایِ فنی امنیت اطلاعات، این امر می‌تواند منجر به این نیز گردد که شما بعدها مجبور شوید نسبت به ریزترین جزئیات کار خود برای مشتری، روش‌شناسی و «اسرار تجاری» خود، و محصول کاری خود، به‌طور عمومی و با یادِ سوگند، شهادت دهید.^۵۵

یا کار خود را درست انجام می‌دهید یا روی شرکتِ خود قمار می‌کنید: ابزارهایی برای کاهش مسئولیت قانونی

در سال‌های اخیر، مقالات فراوانی در باره‌ی نحوه‌ی حفاظت از شبکه‌ی خود از منظر فنی نوشته شده است،^۵۶ اما دستِ‌کم از اواسط سال ۲۰۰۵، سرخط‌هایی برجسته شدند با نمونه‌هایی از شرکت‌هایی که اطلاعات حیاتی خود را به دلیلِ امنیت ناکافی از دست داده‌اند. از چویس‌پوینت، دی‌اِس‌دبلیو شوز، چندین دانشگاه، مؤسسات مالی از جمله بانک امریکا و واچوویا، مَستِرکارت و دیگر اعتباردهندگان، و حتی FBI در مقالات خبری اخیر به دلیل از دست دادنِ اطلاعات حیاتی نام برده شده است. به‌عنوان نمونه، چویس‌پوینت به دلیل اقدامات رخ‌داده در ایالاتی از کالیفرنیا گرفته تا نیویورک و ایالت خانگی‌اش، جئورجیا، در سال ۲۰۰۵ تحت پیگرد قرار گرفت. اتهامات طرح‌شده در دادخواست شامل این بود که چویس‌پوینت در «ایمن‌سازی و محرمانه نگاه داشتنِ اطلاعات شخصی، مالی، و دیگر اطلاعاتی که از طرف مصرف‌کنندگان به امانت به‌دستِ چویس‌پوینت سپرده شده است» کوتاهی کرده است^۵۷؛ در حفظ و نگاه‌داریِ روندهای مناسب برای اجتناب از افشای برخی از اطلاعات مالی و اعتباری خصوصی به اشخاص ثالثِ غیرمجاز، کوتاهی کرده است؛ و نسبت به حقوق مشتریان خود برای حفظ حریم شخصی، «عمداً، بی‌اعتنایانه، و/یا با بی‌ملاحظگیِ آگاهانه» رفتار کرده است.^۵۸ نظریه‌های قانونی‌ای که در دادخواست‌های آتیِ مرتبط با امنیت اطلاعات به‌کار خواهند رفت، تنها محدود به ابتکار وکلایی خواهند بود که این دادخواست‌ها را تنظیم می‌کنند.

چندان دور از تصور نیست که هر کسی که نقش عمده‌ای در امنیت اطلاعات بر عهده دارد، دیر یا زود تحت پیگرد قرار گیرد، خواه دادخواست مربوطه پوچ و بی‌معنی باشد یا نباشد. این امر، واقعیتی است که در زندگی تجاری وجود دارد. بنابراین، مشاوران امنیت اطلاعات چگونه می‌توانند به مشتریان خود کمک نمایند تا «رخ‌نمای هدف»ِ دادرسی خود را کاهش دهند؟

ما تمام تلاش خود را کردیم؛ مشکل چیست؟

بسیاری از شرکت‌ها احساس می‌کنند که کارکنان امنیت و فن‌آوری اطلاعات داخلیِ آن‌ها تمام تلاش خود را می‌کنند تا شبکه‌های آن‌ها را نگاه‌داری و ایمن سازند. آن‌ها حتی به‌طور دوره‌ای نفوذهایی آزمایشی انجام می‌دهند و تلاش می‌کنند که از میان صدها صفحه‌ی مجزا از «آسیب‌پذیری‌های» شناسایی‌شده در گزارش‌های به‌دست‌آمده، سردرآورند. پس چرا به‌اندازه‌ی کافی خوب نیست؟ پاسخ این است که «تمام تلاش خود را انجام دادن» برای ایمن‌سازی و نگاه‌داریِ سیستمی شبکه‌ای، کافی نخواهد بود مگر این‌که بر این بنا استوار گردد که با استانداردهای قانونی خارجی (که پیش از این بحث شدند) تطابق داشته باشد. نفوذهای آزمایشی به‌تنهایی چندان کافی نیستند که بتوان اقداماتی منطقی را به نمایش گذاشت که استاندارد مراقبتی برای امنیت اطلاعات را برآورده سازند. در مورد چویس‌پوینت، دستِ‌کم بر اساس آن‌چه از اواسط سال ۲۰۰۵ برای عموم آشکار شده است، نفودهای آزمایشی کمکی نکرده‌اند. به‌نظر می‌رسد چویس‌پوینت قربانیِ افرادی شده است که فریب‌کارانه خود را تاجر وانمود کرده‌اند و مردم را فریفته‌اند تا چیزهایی را به آن‌ها بدهند که اطلاعات ایمن دیگری بوده‌اند.

اصلاحِ هر کدام از نقاط شکستِ بالقوه‌ی ویژه، تقریباً هرگز کافی نخواهد بود. امروزه شرکت‌ها باید منابع بالقوه‌ی مسئولیت را بشناسند، آن‌هایی را که در موردِ تمام نهادهای تجاری، و نیز آن‌هایی را که فقط در خصوصِ صنعت آن‌ها صدق می‌کنند. یک شرکت، تنها از طریق درکِ محیط قانونی و اقتباس و پیاده‌سازیِ خط‌مشی‌هایی برای اطمینان از دسترسی به سطح بالایی از تطابق با ملزومات قانونی رایج، می‌تواند خطر مسئولیت را کمینه سازد. البته، این روش سیستمی نمی‌تواند ایستا نباشد. این کار نیاز به بازدید و پیاده‌سازیِ مداوم دارد تا این اطمینان ایجاد شود که در تطابق با محیط قانونیِ همواره‌متغیّر است.

مبنای مسئولیت

مسئولیت قانونیِ شرکت می‌تواند در اثرِ موارد زیر افزایش یابد: (الف) استانداردها و مجازات‌های تحمیلی از سوی دولت‌های فدرال، ایالتی، یا محلی؛ (ب) نقض موافقت‌نامه‌های قراردادی؛ یا (پ) خطاهای مدنی (شبه‌جرم) غیرقراردادیِ دیگر از کلاه‌برداری، تعرض به حریم شخصی، و اختلاس گرفته تا رویّه‌های بازرگانی فریب‌آمیز و مسامحه. برای اجتناب از مسئولیتِ خلاف‌کاریِ جزایی باید از مواد قانونی و مقرراتی که در خصوصِ کسب‌وکار شما صدق می‌کنند، نیز آگاهی یافت و به آن ملزومات پایبند بود. ممکن است مواد قانونی فدرال و ایالتی هم موجب تحمیلِ مجازات‌هایی جزایی شوند و هم مبنایی برای دادخواست‌های خصوصی تشکیل دهند.

مسامحه و «استاندارد مراقبتی»

ترکیبِ بوده‌ها و رخدادهایی که در صورتِ نقض امنیت اطلاعات می‌توانند موجبِ دعاویِ مدنی گردند و تأثیرات معینی که بر عملیات تجاری می‌گذارند، بیش از آن هستند که بتوان همه را ریزبه‌ریز مطرح کرد. درکِ مبنای مسئولیت و انجام کسب‌وکار به‌روشی که از مسئولیت اجتناب گردد، بهترین دفاع است. در بسیاری از موارد، دعویِ مسئولیت بر مبنای اتهامی است که شرکت و کارمندان و مدیران آن «مسامحه‌کارانه» انجام داده‌اند. در قانون، «مسامحه» زمانی رخ می‌دهد که یک طرف انجامِ تکلیفی قانونی را به دیگری مدیون است، در خصوصِ آن تکلیف نقضِ عهد صورت می‌گیرد، و این نقض موجب وارد آمدنِ خساراتی به طرفِ زیان‌دیده می‌گردد. عموماً، رفتار «متعارف» در شرایط و مقتضیات موجود، موجب می‌شود که از «مسامحه‌کار» شناخته شدنِ مشاوران امنیت اطلاعات و مشتریان آن‌ها جلوگیری شود.^۵۹ نکته این‌جا است که آن‌چه «متعارف» شناخته می‌شود: (۱) هم به شرایط ویژه‌ی وضعیت‌های فردی بستگی دارد؛ و (۲) هم همگام با این‌که قوانین و مقررات جدیدی منتشر می‌شوند و آسیب‌پذیری‌ها، بردارهای حمله، و ضدّپیش‌بینی‌های موجودِ جدیدی شناخته می‌شوند، همواره در حالِ تکامل است.

قطعاً، زمانی که شرکتی از اطلاعات مشتریِ شخصی یا محرمانه نگاه‌داری می‌کند، یا توافق کرده است که اطلاعات اسرار تجاریِ بنگاه دیگری را به‌صورتِ محرمانه نگاه دارد، کمترین تکلیف آن شرکت این است که مراقبت متعارف را برای ایمن‌سازیِ سیستم‌های رایانه‌ای خود به‌کار بندد تا از سرقت یا افشای سهویِ اطلاعاتی که به آن سپرده شده است، جلوگیری نماید. مراقبت متعارف می‌تواند از استانداردی بی‌نهایت بالا برخوردارد باشد تا با تعبیه‌ی اطمینان و محرمانگی در شرکت، بتوان اطلاعات حساس را ایمن ساخت، یا می‌تواند در حدّ استانداردی مراقبتی باشد که عموماً از سوی دیگر شرکت‌های آن صنعت به‌کار گرفته شده است.

«استاندارد مراقبتی»ِ متعارف چیزی است که قانون به این صورت تعریف می‌کند: حداقل اقداماتی که شرکتی باید انجام دهد تا مسامحه‌کاری نکرده باشد (یا، به بیان دیگر، به‌طور متعارف عمل کرده باشد). یکی از بنیان‌های قوی برای اجتناب از مسئولیت در قبال دعاوی مدنی این است که انجامِ امور شرکت را بر اساس استاندارد مراقبتیِ شناخته‌شده‌ای استوار کرد که از مسئولیت در قبالِ مسامحه‌کاری جلوگیری می‌کند.

استاندارد مراقبتیِ متعارف و مناسب در هر صنعت و وضعیت مفروضی می‌تواند از چندین منبع ناشی شود، از جمله مواد قانونی، مقررات، تکالیف قوانین نانوشته، خط‌مشی‌های سازمانی، و وظایف قراردادی. دادگاه‌ها به میزانِ پیش‌بینی‌پذیریِ انواع ویژه‌ی آسیب نظر دارند تا به تعیینِ استاندارد مراقبتیِ یک صنعت کمک نمایند. به بیان دیگر، بنگاهی تجاری باید مراقبت متعارف را به‌کار بندد تا از خسارتی اقتصادی که باید پیش‌بینی می‌شده، جلوگیری شود. در نتیجه‌ی تشهیرِ مداومِ انواع جدیدِ آسیب‌های ناشی از نقضِ امنیت اطلاعات، روزبه‌روز «پیش‌بینی‌پذیر»تر است که ممکن است اطلاعات حیاتی از طریق دسترسی غیرمجاز از دست بروند، و خط‌مشی‌ها و رویّه‌هایی که برای حفاظت از آن اطلاعات استفاده شده‌اند نقش مرکزی را در آن مسامحه‌کاری بر عهده داشته‌اند.

چه باید کرد؟

آگاهی کامل از خطرات، که به‌وسیله‌ی مشاور واجدشرایط و باتجربه برآورد شده باشند، اولین گام اساسی است. انجام کاری که در صورتِ ایجاد اِشکال، یا از مسئولیت جلوگیری نماید یا عواقب آن را کمینه سازد، گام بلند بعدی است. موارد زیر، پیشنهاداتی هستند که در این مسیر به شما کمک خواهند کرد.

محیط قانونی خود را درک کنید

کاهش مسئولیت قانونی با درکِ قوانینی آغاز می‌شود که نسبت به کسب‌وکار یک شرکت به‌کار می‌روند. (مجموعه‌ی گوناگونی از ملزوماتی قانونی که بالقوه قابل‌اجرا هستند، در بخش «استانداردهای قانونی مرتبط با امنیت اطلاعات» در بالا به‌طور خلاصه آمده‌اند.) عدم آگاهی از قانون عذر موجهی نیست، و کوتاهی در همگامی با ملزومات ماده‌قانونی اولین منبعِ مسئولیت است. همکاری با حرفه‌ای‌های، چه داخل و چه خارجِ شرکت، برای دنبال کردنِ تغییراتِ رخ‌داده در قانون‌گذاری و متناسب‌سازیِ خط‌مشی‌های امنیت اطلاعات خود، اولین خطّ دفاعی است. تطابق مراقبت‌آمیز با قوانین نه تنها کمک می‌کند که احتمالِ مسئولیت جزایی یا جرایم اجرایی کاهش یابد، بلکه مدارکی برای استاندارد مراقبتی ارائه می‌کند که می‌تواند مسئولیت مدنی را کاهش دهد.

برآوردها، ارزیابی‌ها، و پیاده‌سازیِ امنیت فراگیر و مداوم

شرکت با همکاری با مشاوران قانونی و مشاوران فنیِ واجدشرایط و باتجربه، باید اطلاعاتی را که کنترل می‌کند، شناسایی و اولویت‌بندی نماید، اطلاعاتی که ممکن است نیاز به حفاظت داشته باشند، و ملزومات قانونیِ معینی را فهرست کند که در خصوصِ چنین اطلاعاتی و نوع کسب‌وکاری که شرکت در آن فعالیت می‌کند، صدق می‌کنند. سپس، باید خط‌مشی‌هایی توسعه داده شوند تا این اطمینان ایجاد شود که اطلاعات مربوطه به‌طور مناسب نگاه‌داری و نظارت می‌شوند و این‌که پرسنلِ شرکت طبق آن خط‌مشی‌ها رفتار می‌کنند. ارزیابی‌های خط‌مشی باید شاملِ ملزومات قانونی قابل‌اجرا، و نیز روندهای متعارفی برای آزمایش و حفظِ امنیتِ سیستم‌های اطلاعاتی باشند.

بسیار حیاتی است که چرخه‌ی استفاده از برآوردها/ارزیابی‌های شخص‌ثالث و بی‌طرف و خارجی، پیاده‌سازی و به‌بود، و برآورد مجدد، مداوم باشد. انجامِ برآورد/ارزیابیِ ایستا بدتر از آن است که اصلاً هیچ ارزیابی یا برآوردی نباشد. در واقع پیاده‌سازیِ نتایجِ برآوردها/ارزیابی‌ها، بدون این‌که بازبرآورد یا اصلاحی روی آن‌ها صورت گیرد یا در باره‌ی آن‌ها آموزش کافی به کارمندان داده شود، یا بدون ارزیابیِ کارمندان در خصوصِ درک و پیاده‌سازیِ چنین نتایجی، تقریباً به همان اندازه‌ی قبلی بد است.

برای تعیین حقوق و حفاظت از اطلاعات از قراردادها استفاده کنید

بسیاری از بنگاه‌های تجاری فرآیندِ استفاده از قراردادها و پیروی از ضوابط آن قراردادها را، راهی برای اجتناب از دعاویِ نقضِ تعهد می‌دانند. آن‌چه چندان آسان مشخص نمی‌شود این است که وظایف قراردادی چگونه بر احتمالِ مسئولیت مدنی اثرگذار هستند، مسئولیتی که مبتنی بر این امر است که در بنگاهی معین، اطلاعات چگونه ایمن و مدیریت می‌شود؟ بسیاری از عرصه‌های موجود در کسب‌وکار شرکت نیازمندِ این هستند که قراردادهایی توسعه و سازمان داده شوند تا از ایجاد مسئولیت جلوگیری گردد و صحتِ بنگاه حفظ گردد. یکی از نمونه‌های آن، قانون اسرار تجاریِ همسان (UTSA) است، که تقریباً در تمام ایالات به‌کار گرفته شده است و هدف از آن حفاظت از اطلاعات محرمانه‌ی باارزش برای بنگاه تجاریِ یک شرکت است. طبق UTSA، اطلاعات محرمانه می‌توانند چیزهایی مانندِ فرمول‌ها، الگوها، تألیف‌ها، برنامه‌ها، افزاره‌ها، روش‌ها، شیوه‌ها، یا فرآیندهایی باشند که ارزش اقتصادیِ مستقل آن‌ها از آنجا ناشی می‌شود که برای عموم شناخته‌شده نیستند و شرکت مربوطه اقدامات متعارفی برای حفظ محرمانه بودنِ آن‌ها انجام داده است. تقریباً هر شرکتی اسرار تجاری‌ای دارد- از فهرست‌های مشتری گرفته تا روش‌شناسی‌های تجاری خود که به آن‌ها مزیت رقابتی می‌بخشد. اگر شرکت در انجام اقدامات متعارف برای محرمانه نگاه داشتنِ این اطلاعات کوتاهی کند، هر نوع حفاظتی برای این سرمایه‌های ارزشمند ضایع خواهد شد.

دستِ‌کم باید قراردادهایی توسعه داده شوند تا کارمندان را متعهد سازند که اسرار تجاری شرکت، یا هر نوع اطلاعاتی را که قانوناً ملزم به حفاظت هستند (برای مثال، اطلاعات مالی یا مراقبت بهداشتی فردی)، افشا نسازند. این موافقت‌نامه‌ها اغلب در صورتی که در زمان استخدام و به‌عنوانِ شرط استخدام به‌کار گرفته شوند، بیش‌ترین اثرگذاری را دارند. دلیل این امر آن است که اغلبِ قراردادها نیاز به اعتباری برای پشتیبانی از لازم‌الاجرا بودنِ آن‌ها دارند و نیز این‌که تأخیر در الزام به موافقت‌نامه‌ی عدمِ افشا ممکن است منجر به افشای اطلاعات حساس پیش از انعقاد قرارداد گردد.

خط‌مشی‌های استخدامی باید بر وظیفه‌ی کارمند به حفظ محرمانگی تأکید داشته باشند. این خط‌مشی‌ها باید رهنمودهای شفافی نیز در باره‌ی روندهایی ارائه دهند برای به‌کارگیری و حفظِ گذرواژه‌ها و برای استفاده‌ی مسئولانه از اطلاعاتی که روی شبکه ایمن شده‌اند. مصاحبه‌ها و دوره‌های آموزشی برای کارمندان باید به‌طور مرتب پیاده‌سازی شوند تا روی این موضوع تأکید کنند که این ملزومات لازم‌الاجرا هستند و از طرف مدیریت جدی گرفته شوند. فروشندگان و خدمات‌دهندگانی که ممکن است نیاز به بازدید اطلاعات محرمانه داشته باشند تنها باید طبق موافقت‌نامه‌ای که استفاده از آن اطلاعات را محدود می‌سازد، و نیز موافقت با حفظِ محرمانگیِ آن‌ها، امکان دسترسی مجاز به چنین اطلاعاتی را داشته باشند. استخدامِ مشاور برای انجام ارزیابیِ امنیت شبکه بدون انعقاد موافقت‌نامه‌ی مناسبی برای حفظ محرمانگی، می‌تواند بعدها به‌عنوان مدرک قانع‌کننده‌ای مطرح گردد که نشان می‌دهد شرکتی در اجرای اقدامات متعارف برای محرمانه نگاه‌داشتنِ اطلاعات کوتاهی کرده است، نتیجه می‌شود این‌که دیگر این اطلاعات جزء اسرار تجاری‌ای نیستند که مستحق حفاظت باشند.

از حرفه‌ای‌های شخص ثالثِ واجدشرایط استفاده کنید

همکاری با حرفه‌ای‌های امنیت اطلاعات واجدشرایط برای پیاده‌سازیِ ره‌یافت‌های سخت‌افزاری و نرم‌افزاری مناسب برای کمینه‌سازیِ نقض امنیتی، کاری حیاتی است، اما هرگز کافی نیست. این کارها باید در پیوند با سیستمی از آزمایش و بازآزمایشِ ارزیابی که ملاحظات قانونی را در آن می‌گنجاند، و تحت برنگری و راهنماییِ مشاور قانونی واجدشرایط و باتجربه انجام شوند.

علاوه بر این، کار با مشاور خارجیِ واجدشرایط و باتجربه واقعاً می‌تواند موفقیت در رخدادی را که دعاویِ مسامحه در آن مطرح شده‌اند، به‌بود بخشد (استفاده از وکلا و حرفه‌ای‌هایی فنی که برای انجامِ برآوردها و ارزیابی‌های مداوم و فراگیر آموزش دیده‌اند، مدرکی است برای متعارف بودنِ اقداماتی که برای جلوگیری از خسارت انجام شده‌اند). ممکن است کارکنان داخلی شرکت‌ها به یک اندازه صلاحیت داشته باشند تا راه‌بردهای امنیت اطلاعات را توسعه دهند و پیاده سازند، اما مقررگرها، دادگاه‌ها، و هیئت‌منصفه‌ها به این توجه خواهند کرد که آیا شرکت پیش از بروز مشکل، از مشاوران فنی و مشاور قانونیِ خارجیِ واجدشرایط و باتجربه‌ای بهره برده‌اند یا نه. کار با این کارشناسان، احتمالِ پیروی از بِه‌رویّه‌ها را افزایش می‌دهد و بازدید مستقل، بهترین راه برای کاهش خسارات پیش‌بینی‌پذیرِ اطلاعات حساس است.

همان‌طور که در ادامه به‌تفصیل بحث خواهد شد، بهره‌گیری از حرفه‌ای‌های خارجی به روشی که مصونیت وکیل-موکل ایجاد کند، (در صورتِ کنشِ دادرسی مدنی، مقرراتی، یا حتی جزایی) می‌تواند حفاظتی باشد در برابرِ افشای آسیب‌پذیری‌هایی از سیستم که در فرآیندهای ارزیابی و برآوردِ امنیت اطلاعات کشف شده‌اند. البته، این مصونیت مطلق نیست و ممکن است کاربردهای عملیِ متفاوتی در زمینه‌های مدنی و جزایی داشته باشد و به‌ویژه زمانی که مشتری تصمیم به اظهارِ دفاعیه‌ای از نوعِ «توصیه‌ی مشاور» می‌گیرد.

یکی از ملزومات کلیدی که به‌عنوانِ بخشی حیاتی از استانداردهای مراقبتیِ امنیت اطلاعاتِ در-حالِ-تکامل پدیدار شده است، این الزام است که باید بازدیدی خارجی از سوی اشخاص واجد شرایط و بی‌طرف صورت گیرد.^۶۰ این ملزومات مبتنی بر این نظریه‌ی درست هستند که، هیچ فرقی نمی‌کند که کارکنان امنیت اطلاعات و فن‌آوری اطلاعاتِ یک نهاد چقدر واجدشرایط، کارشناس، و خوب‌نیّت باشند، در هر حال امکان ندارد آن‌ها به‌راستی بی‌غرض باشند. علاوه بر این، مسئله‌ی «روباه در لانه‌ی مرغ» بروز پیدا می‌کند، که مدیران ارشد را در این فکر فرو می‌برد که آیا آن‌هایی که عهده‌دارِ ایجاد و حفظ امنیت اطلاعات هستند می‌توانند منصفانه و بی‌غرضانه کارآییِ چنین امنیتی را برآورد کنند و خواهند کرد یا نه. در نهایت، مشاوران فنی و مشاور قانونیِ خارجیِ واجدشرایط و باتجربه، دورنما و وسعتِ‌نظری از تجربه و به‌روز بودن را به‌همراهِ آخرین توسعه‌های فنی و قانونی به ارمغان می‌آورند که کارکنان درون‌سازمانی معمولاً نمی‌توانند چنین چیزی را به‌طور به‌صرفه انجام دهند.

اطمینان از همگامیِ برآوردهایِ استانداردهای مراقبتی خود با تکامل قانون

همان‌طور که در بالا بیان شد، تعریف قانونی از استاندارد مراقبتیِ «متعارف» همواره در حالِ تکامل است. خط‌مشی‌گذاران، تهدیدات و خسارات اقتصادیِ اساسی‌ای را که به‌موجبِ حملات سایبری ایجاد می‌شوند، جدی می‌گیرند. قوانین جدیدی همچنان در حالِ وضع هستند تا حمله‌کنندگان را مجازات کنند و مسئولیت را متوجه شرکت‌هایی سازند که در انجام اقدامات متعارف برای امنیت اطلاعات کوتاهی کرده‌اند. هم‌اکنون وظایف قراردادی می‌توانند به‌طور آنی و خودکار به‌سادگی توسط مشتریان جدیدی ایجاد شوند که در سراسر اینترنت، و بنابراین، سراسر جهان به وب‌گاه مشتریِ شما دسترسی می‌یابند و از خدمات آن‌ها استفاده می‌کنند. همین که آسیب‌پذیری‌ها، حملات، و ضدّپیش‌بینی‌های جدیدی در مرکز توجه عموم قرار می‌گیرند، تکالیف جدیدی ظهور پیدا می‌کنند. به‌طور خلاصه، آن‌چه ماهِ پیش «متعارف» بوده است، ممکن است این ماه متعارف نباشد.

ارزیابی‌ها و برآوردهای امنیت اطلاعات، ابزاری برای ارزیابی بِه‌رویّه‌ها و افزایش تطابق با آن‌ها ارائه می‌دهند، بِه‌رویّه‌هایی که برای حفاظت از اطلاعات حیاتی به‌کار می‌روند؛ منتها، آن‌ها، در بهترین حالت، صرفاً تصاویری آنی هستند مگر این‌که به‌طور مرتب و مداوم انجام شوند. بِه‌رویّه‌ها به‌موجبِ درک و تطابق با قوانین صدق‌پذیر ایجاد می‌شوند، اما تنها از طریق پیگیری و پیاده‌سازیِ ملزوماتِ ماده‌قانونیِ در حالِ تکامل حفظ می‌شوند. همکاری با مشاور واجدشرایط و باتجربه برای پیگیریِ توسعه‌های قانونیِ جدید در این عرصه‌ی سریع‌السیرِ قانون و مشاوره گرفتن در خصوصِ تفسیر و پیاده‌سازیِ مناسبِ ملزومات قانونی، تبدیل به امری اساسی برای راه‌یابی در این گستره‌ی همیشه‌درتغییر می‌گردد.

طرحی برای بدترین وضع داشته باشید

به‌رغمِ تمام اقدامات مناسبی که صورت می‌گیرند، هیچ‌چیزی نمی‌تواند شرکتی را کاملاً در برابر مسئولیت مصون دارد. کوتاهی در طراحیِ مدیریت بحران و راه‌برد ارتباطاتی برای رخدادهایی مانند از دست رفتن یا در معرض خطر افتادنِ اطلاعات، می‌تواند موجب ایجاد دادخواست‌ها و مسئولیت قانونی گردد، حتی اگر مدرکی در دست باشد که نشان دهد شرکت شما استاندارد مراقبتیِ متعارفی را برای حفاظت از اطلاعات به‌کار بسته است. برای اجتناب از مسئولیت، باید طرحی نیز برای مشکلات داشت. برای مثال، یک دادخواستِ گروهی علیه چویس‌پوینت تنظیم شد که ادعا می‌کرد زمانی که شرکت در افشای وجود نقض امنیتی خود و میزان حقیقیِ اطلاعاتی که در خطر افتاده بودند، کوتاهی کرد (به مدت چند ماه)، سهام‌داران دچار گمراهی شدند. اگر خط‌مشی‌های مناسبی ایجاد شده بودند تا راه‌بردی در خصوصِ نحوه‌ی ارتباط با مشتریان و سهام‌داران احتمالی در اختیار مدیران اجرایی قرار می‌گرفت، می‌شد به‌خوبی از این ادعاها جلوگیری کرد. در حال حاضر، کالیفرنیا قانونِ اعلانِ نقض امنیتی را دارد که در سال ۲۰۰۲ وضع شد.^۶۱ از ماه میِ سال ۲۰۰۵، آرکانساس، جئورجیا، ایندیانا، مونتانا، نورث داکوتا، و واشنگتن با پیروی از همین الگو، قوانینی وضع کرده‌اند که افشای مسائل مرتبط با نقض‌های امنیتی را الزامی می‌کند، و لوایحی نیز در دستِ‌کم ۳۴ ایالت دیگر ارائه شده‌اند تا این عرصه را تابع مقرراتی سازند.^۶۲ از اواسط سال ۲۰۰۵، هیچ مقررات فدرال مشابهی وجود نداشته است، اگرچه، چندین لایحه‌ی افشا به کنگره ارائه شده است.

در تمام ایالاتی که شرکتی در آن‌ها فعالیت می‌کند، باید در قوانین افشا، خط‌مشی راه‌بردی‌ای نیز برای مدیریت بحران درنظر گرفته شود. افشاسازی‌هایی که مطابق با چند قانون هستند و اثر زیان‌آورِ نقض‌های امنیت اطلاعاتی را کمینه می‌سازند، و افشای آن‌ها باید پیش از بروز بحران طرح‌ریزی شود. برای بار دیگر تأکید می‌کنیم که این عرصه همیشه در حالِ تغییر است، و این خط‌مشی‌ها باید به‌طور مرتب بازدید و به‌روز شوند. بسیار حیاتی است که این خط‌مشی‌ها و طراحی‌ها با همکاریِ مشاور واجدشرایط و باتجربه توسعه داده و انجام شوند.

بیمه

هر چه نقض‌های امنیت اطلاعاتیِ بیش‌تری رخ دهند و افشا شوند، هزینه‌ی بنگاه‌های تجاری و افراد نیز همچنان بالا خواهد رفت. در سال ۲۰۰۲، کمیسیون بازرگانی فدرال (FTC) تخمین زد که ۱۰ میلیون نفر قربانیِ سرقت هویت شده‌اند. به گفته‌ی شرکت گارتنِر (Gartner Inc.)، ۹.۴ میلیون کاربر آنلاین در امریکا از تاریخ آوریل ۲۰۰۳ تا آوریل ۲۰۰۴ قربانیِ خساراتی بالغ بر ۱۱.۷ میلیارد دلار شدند.^۶۳ هزینه‌هایی که از طرف این خسارات بر بنگاه‌های تجاری تحمیل می‌شوند، احتمالاً در سال‌های آینده تا اندازه‌ی سرسام‌آوری رشد خواهند کرد، و این روند موجبِ جلب توجه برخی از شرکت‌های بیمه‌ی سطحِ‌بالاتر و پیچیده‌تر شده است. برخی از شرکت‌ها در حالِ توسعه‌ی محصولاتی هستند تا خسارات ناشی از نقض‌های امنیت اطلاعاتی را تحت پوشش قرار دهند. شرکت‌ها باید با متصدیان خود تماس بگیرند و پژوهش مستقل خود را انجام دهند تا ببینند چه پوششی، در صورت وجود، در دسترس است یا خواهد بود.

مشتریانِ مشاوران امنیت اطلاعات، با توصیه‌ی مشاور واجدشرایط و باتجربه، باید تمام این موضوعات را به‌هنگامِ تصمیم‌گیری در خصوصِ بهترین کار برای کاهش خطر قانونی خود، درنظر بگیرند. یکی از اجزاء کلیدیِ کاهش آن خطر، روابطی است که با مشاوران امنیت اطلاعات، از جمله مشاور قانونی واجدشرایط و باتجربه و مشاوران فنی ماهر و موجّه، ایجاد می‌شود. البته، آن روابط باید طبق قراردادهایی کتبی ایجاد و هدایت شوند (که در بخش بعدی بحث خواهد شد).

چه چیزهایی باید در قراردادهای ارزیابی امنیت قید شوند^۶۴

قرارداد مهم‌ترین و تنها ابزاری است که برای تعریف و تنظیم مقرراتِ رابطه‌ی قانونیِ بین مشاور امنیت اطلاعات و مشتری به‌کار می‌رود. قرارداد از ایجاد سوءتفاهم بین طرفین جلوگیری می‌کند و باید به‌وضوح مسئولیتِ پی‌آمدهای پیش‌بینی‌نشده یا غیرعمدی را مشخص سازد، پی‌آمدهایی مانند فروشکست سیستم، دسترسی به اطلاعات حفاظت‌شده، اختصاصی، یا اطلاعات حساس دیگری که تصور می‌شد ایمن هستند، و خسارت به شبکه یا اطلاعات موجود در شبکه. هم‌چنین، این قرارداد در طول چرخه‌ی ارزیابیِ امنیت به‌عنوان نقشه‌ی راهی برای طرفین عمل می‌کند. اجازه‌نامه (که در بخش بعدی تشریح خواهد شد) هدف متفاوتی نسبت به قرارداد دارد و اغلب در موردِ موضوع اصلی‌ای که در قرارداد پوشش داده شده است یا در خصوصِ روابط با اشخاص ثالثی بحث می‌کند که جزئی از قرارداد خدماتیِ اصلی نیستند. در اغلبِ ارزیابی‌ها، به هر دوی آن‌ها نیاز است.

هر کاری که مشتری از خدمات‌دهنده می‌خواهد که انجام دهد، باید ریزبه‌ریز در قرارداد آورده شوند. مشاوران امنیت اطلاعات باید قرارداد استانداردی برای بسته‌های خدماتی داشته باشند، البته باید انعطاف کافی برای گفت‌وگوها را داشته باشد تا نیازهای ویژه‌ی مشتری را برآورده سازد. آن‌چه در قرارداد پوشش داده می‌شود، یا نمی‌شود، و این‌که مواد قانونی چگونه باید بیان شوند، تصمیماتی هستند که هر دو طرف باید تنها با توصیه‌ی مشاور قانونی واجدشرایط و باتجربه‌ای بگیرند که با این حوزه آشنا باشد. همچون هر موافقت‌نامه‌ی قانونی دیگری بین طرفین، هر دو طرفِ امضاکننده باید کاملاً تمام عبارات موجود در قرارداد را درک کنند، یا درخواست کنند که زبان دوپهلو، مبهم، یا بیش از حد فنی، روشن یا بازنویسی شود. اختلاف‌نظر بر سرِ قرارداد اغلب در موقعیت‌هایی ایجاد می‌شود که دو طرف می‌توانند زبان یکسانی را به روش‌های مختلف بخوانند. نسبت به چیزی که امضا می‌کنید، کاملاً آگاهی داشته باشید.

چه‌چیزی، چه‌کسی، چه‌وقت، چه‌جایی، چگونه، و چقدر

بندهای زیر مروری است اجمالی بر آن‌چه باید در قراردادهای خدماتیِ امنیت اطلاعات و ارزیابی امنیت بیابند. این بندها شاملِ فهرستی از پرسش‌ها هستند که قرارداد باید به هر دو طرف پاسخ دهد؛ البته، به خاطر داشته باشید که هر برآوردی متفاوت از دیگری است چرا که نیازهای مشتری و بوده‌های هر فرآیندِ ارزیابی‌ای متفاوت خواهند بود. اطمینان یابید قراردادی که امضا می‌کنید، به‌وضوح تمام عناوینی را که در این‌جا بیان می‌شوند، پوشش می‌دهد، اما به خاطر داشته باشید که چیزی که در این‌جا آمده است، فهرستی فراگیر نیست و نمی‌تواند جای‌گزینی باشد برای توصیه‌ی ویژه‌ای که مشاور قانونیِ خود شما برای شرایط ویژه‌ی شما ارائه می‌کند.

چه‌چیزی

اولین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت اطلاعات، مدَنظر قرار دادنِ خدماتی مبنایی است که مشاور انجام خواهد داد. انتظارات دوطرف در خصوصِ جوانب غیرفنیِ این رابطه‌ی تجاری، مانند پرداخت، گزارش، و مستندسازی چیست؟ این قرارداد چه خدماتی را پوشش می‌دهد؟ مشتری چه می‌خواهد؟ مشاور امنیت اطلاعات چه خدماتی می‌تواند بدهد؟ برخی از دسته‌بندی‌های اطلاعاتی باید در این بخش پدیدار شوند.

تشریحِ ارزیابی امنیت و مدل کسب‌وکار

مشاور امنیت اطلاعات در بخش ابتداییِ قرارداد باید خدماتی را که ارائه خواهند شد و، عموماً، نحوه‌ی انجام کسب‌وکارش را تشریح کند. این اطلاعات، پیشینه‌ای می‌دهد در باره‌ی نوع قراردادی که توسط دو طرف استفاده خواهد شد (برای مثال، قراردادی برای خدمات یا قراردادی برای خدمات پشتیبانی پس از خرید و نصب نرم‌افزار برای اصلاحِ آسیب‌پذیری‌های شناسایی‌شده). این بخش ابتدایی باید مشتری را نیز شناسایی و مدل کسب‌وکار آن را تشریح نماید. برای مثال، آیا این مشتری سازمانی مالی، سازمانی مراقبت‌بهداشتی، سازمانی با چندین مکان جغرافیاییِ تحت ارزیابی است، یا آیا تابع ملزومات قانونی و/یا مقررات صنعتی خاصی است؟

تعاریف به‌کاررفته در قرارداد

هر قراردادی از اصطلاحات و عباراتی استفاده می‌کند که نیاز به توضیحات بیش‌تری دارند تا معنای آن‌ها برای هر دو طرف روشن شود. اصطلاحاتی فنی مانند «آسیب‌پذیری» و «نفوذ» باید ریزبه‌ریز روشن شوند. مدیران اجرایی قراردادها را امضا می‌کنند. وکلا به مدیران اجرایی توصیه می‌کنند که قراردادها را امضا کنند یا نه. هر دو باید بدانند که معنای قرارداد مربوطه چیست.

تشریح پروژه

قرارداد باید صورت‌وضعیتی کلی از گستره‌ی پروژه ارائه کند. اگر این پروژه تلاشی بلندمدت یا رابطه‌ای ادامه‌دار بین دو طرف باشد، باید این موضوع نیز تشریح شود که هر قسمت از پروژه یا هر مرحله در این رابطه چگونه باید پیش رود و چه اسناد دیگری هر مرحله یا قسمت از این پروژه را پوشش خواهند داد. هم‌چنین، این بخش به‌وضوح تعریف می‌کند که مشاور امنیت اطلاعات چه کارهایی را در طول ارزیابی انجام خواهد داد و نخواهد داد. هم‌چنین، در تشریح پروژه، مشتری باید به‌وضوح اهدافی را که می‌خواهد مشاور امنیت اطلاعات انجام دهد، تعریف کند. آیا تمام شبکه‌های نهاد مربوطه در شمول این پروژه قرار می‌گیرند؟ چه نوع آزمایش‌هایی لازم است؟ هم‌چنین، این بخش باید شاملِ انواع آسیب‌پذیری‌هایی باشد که مشاور امنیت اطلاعات نمی‌تواند بر اساس انواع آزمایش‌ها، شبکه‌های آزمایش‌شده، و گستره‌ی ارزیابیِ کلی که توسط مشتری اجازه داده است، کشف کند.

فرضیات، معرفی‌ها، و ضمانت‌ها

در هر برآوردی، طرفین باید اطلاعاتی مبنایی را ارائه دهند یا آن‌ها را فرض کنند. این فرضیات باید در قرارداد گنجانده شوند. فرضیات، توضیحاتی بوده‌ای هستند و نه تشریحی از گفت‌وگوهایی که طرفین داشته‌اند (برای مثال، «زمان‌بندی موجود در این قرارداد بر این فرض استوار است که تمام اعضای گروه ارزیابی ۵ روز در هفته از ۸:۳۰ صبح تا ۵:۳۰ بعدازظهر در طول کلّ دوره‌ی قرارداد کار خواهند کرد.»). مشتری باید، با توجه به فرضیات شبکه، اطلاعات مبنایی را در خصوصِ جانماییِ شبکه ارائه دهد، اطلاعاتی که گروهِ برآورد می‌تواند بر اساس آن‌ها فرضیاتی را بسازد تا این فرضیات مبنایی باشند برای انواع آسیب‌پذیری‌هایی که جست‌وجو خواهند کرد و برای روش‌شناسی‌های آزمایش که با موفقیت به اهداف موردنظرِ مشتری دست خواهند یافت (برای مثال، «روش‌شناسی ارزیابی‌ای که طبق این قرارداد در خصوصِ شبکه‌ی مشتری به‌کار بسته می‌شود، بر این فرض استوار است که مشتری، سرورها را فقط در یک مکان جغرافیایی، به‌لحاظ فیزیکی ایمن، و به‌لحاظ منطقی مجزا از شبکه‌های دیگر و از اینترنت نگه‌داری می‌کند.»)^۶۵ هم‌چنین، متن مورداستفاده در این بخش باید مشخص سازد که اگر فرضیات صورت‌گرفته اشتباه از آب درآیند، باید چه واکنشی نشان داد: در چه شرایطی قرارداد از درجه‌ی اعتبار ساقط می‌شود؟ چه عاملی می‌تواند هزینه را افزایش یا کاهش دهد؟ در صورتی که در طول انجام ارزیابی، مشکلات غیرمنتظره‌ای در امنیت یا صحت ایجاد شوند، چه زمانی باید آزمایش را متوقف کرد؟ چه کسی تصمیم می‌گیرد؟ چه زمانی باید به مدیران مشتری اطلاع داده شود؟ در چه سطوحی؟

قراردادهای IEM باید شاملِ «معرفی‌ها و ضمانت‌ها»یی از سوی مشتری باشند که طی آن، اطلاعات حیاتی معینی ریزبه‌ریز ارائه می‌شوند که مشتری صحتِ آن‌ها را «ضمانت» می‌کند، اطلاعاتی مانند: تشریحِ اطلاعات و کارهای تجاریِ مشتری که در سیستم‌های خود نگاه‌داری می‌کند؛ موافقت‌نامه‌هایی که مشتری با فروشندگانِ شخص ثالث و/یا دارندگان اطلاعات آن‌ها دارد؛ چه سیستم‌های اطلاعاتی‌ای خارج از سیستم‌هایی که در کنترل مشتری هستند، در صورت وجود، ممکن است به‌هنگامِ انجام ارزیابی و آزمایش، تحت تأثیر قرار گیرند، و مشتری باید چه اقدامات پیش‌گیرانه‌ای را انجام دهد تا احتمال چنین تأثیری را از بین ببرد؛ و میزانی که مشتری، اطلاعات و سیستم‌هایی را که باید ارزیابی و/یا آزمایش شوند، به‌طور انحصاری در تصاحب و کنترل خود دارد یا میزان موافقت‌نامه‌های کتبیِ ایمنی که دارد و به‌موجبِ آن‌ها صریحاً اجازه‌ی ارزیابی و آزمایشِ اطلاعات و سیستم‌هایی که در تصاحب یا کنترل دیگران هستند،‌ داده می‌شود.^۶۶

مرزها و محدودیت‌ها

علاوه بر بیانِ آن‌چه تحت پوششِ ارزیابی قرار خواهد گرفت، باید در این بخش ابتدایی مشخص کرد که چه برآوردهایی به‌لحاظ زمانی، مکانی، داده‌ای، و دیگر متغیرها تحت پوشش قرار نخواهند گرفت. هدف کلی از چرخه‌ی ارزیابی این است که سطحی از ایمنی و امنیت را در خصوصِ محرمانگی، صحت، و دسترسی‌پذیریِ شبکه‌های مشتری به او ارائه داد. اما، برخی از نواحی شبکه حساس‌تر از نواحی دیگر هستند. علاوه بر این، هر مشتری سطحِ اعتمادِ متفاوتی نسبت به پرسنل و روش‌شناسی ارزیابی خواهد داشت. تمام روش‌شناسی‌های ارزیابی و آزمایش برای تمام نواحیِ شبکه مناسب نیستند. مشتری باید توجهِ دقیقی داشته باشد به آن‌چه آزمایش می‌شود، و این‌که چه‌وقت و چگونه آزمایش می‌شود، هم‌چنین به آن‌چه که ارزیابان باید در صورت وقوعِ آلودگی یا افشای داده‌ها انجام دهند.

اگر مشتری‌ای نوع ویژه‌ای از گزارش را در تاریخ معینی ارائه دهد تا وظایف خود را در خصوص صورت‌پرداخت، حسابداری، مقررات، یا وظایف دیگر را انجام دهد، آن تاریخ زمان چندان خوبی برای شروع به آزمایش شبکه نیست. حتی اگر روش‌شناسی آزمایش درست و بی‌عیب باشد و پرسنل در بالاترین سطح بازدهی و مسئولیت‌پذیری کار خود را انجام دهند، ماهیت انسان به‌گونه‌ای است که هر اشکال شبکه‌ایِ کوچکی در آن تاریخ را به گروه آزمایش نسبت می‌دهد. برای انجام هر نوع اقدامی در خصوصِ داده‌های حساس نیاز به سطحِ موشکافیِ بالاتری است، اقداماتی که می‌توانند خسارتی به اطلاعات بزنند یا آن‌ها را افشا سازند، یا استفاده از اطلاعات را برای مدت زمانی ناممکن سازند. چنین اعمالی می‌توانند منجر به جرایم اجرایی یا مقرراتی و اقدامات اصلاحیِ پرهزینه‌ای گردند.

استانداردهای حریم شخصیِ داده‌ها بسته به صنعت، ایالت، کشور، و دسته‌بندی اطلاعات با هم متفاوت اند. یک زیرساخت شبکه می‌تواند شامل پیشینه‌ی پرسنل، رسیدگی‌ها یا بازپرسی‌های داخلی، اطلاعات اسرار تجاری یا اختصاصی، اطلاعات مالی، و اسناد و پایگاه‌داده‌های اطلاعات شرکتی و فردی باشد. هم‌چنین، شبکه‌ی مربوطه می‌تواند داده‌هایی را تحت مصونیت وکیل-موکل یا مصونیت قانونی دیگری ذخیره نماید. علاوه بر این، مشتریان باید توجه داشته باشند که کارمندان آن‌ها داده‌ها را کجا و چگونه ذخیره می‌نمایند. آیا نماینده‌ی مشتری که در خصوصِ گستره‌ی پروژه واردِ مذاکره می‌شود، می‌داند که تمام داده‌های حساس در کجای تشکیلات او، و با چه درجه اطمینانی ذخیره می‌شوند؟ آیا مشتری، طرح احتیاطی برای آلودگی داده‌ها یا دسترسی غیرمجاز دارد؟ چگونه ارزیابی امنیت، این مسئولیت را قبول می‌کند که پرسنل آزمایش به داده‌های حساس دسترسی خواهند داشت (بخش موافقت‌نامه‌های سرّی‌بودن و عدمِ‌افشا را در ادامه ببینید)؟ در این قسمت از قرارداد، مشتری باید تعیین کند که پرسنل آزمایش در کدام نواحی از شبکه، چه در طول دوره‌ای زمانی و چه در طول مراحلی معین، نباید ارزیابی انجام دهند.

هر دو طرف باید نسبت به این بوده حساس باشند که ممکن است مشتری تصاحب و کنترلِ تمام نواحی شبکه را در اختیار نداشته باشد. مشتری فقط می‌تواند به آزمایشِ آن قسمت‌هایی از شبکه رضایت دهد که در تصاحب و کنترل او قرار دارند.

یادداشت

ارزیابیِ قسمت‌های دیگرِ شبکه‌ی شرکتی بزرگ‌تری یا جایی که ارزیابی واردِ حیطه‌ی اینترنت می‌شود، نیاز به سطحِ اجازه‌ی اضافی از سوی اشخاص ثالثی دارد که خارج از رابطه‌ی قراردادی هستند، و این کار هرگز نباید بدون اخذِ موافقت‌نامه‌های صریحی انجام شود که توسط مشاور قانونیِ واجدشرایط و باتجربه به بحث و گفت‌وگو گذاشته و بازدید شده است.

در برخی از موارد، می‌توان ارزیابی را در این شبکه‌های بزرگ‌تر ادامه داد، اما نیاز به مستندسازیِ اضافی، مانند یک اجازه‌نامه، خواهد بود (بخش «جایی که باید نشان داد چند مرده حلاجیم: اجازه‌نامه به‌عنوان حفاظت در برابر مسئولیت» را در ادامه ببینید).

شناساییِ تحویل‌دادنی‌ها

بدون بازخورد مناسب به مشتری که در قالبی کاربردی ارائه شده باشد، ارزیابی و آزمایش شبکه صرفاً تلف کردنِ منابع است. قرارداد باید باید به‌طور کاملاً واضح مشخص سازد که مشتری به چه تحویل‌دادنی‌هایی و چه سطحی از مخاطبان نیاز دارد. برای مثال، یک گزارش فنیِ ۳۰۰ صفحه‌ای که برای ارائه به هیئت‌مدیره آماده شده است، چندان کاربردی ندارد. ارائه‌نمایی دَه لغزه‌ای برای مأموران شرکت مشتری که کانون تمرکز آن روی اولویت‌بندیِ آسیب‌پذیری‌ها بر حسبِ میزان خطر آن‌ها است، ارزش بسیار بیش‌تری دارد. برعکس، نمایشِ همان دَه لغزه به گروه مهندسی شبکه، چندان کمکی به آن‌ها نخواهد کرد. نکته‌ی کلیدی در این بخش از قرارداد، مدیریتِ انتظاراتی است که در خصوصِ سطوح مختلفِ بازدیدِ ساختار مشتری وجود دارد.

چه‌کسی

دومین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت، این است که طرفینِ موافقت‎‌نامه را به‌طور دقیق مشخص ساخت و نقش و مسئولیت هر یک (از جمله اسامی و عناوین معین افراد مسئول) را معین کرد تا ارزیابی مربوطه به‌طور موفقیت‌آمیز تکمیل شود. این اطلاعاتِ هویتی و نقشی، برای کاهشِ احتمالِ اختلاف‌نظرهایی بر سرِ قرارداد که به‌دلیل برآورده نشدنِ انتظارات طرفین ایجاد می‌شوند، بسیار حیاتی هستند.

اعلامِ طرفینِ موافقت‌نامه‌ی قراردادی

هویت هر کدام از طرفین باید به‌وضوح با نام، مکان، و نقطه‌ی تماس اصلیِ او در قرارداد تعیین شود تا برای ارتباطات بعدی از آن‌ها استفاده کرد. اغلب، مأموری که امضای او ثبت شده است، همان فردی نیست که قرارداد را مدیریت خواهد کرد یا درگیرِ فعالیت‌های ارتباطیِ روزانه با پرسنل ارزیابی خواهد بود. علاوه بر این، روندهای تغییرِ پرسنلِ هر نوع تماسی که ثبت شده است، باید به‌طور دقیق در این بخش بیان شوند.

اعتبار امضاکنندگانِ موافقت‌نامه‌ی قراردادی

در حالت ایده‌آل، سطح امضاکننده‌ باید هم‌تراز با قرارداد باشد، و در هر رخدادی، مأمور امضاکننده باید به‌اندازه‌ی کافی بلندمرتبه باشد تا نهادهای مربوطه را متعهد به تمام وظایفی سازد که در این رابطه‌ی قراردادی مشخص شده‌اند. هم‌چنین، اغلب مفید است که امضاکننده‌ی مشتری، فردی باشد که اختیارات و قدرت لازم را برای ایجاد تغییرات داشته باشد، تغییراتی که مبتنی بر توصیه‌هایی هستند که از ارزیابی ناشی می‌شوند.

نقش‌ها و مسئولیت‌هایِ هر یک از طرفینِ موافقت‌نامه‌ی قراردادی

تشریحِ چیزهایی مانند سطوح کارکنان، مکان منابع، کسانی که آن منابع را فراهم خواهند کرد، و ماهیت دقیقِ دیگر وظایف آمادی، پرسنلی، و مالی، بسیار حیاتی است. این امر به هر دو طرف این امکان را می‌دهد تا به جای این‌که هر روز در این باره بحث کنند که چه کسی مسئولِ موضوعات اجراییِ پیش‌بینی‌نشده و اضافی است، با تمرکز بر اهداف تعیین‌شده چرخه‌ی ارزیابی را ادامه دهند. برخی از عرصه‌های متداول در این بخش، شامل موارد زیر هستند:

• چه‌کسی تسهیلات و پشتیبانیِ اجرایی را فراهم می‌کند؟
• چه‌کسی مسئولِ پشتیبان‌گیری از داده‌های حیاتی، پیش از آغاز ارزیابی، است؟
• چه‌کسی مسئولِ برقراریِ ارتباط برای صورت‌وضعیت‌های پروژه است؟ آیا مشتری درخواستِ به‌روزرسانی خواهد کرد، یا گروه ارزیابی به‌طور مرتب گزارش خواهد داد؟ آیا صورت‌وضعیت‌ها باید کتبی باشند یا می‌توانند شفاهی باشند و تنها در اسنادِ مشاور امنیت اطلاعات نگه‌داری شوند؟
• چه‌کسی مسئولِ تشخیص و تاییدِ وقوع انحراف از قرارداد یا طرح ارزیابی است و تصمیمات در این خصوص چگونه ثبت‌وضبط خواهند شد؟
• چه‌کسی هر جنبه از هر مرحله از ارزیابی را انجام خواهد داد (آیا مشتری، هیچ پرسنل فنی‌ای در اختیار قرار خواهد داد؟)
• چه‌کسی مسئولِ نگاشتِ شبکه پیش از آغاز ارزیابی است (و آیا آن نگاشته‌ها به گروه ارزیابی داده خواهند شد، یا به‌عنوانِ اندوخته نگاه‌داری خواهند شد تا پس از پایانِ ارزیابی برای مقایسه به‌کار روند)؟
• چه‌کسی مسئولِ توجیهِ کارمندان ارشدِ سازمان مشتری است؟
• چه‌کسی مسئولِ گزارش به مدیران اجرایی و صحت‌سنج‌های ارزیابی در خصوصِ انحرافاتی است که نسبت به طرح پروژه‌ی توافق‌شده ایجاد شده‌اند؟
• چه‌کسی مسئولِ گزارشِ نقض خط‌مشی‌ها، مقررات، یا قوانینی است که طیّ ارزیابی کشف می‌شوند؟
• چه‌کسی در صورتِ وقوع اختلالات شبکه‌ای، این اختیار را دارد که ارزیابی را فسخ نماید؟
• چه‌کسی خطرِ ناشی از پی‌آمدها یا شرایط پیش‌بینی‌نشده‌ای را که طیّ ارزیابی ایجاد می‌شوند، بر عهده می‌گیرد؟

موافقت‌نامه‌های سرّی‌بودن و عدمِ‌افشا

بسیاری از اسناد و دیگر اطلاعات مرتبط با ارزیابی‌های امنیت اطلاعات، حاویِ اطلاعاتی حیاتی هستند که اگر به‌طور نامناسب افشا شوند می‌تواند منجر به خسارت به یک یا هر دو طرف گردد. هر دو طرف، ورای ضوابطِ معین‌شده طبق موافقت‌نامه‌ای کتبی، این مسئولیت را بر عهده می‌گیرند که از افشای ابزارها، شیوه‌ها، آسیب‌پذیری‌ها، و اطلاعات جلوگیری نمایند. موافقت‌نامه‌های عدمِ‌افشا باید به‌دقت تنظیم شوند تا از اطلاعات حساس حفاظت شود، و در عین حال، این امکان به هر دو طرف داده شود که به‌طور مؤثر کار کنند. عرصه‌های معینی که باید درنظر گرفته شوند شاملِ این موارد هستند: تصاحب و استفاده از گزارش‌ها و نتایج ارزیابی؛ استفاده از روش‌شناسیِ آزمایش در مستندسازیِ مشتری؛ افشاهای الزامی طبق قانون؛ و مدت زمانِ محدودیت‌های موجود در برابرِ افشا. اغلب، ترجیح بر این است که موافقت‌نامه‌های سرّی‌بودن/عدمِ‌افشا اسنادی مجزّا و خوداتّکا باشند تا اگر بعدها به‌طور علنی تحت پیگرد قانونی قرار گیرند، در حدّ امکان جزئیات کمی از موافقت‌نامه‌ی بزرگ‌تر در معرض عموم قرار گیرند.

پرسنل برآورد

گروه ارزیابی امنیت، متشکل از پرسنل کارشناس گوناگونی است، که از سوی سازمان مشتری یا پیمانکار فراهم می‌شوند. الزامات پرسنلی برای تکمیلِ موفقیت‌آمیز و مؤثرِ هر مرحله از برآورد باید ریزبه‌ریز در قرارداد بیان شوند. هر دو طرف باید درکِ یکسانی از مهارت‌ها و پیشینه‌ی هر کدام از اعضای گروه داشته باشند. در صورت امکان، باید اطلاعاتی در خصوصِ پرسنلی که برآورد را انجام می‌دهند، در قرارداد آورده شوند. هم‌چنین، هر دو طرف باید بدانند که در صورت لزوم انجام تحقیقات در خصوص پیشینه‌ی پرسنلِ معین‌شده برای ارزیابیِ شبکه‌های حساس، چه‌کسی سرمایه‌ی این کار را تأمین خواهد کرد و چه‌کسی آن را انجام خواهد داد.

مدیریت بحران و ارتباطات عمومی

ارزیابی امنیت شبکه می‌تواند کاری نابه‌سامان و آشفته باشد. هیچ شبکه‌ای صددرصد ایمن نیست. گروهِ برآورد به‌ناچار با کاستی‌هایی روبه‌رو خواهد شد. گروه برآورد معمولاً با خطرات غیرمنتظره‌ای برخورد خواهد کرد، یا اقداماتی در پیش خواهد گرفت که منجر به نتایج پیش‌بینی‌نشده‌ای می‌شوند که می‌تواند شبکه یا داده‌های مقیمِ شبکه را تحت تأثیر قرار دهد. مرتکبِ این اشتباه نشوید که وضعیتی بد را با پاسخی ضعیف به بحران ایجادشده همراه سازید. پیاده‌سازیِ روندهای اطلاع‌رسانی در مرحله‌ی عقد قرارداد، اغلب در صورتِ ایجاد اشکال، صحت ارزیابی را حفظ می‌کند. هم‌چنین، طرفین باید به‌وضوح مشخص سازند که چه‌کسی نقش اصلی را در تعیینِ زمان‌بندی، محتوا، و مکانیزمِ تحویل برای ارائه‌ی اطلاعات به کارمندان مشتری، مشتریان، سهام‌داران، و الخ برعهده دارد. هم‌چنین، در این بخش باید ریزبه‌ریز مشخص شود که مشتری انتظار دارد که گروه برآورد یا نقش اصلی، چه نقشی را در امور روابط عمومی بازی کنند، البته اگر نقشی داشته باشند. هم‌چنین احتیاط بر این است که روندی برای مدیریت وضعیت‌های بحرانی در دست داشت. مشاور قانونی واجدشرایط و باتجربه‌ای باید در این فرآیندها دخیل باشد.

غرامت‌پردازی، بی‌ضرر نگاه داشتن، و وظیفه‌ی دفاع کردن

قرارداد ارزیابی امنیت، حتی بیش از بسیاری از دیگر انواعِ قراردادهای خدماتی، باید حاویِ مواد قانونیِ دقیقی باشد که صریحاً از مشاوران امنیت اطلاعات در برابرِ انواع مختلف دعاویِ مناقشه‌آمیزِ قراردادی حفاظت نمایند. علاوه بر زبان قراردادیِ استاندارد، این بخش‌ها باید به‌ویژه مسئولیت‌های هر دو طرف، یعنی هم مشتری و هم مشاوران امنیت اطلاعات، (و حدود آن‌ها) را ریزبه‌ریز معین کنند تا جلوی ادعای خسارت را بگیرند؛ ادعای خسارت نسبت به اطلاعات یا سیستم‌های خارجی و مالکیت فکری یا نقض گواهیِ نرم‌افزاری که، در صورت وجود، توسط مشاور امنیت اطلاعات به‌منظورِ انجام ارزیابی، توسعه داده شده است.

تصاحب و کنترل اطلاعات

اطلاعات موجود در گزارش نهایی و خلاصه‌وضعیت‌های در سطح مدیریتی، می‌توانند بی‌نهایت حساس باشند. هر دو طرف باید بدانند که اطلاعات در تصاحب چه‌کسی هستند و افشا و انتشارِ آن‌ها در کنترل چه‌کسی است، هم‌چنین، باید بدانند که پس از فرآیند بازدید، دو طرف چه کارهایی ممکن است با این اطلاعات انجام دهند. هر نوع اطلاعات یا فرآیندهای اختصاصی، از جمله اسرار تجاری، باید خاطرنشان شوند، و در بخش مجزایی از قرارداد پوشش داده شوند. عناوین کلیدی‌ای که از میانِ کاربردهای مختلف باید پوشش داده شوند، شامل این موارد هستند: استفاده از نتایج ارزیابی در بروشورهای فروش یا بازاریابیِ هر دو طرف؛ عرضه‌ی نتایج به بدنه‌های مدیریتی یا مقرراتی؛ و افشای آمار در پیمایش‌های صنعتی. مشتری باید هر کنترل شرکتیِ داخلی برای اطلاعات را ریزبه‌ریز در این بخش مشخص کند. اگر مشتری، رمزبندیِ داده‌های ارزیابی را الزامی می‌داند، آن الزامات و این‌که چه‌کسی مسئولِ ایجاد یا ارائه‌ی کلیدها است، باید به‌وضوح در این بخش ریزبه‌ریز بیان شوند.

یکی از عرصه‌های تصاحب مهم که باید به‌ویژه در قراردادهای ارزیابی امنیت اطلاعات پوشش داده شود، این است که گزارش‌ها و دیگر مستندسازی‌های به‌دست‌آمده از ارزیابی چگونه به‌کار برده خواهند شد. آیا مشاوران امنیت می‌توانند کپی‌هایی از این اسناد را، دستِ‌کم برای مدت زمانی متعارف پس از پایان ارزیابی، نگاه دارند (برای مثال، در موردی که مشتری اقدامی قانونی علیه مشاور انجام می‌دهد)؟ چه‌کسی مسئولِ نابودیِ کپی‌های اضافه‌ی چنین اطلاعاتی است؟ آیا مشاور امنیت اطلاعات می‌تواند از نسخه‌هایی از گزارش‌ها که به‌طور مناسب پاکسازی شده‌اند، به‌عنوانِ نمونه‌کار استفاده کند؟

دغدغه‌های مالکیت فکری

تصاحب و استفاده از مالکیت فکری، عرصه‌ی پیچیده‌ای از قانون است. اما، ایجاد رهنمودِ شفاف در بخش پیشین در خصوصِ تصاحب و استفاده از اطلاعات ارزیابی، به طرفین کمک خواهد کرد تا از بروز مناقشه بر سرِ مالکیت فکری جلوگیری نمایند. نکته‌ی کلیدی برای ایجاد رابطه‌ی قانونیِ روان بین طرفین این است که انتظارات به‌طور شفاف تعیین شوند.

گواهی‌ها

گروه ارزیابی باید اطمینان یابد که برای هر قطعه‌نرم‌افزاری که در ارزیابی به‌کار می‌رود، گواهی‌های معتبری در اختیار دارد. مشتری باید صحت‌وسقمِ این گواهی‌های معتبر را بررسی نماید.

چه‌وقت

سومین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت، ایجاد برنامه‌ای زمانی برای اجرای ارزیابی است که شاملِ تمام مراحل و گزاره‌هایی مشروط می‌شود تا تغییرات ایجادشده در آن برنامه‌ی زمانی را پوشش دهند. این قرارداد باید دستِ‌کم خطّ سیری برای ارزیابی کلی و برای هر مرحله بیان کنند، از جمله:

• خطّ سیری برای تکمیلِ تحویل‌دادنی‌ها در قالب‌های پیش‌نویس و نهایی
• تاریخ‌های تخمینیِ خلاصه‌وضعیت‌های مدیریتی، در صورتِ درخواست
• خطّ سیری برای هر کارِ پشتیبانی‌ای که پیش‌بینی شده است

اقدامات یا رخدادهایی که بر برنامه‌ی زمانی تأثیر می‌گذارند

به‌ناچار چیزی اتفاق می‌افتد که برنامه‌ی زمانی را تحت تأثیر قرار می‌دهد. اقدام پرسنل، تغییراتِ جانمایی شبکه می‌توانند موجبِ بروزِ گستره‌ای از عوامل پیش‌بینی‌نشده گردند. با این‌که گروهِ قرارداد نمی‌تواند آن عوامل را کنترل کند، می‌تواند زبان موجود در قرارداد را به خدمت بگیرد تا امکانِ تطبیق سریعِ برنامه‌ی زمانی را، بسته به عوامل مختلف، بدهد. اگر گروه مربوطه در نقطه‌ای حساس از برآورد قرار داشته باشد، وقفه‌های کوتاه در برآوردها می‌توانند منجر به اثراتی بلندمدت شوند. در مرحله‌ی عقد قرارداد، هر دو طرف باید با عناصر دیگر در شرکت خود مشاوره نمایند تا مشخص سازند که چه رخدادهایی می‌توانند برنامه‌ی زمانی را تحت تأثیر قرار دهند. کوتاهی در طراحی مناسب برای زمان‌بندیِ کشاکش‌ها یا اختلالات می‌تواند منجر به نقض قرارداد از سوی یکی از طرفین گردد. هر دو طرف باید بر سرِ طرحی مشروط توافق نمایند، طرحی برای زمانی که ارزیابی باید نابه‌هنگام پایان پذیرد. طرح‌های مشروط می‌توانند چیزهایی مانندِ ازسرگیریِ ارزیابی در زمانی دیگر یا تنظیم میزان کلّیِ هزینه‌ی قرارداد بر اساس مراحل تکمیل‌شده باشند.

چه‌جایی

چهارمین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت، تعیین مکان(ها)یی، چه جغرافیایی و چه منطقی، است که در معرض ارزیابی قرار خواهند گرفت. دقیقاً در حالِ آزمایشِ چه‌جایی هستید؟ برای تعیین حدودِ ارزیابی و جلوگیری از سوءتفاهم‌های بزرگ بر سرِ گستره‌ی برآورد یا ارزیابی، تمام تسهیلات، آدرس‌های فیزیکی و/یا مکان‌های منطقی، از جمله محدوده‌ی آدرس پروتکل اینترنت (IP)، را فهرست نمایید. اطمینان یابید که هر دست‌گاهی که به آن فضای IP متصل است، در کنترل قانونی و فیزیکیِ مشتری قرار دارد. اگر مکانی وجود دارد که در خارج از امریکا قرار دارد، بی‌درنگ در خصوصِ این موضوعِ خاص با مشاور مشورت نمایید. با این‌که تحت پوشش قرار دادنِ توسعه‌های سریعی که در قوانین خارجیِ این زمینه رخ می‌دهند، فراتر از گستره‌ی این بخش است، باید بدانید که بسیاری از کشورها قوانین جرایم رایانه‌ای را پیاده می‌سازند و هر دو سازوکارِ پاسخگوییِ مدنی و جزایی را برای مبارزه با جرایم رایانه‌ای به‌کار می‌بندند. عناصر مختلفِ ارزیابی امنیت شبکه می‌تواند مشابهِ دسترسی غیرمجاز به رایانه‌ای حفاظت‌شده باشد. هنگام ارزیابیِ سیستمی که حتی بخشی از آن در خارج قرار گرفته است، هم ارزیابی‌کننده و هم مشتری باید اقدامات احتیاطیِ اضافه‌ای در پیش گیرند و روندهای اطلاع‌رسانیِ عظیم‌تری را پیاده سازند. علاوه بر این، این بخش باید مکانی را که گروه ارزیابی به‌عنوانِ پایگاه عملیات خود استفاده خواهد کرد، پوشش دهد. اگر دو مکان به‌لحاظ جغرافیایی مجزا هستند، طرفین باید دسترسی الکترونیکیِ موردنیاز برای ارزیابی را مدّنظر قرار دهند.

اگر ارزیابی مربوطه روی اینترنت انجام می‌شود، احتیاط بیش‌تری را به‌کار بندید. استفاده از اینترنت برای انجام ارزیابی‌ها حاملِ سطح بالاتری از خطر و مسئولیت قانونی است چرا که هیچ‌کدام از طرفین، تمام ساختارهای شبکه‌ی میانجی را در تصاحب یا کنترل ندارد.

اخطار

جایی که ارزیابی و آزمایش شما باید روی اینترنت انجام شود، بدون مشورت با مشاور واجدشرایط و باتجربه کاری انجام ندهید.

چگونه

پنجمین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت، ترتیب دادنِ روش‌شناسی‌ای برای تکمیل ارزیابی است. در صورتی که قرارداد، رابطه‌ای تجاری را پوشش خواهد داد که چندین برآورد را به هم مرتبط خواهد کرد، این بخش باید هر محله از ارزیابی و/یا چرخه‌ی کلیِ آزمایش را مشخص و تشریح نماید. نکته‌ی کلیدی این‌جا است که از غافل‌گیریِ هر دو طرف جلوگیری کرد. تقسیم برآوردها و/یا ارزیابی‌های پیچیده به چند مرحله در قرارداد، به مأموران بازدیدکننده امکان می‌دهد تا بدانند که در ازای چه‌چیزی پول می‌پردازند و کِی می‌توانند انتظار نتایج را داشته باشند. این‌که ارزیاب در هر مرحله چه کاری انجام خواهد داد، اهداف و مقاصدِ هر مرحله، هر عملی که گروه ارزیابی در طول آن مرحله تکمیل خواهد کرد، و تحویل‌دادنی‌های موردانتظار را با زبانی جامع و مانع بیان کنید. از زبان فنی استفاده نکنید. اغلب، سندِ پس‌زمینه‌ی مجزایی در باره‌ی روش‌شناسیِ ارزیابی و آزمایش (برای مثال، NSA/IAM، IEM، ISO 17799، و الخ) مفیدتر از شلوغ کردنِ قرارداد با جزئیات فنی غیرضروری است. هم‌چنین، این بخش باید استانداردهایی را بیان و تشریح نماید که گروه ارزیابی از آن‌ها برای سنجش نتایج ارزیابی استفاده خواهد کرد. آزمایش باید نتایج را در مقیاسی سنجشی ارائه دهد که امکان مقایسه در طول زمان و بین مکان‌ها را فراهم سازد.

چقدر

ششمین و آخرین الزام عمومی برای قراردادِ خدمات ارزیابی امنیت، این است که هزینه‌های ارزیابی و دیگر شرایط پرداختِ مرتبط را ریزبه‌ریز بیان کند. این بخش مشابه با دیگر قراردادهای خدمات تجاری است. دستِ‌کم باید شاملِ پنج عنصر زیر باشد.

دست‌مزدها و هزینه

طرفین باید بر سرِ ساختاری دست‌مزدی بحث و توافق نمایند که نیازهای هر دو طرف را برآورده سازد، که در اغلبِ موارد مستلزمِ چندین پرداخت بر اساسِ تکمیل مرحله است. مثال مفیدی که در این باره می‌توان زد، ساخت خانه است. صاحب‌خانه در چه مراحلی به پیمانکار، پول پرداخت خواهد کرد: خاک‌برداری و تسطیحِ زمین؛ تکمیل پیِ ساختمان؛ قاب‌بندی؛ دیوارها و ادوات ساختمان؛ یا بازرسی نهایی؟ هم‌چنین، باید سطحی به‌عنوان مدیریت مشتری در نظر گرفت که تکمیل مرحله و پرداخت را تایید کند. در اغلبِ موارد، پرداخت نهایی در قرارداد به طریقی مشروط به تحویل گزارش نهایی خواهد شد. هر دو طرف باید در این باره نیز به‌دقت بحث کنند که مشتری مسئولیتِ چه هزینه‌هایی را برعهده دارد. اگر گروه‌های ارزیابی باید به مکان مشتری سفر کنند، چه‌کسی هزینه‌های سفر، غذا، اقامت، و دیگر هزینه‌های غیرِدست‌مزدیِ آن پرسنل را خواهد پرداخت، و برای پردازشِ مراحلِ پرداخت، چه سطحی از مستندسازی لازم است؟ آیا این هزینه‌ها شاملِ کرایه‌ی هوایی، اقامت، کرایه‌ی سواری، امرار معاش (وعده‌های غذایی و اقلام فرعی)، و دیگر مخارج می‌شود؟ آیا مشتری این الزام را می‌گذارد که مخارج مربوطه «متعارف» باشند یا نماینده‌ی مشتری باید از قبل اجازه‌ی این مخارج را بدهد؟ برای اجتناب از اختلاف‌نظرهایی که موجب کاهشِ تمرکز گروه در انجام برآورد می‌شود، انتظارات طرفین را ریزبه‌ریز در قرارداد بیاورید. هم‌چنین، طرفین باید مشخص سازند که چه‌کسی مخارج پیش‌بینی‌نشده‌ی فوق‌العاده‌ای مانند خرابی تجهیزات را پرداخت خواهد کرد. در برخی از شرایط، بهترین روش برای برخورد با مخارجِ واقعاً نامنتظره این است که این امر در قرارداد تصدیق شود که طرفین در خصوصِ چنین هزینه‌هایی، به‌هنگامِ بروز آن‌ها، مذاکره خواهند کرد.

روش‌شناسی صدور صورت‌حساب

الزاماتِ صدور صورت‌حساب یا برگِ فروش باید ریزبه‌ریز مشخص شوند تا سازوکارهای حسابداریِ مشتری برای انجامِ وظایف قیدشده در قرارداد به‌طور مناسب آماده شوند. اگر مشتری، تنظیمِ نوع خاصی از اطلاعات را در برگ فروش الزامی کند، آن اطلاعات باید به‌صورت کتبی، ترجیحاً در قرارداد، به پیمانکار داده شود. انواع دست‌مزدها و هزینه‌هایی که در برگ فروش خواهند آمد، نیز باید مورد بحث قرار گیرند، و مشتری باید رهنمودی در خصوصِ سطح جزئیاتِ موردنیاز خود ارائه دهد، و در همین حال، پیمانکار باید ماهیت قابلیت‌های صورت‌حساب خود را توضیح دهد.

انتظارات و برنامه‌ی زمانیِ پرداخت

قرارداد باید به‌وضوح انتظارات طرفین را در خصوصِ پرداخت نقدی مشخص سازد. آیا پیمانکار برگ فروش‌ها را در هر مرحله ارائه خواهد داد یا به‌صورت ماهانه؟ آیا موعدِ برگ فروش‌ها بر اساسِ برگِ رسید است یا در روز معینی از ماه؟ پیمانکار برگِ فروش را کجا و به چه‌کسی درونِ ساختار مشتری می‌فرستد؟ آیا پیمانکار درخواستِ پرداخت الکترونیکیِ برگ فروش‌ها را دارد، و در این صورت، به چه حسابی؟ پیمانکار چه جرایمی را برای دیرکردِ پرداخت یا چک‌های برگشتی تعیین خواهد کرد؟ باز هم می‌گویم، نکته‌ی کلیدی این است که انتظارات هر دو طرف را درنظر گرفت تا از غافلگیریِ هر دو جلوگیری کرد.

حقوق و روندهای جمع‌آوریِ پرداخت

در صورت وقوعِ مشکلاتی در رابطه‌ی قراردادی یا ایجاد تغییراتی مدیریتی که قرارداد را تحت تأثیر قرار می‌دهند، حقوق طرفین چیست؟ همانند سایر قراردادهای تجاری، تشریح دقیقِ حقوق و چاره‌ها امری اساسی است تا هزینه‌ی مناقشات کمینه شود یا کاملاً از آن اجتناب گردد.

بیمه‌ی خسارت احتمالی حینِ ارزیابی

کدام‌یک از طرفین، وارد آمدنِ خسارت به سیستم‌ها و اطلاعات مشتری و هم‌چنین سیستم‌ها و اطلاعاتِ اشخاص ثالث را بیمه خواهد کرد؟

قانون مورفی (وقتی که جایی از کار لنگ می‌زند)

آخرین مجموعه‌گزاره‌های استاندارد برای قرارداد، در ارتباط با احتمالِ کشمکش بین طرفین یا ایجاد اصلاحاتی در قرارداد است.

قانون حاکم

جایی که هر دو طرف در ایالت یکسانی هستند، و ارزیابی محدود به امکاناتِ آن منطقه است، احتمالاً این گزاره چندان ضرورتی ندارد. اما، در اغلبِ موارد، فعالیت‌های مربوطه از مرزهای ایالتی فراتر خواهند رفت. طرفین باید توافق نمایند که کدام قانون ایالتی در خصوص این قرارداد به‌کار بسته خواهد شد و طرفین، تحت کدام حوزه‌ی قضایی می‌توانند دادخواست‌ها را تنظیم نمایند. تعیین دادگاهِ صالح برای مناقشات، پیش از بروز آن مناقشات، می‌تواند هزینه‌های قانونی را کاهش دهد.

مشیّت‌های الهی، حملات تروری، و دیگر حوادث پیش‌بینی‌ناپذیر

وکلا و مهندسان شبکه دستِ‌کم یک ویژگی مشترک دارند؛ هیچ‌کدام نمی‌توانند با هیچ قطعیتی پیش‌بینی کنند که چه زمانی کارها با مشکل روبه‌رو خواهند شد، اما همگی توافق دارند که سرانجام چیزی اتفاق خواهد افتاد که شما انتظارش را نداشتید. بلایای طبیعی، اشکالات کوچک سیستمی، وقفه‌های منبع‌تغذیه، کودتاهای نظامی، و هزاران رخداد دیگر می‌توانند پروژه‌ای را تحت تأثیر قرار دهند. جایی که فروشکست، تقصیرِ هیچ‌کدام از طرفین نیست، هر دو طرف باید از قبل تکلیف خود را در خصوصِ راه‌کار مناسب تعیین کرده باشند.

زمانی که موافقت‌نامه فسخ می‌شود و چاره‌ها

زمانی که یک طرف تصمیم می‌گیرد شرایط قرارداد را انجام ندهد یا به هر دلیل از انجامِ آن‌ها عاجز می‌شود، یا اعتقاد دارد که طرف دیگر به وظایف قراردادیِ خود عمل نکرده است، می‌تواند از طرف مقابل، درخواستِ فسخ (گسست) موافقت‌نامه و تقاضای چاره نماید. بسیاری از انواع چاره‌ها برای فسخ قرارداد وجود دارند. هم‌چنین، هر دو طرف می‌توانند موضوع را به دادگاه بکشند، که می‌تواند اوضاع را بسیار آشفته سازد و بی‌نهایت پُرهزینه است. پیش‌بینیِ چنین وضعیت‌هایی و وارد ساختنِ آن‌ها در قرارداد برای مواجهه با فسخ قراردادهای احتمالی، می‌تواند هزاران دلار در دست‌مزدهای وکیل و هزینه‌های دادگاه صرفه‌جویی کند. هر دو طرف باید پیش از مذاکره‌ی قرارداد برای خدمات ارزیابی امنیت، گزینه‌های زیر را با مشاور در میان بگذارند. اول،‌ آیا گزینه‌های حکمیت یا میانجی‌گری، مناسب یا مطلوب هستند؟ دوم، اگر موضوع به دادگاه کشیده شود، ناگزیر یک طرف دست‌مزدهای وکیل را به‌عنوان بخشی از خسارات وارده مطالبه خواهد کرد. این مطالبه را از پیش ببینید و در قرارداد بگنجانید تا مشخص کند که چه دست‌مزدهایی بخشی از چاره هستند و آیا طرفی که بازنده‌ی مناقشه‌ی مربوطه می‌شود، دست‌مزدهای وکیل را خواهد پرداخت، یا هر طرف مسئولِ دست‌مزدهای وکیل خود خواهد بود.

خسارات تسویه‌حساب

خسارات تسویه‌حساب، مبلغ توافق‌شده یا «تسویه‌حساب‌شده»ای هستند که یک طرف در صورتِ فسخ یا خاتمه‌ی زودهنگامِ قرارداد باید به طرف دیگر بپردازد. خسارات تسویه‌حساب برای ایجاد اطمینان و قطعیت در موردِ رابطه‌ای شکست‌خورده ارزشمند هستند اما اگر برای ایجادِ سود بادآورده یا تنبیهِ طرفی به‌کار روند که وظایف قراردادی خود را انجام نداده است، مناسب نیستند. در عوض، برای این‌که به‌لحاظ قانونی لازم‌الاجرا باشد، بندِ خسارات تسویه‌حساب باید خسارات پیش‌بینی‌شده‌ی متعارفِ طرفین را در صورتِ وقوعِ فسخ یا خاتمه‌ی زودهنگامِ قرارداد، تخمین زند. اگر بتوان خسارات واقعی را به‌سادگی مشخص ساخت، خسارات تسویه‌حساب نمی‌توانند به‌عنوان جریمه باشند و مناسب نیستند.^۶۷ برای مثال، دادگاه‌ها در کولورادو معمولاً وجودِ بندِ خسارات تسویه‌حساب را در قرارداد الزامی خواهند کرد اگر: (۱) در زمانی که قرارداد عقد می‌شد، تعیین خسارات پیش‌بینی‌شده در موردِ فسخ دشوار بوده باشد؛ (۲) طرفین به‌اتفاق قصد کرده باشند که آن‌ها را از قبل تسویه و واریز کنند؛ و (۳) مبلغ خسارات تسویه‌حساب، که در زمان عقد قرارداد دیده شده بود، تخمین متعارفی باشد از خسارات واقعیِ احتمالی که از فسخ قرارداد ناشی می‌شوند.^۶۸ اگر این عوامل بر تراکنش شما اِعمال شوند، خسارات تسویه‌حساب باید مدّنظر قرار گیرند تا در صورتِ وقوع فسخ، از منازعات متمادی در خصوصِ ضرر و زیانِ طرفین جلوگیری شود.

محدودیت‌های مسئولیت

همیشه باید محدودیت‌هایی برای مسئولیت درنظر گرفته شوند و، در صورت امکان، در تمام قراردادهای خدمات ارزیابی گنجانده شوند. گزاره‌های معمول بیان می‌کنند که مسئولیت، محدود به مبلغی برابر با کلّ مبلغی است که مشتری طبق قرارداد پرداخته است. دیگر محدودیت‌های خسارات ممکن است مشتری را ملزم کنند که از خساراتِ پی‌آمدی و جزئی چشم‌پوشی کنند یا مانع از وصولی شوند که ناشی از عمل خاصی توسط مشاور امنیت اطلاعات است. البته، همانند خسارات تسویه‌حساب، ممکن است قابلیتِ محدودسازی یا چشم‌پوشی از خسارات، منحصر به مواد قانونی و تصمیمات دادگاه باشد. برای مثال، در برخی از ایالات، مواد قانونیِ قراردادی‌ای که قصدِ محدودسازیِ مسئولیت برای اهمال فاحش یا برای رفتار خودسرانه یا سرکشانه را دارند، لازم‌الاجرا نیستند.^۶۹ در اغلبِ ایالات، اگر موافقت‌نامه به‌طور مناسب اجرا شده باشد و طرفین ……………….، محدودیت‌های مسئولیت پذیرفته‌شده و لازم‌الاجرا هستند.^۷۰ از این رو، شما باید تلاش کنید که حق مشتری را برای وصول خسارات پی‌آمدی، خسارات تنبیهی، و منافع ازدست‌رفته محدود سازید. کار با مشاور قانونی واجدشرایط کمک می‌کند تا بتوان مشخص کرد که در هر تراکنش خاصی چه محدودیت‌هایی لازم‌الاجرا هستند.

ابقاء وظایف

این بخش مشخص می‌سازد که پس از انقضای قرارداد، چه اتفاقی برای وظایف قراردادیِ خاص، مانند تکالیف عدمِ‌افشا و پرداخت وجوه دیونی، می‌افتد.

چشم‌پوشی و تفکیک‌پذیری

این بخش از قرارداد تشریح می‌کند که اگر هر کدام از طرفین بخواهد از اِعمالِ قسمتی از قرارداد چشم‌پوشی نماید، چه اتفاقی می‌افتد، و اگر دادگاهی حکم دهد که یک بند یا بخش قابل‌اجرا نیست، این امکان را به هر بخش از قرارداد می‌دهد تا از کلّ قرارداد تفکیک‌پذیر باشد. هم‌چنین، این بخش، زبان قراردادیِ استانداردی است و باید از سوی وکیل مربوطه در اختیار طرفی قرار گیرد که در حالِ پیش‌نویسِ قرارداد است.

اصلاحیه‌های قرارداد

احتمال دارد در قراردادهایی که دوره‌های زمانیِ طولانی‌ای را شامل می‌شوند، یکی از طرفین یا هر دو نیاز به ایجاد اصلاحاتی در قرارداد داشته باشند. برای اجتناب از ایجاد مناقشه، قرارداد اصلی باید ریزبه‌ریز قالبِ هر نوع اصلاحیه‌ای را مشخص سازد. اصلاحیه‌ها باید کتبی باشند و به امضای نمایندگان معتبرِ هر دو طرف برسند. طرفین باید ترتیباتِ مالیِ مترتّب بر تغییر قرارداد را نیز مدّنظر قرار دهند. اصلاحیه‌های پیشنهادی در قرارداد باید از سوی طرف دریافت‌کننده پذیرفته شوند.

جایی که باید نشان داد چند مرده حلاجیم: اجازه‌نامه به‌عنوان حفاظت در برابر مسئولیت

قرارداد به‌عنوان موافقت‌نامه‌ای کلی بین سازمانی که برآورد امنیت را انجام می‌دهد و شرکت یا شبکه‌ای که آزمایش یا برآورد خواهد شد، عمل می‌کند. بین هر دو طرف، چه طرفِ قرارداد ارزیابی اصلی باشد و چه نباشد، باید از اجازه‌نامه‌ای استفاده کرد تا رضایت به انجامِ فعالیت‌های خاص را مستند ساخت و در برابرِ انواع مختلف مسئولیتِ معکوس حفاظت ایجاد شود. برای مثال، Widgets-R-Us با Secure-Test قرارداد می‌بندد تا امنیت شبکه‌ی مدیریتِ عرضه‌ی آنلاین جدیدی را آزمایش کند، شبکه‌ای که متصل به انبارهای Widgets است. فلان ISP پهنای باند لازم را برای انبارهای ساحل شرقیِ Widgets تأمین می‌کند. Widgets باید اجازه‌نامه‌ای به Secure-Test بدهد مبنی بر رضایت نسبت به ترافیک شبکه‌ی خاصی که می‌تواند سیستم‌های آشکارسازی نفوذ یا پاسبان‌های فلان ISP را تحریک کند. نسخه‌ای از این نامه باید پیش از آغاز آزمایش، به‌عنوانِ اعلام فعالیت و مدرکِ دالّ بر رضایت Widgets، به فلان ISP داده شود. علاوه بر این، بسته به متن موافقت‌نامه‌ی خدمات میان Widgets و فلان ISP، ممکن است لازم باشد که Widgets از فلان ISP بخواهد که اجازه‌نامه‌ای برای هر کدام از فعالیت‌های Secure-Test بدهد، فعالیت‌هایی که می‌توانند بر زیرساخت شبکه‌ی آن‌ها تأثیر بگذارند یا اصلاً موافقت‌نامه‌ی خدمات پهنای باند را از درجه‌ی اعتبار ساقط کنند. فلان ISP طرفِ قرارداد ارزیابی امنیت اطلاعاتِ اولیه نبود، بنابراین، Secure-Test برای انجامِ آن فعالیت‌ها به این برگه‌ی موافقت‌نامه‌ی اضافی نیاز دارد.

این‌که مشتری‌ای، تنها کاربرِ سیستمِ شبکه‌ایِ شخصِ ثالثی باشد، موردی خاص و غیرمعمول است. از این رو، شبکه میزبانیِ اطلاعاتِ بنگاه‌ها و افرادی را برعهده دارد که ممکن است حاوی اطلاعات محرمانه یا اطلاعاتی باشند که در تصاحبِ مشتری مربوطه نیست. صرفاً دسترسی به این اطلاعات بدونِ کسب اجازه‌ی مقتضی، می‌تواند منجر به جرایم جزایی و مدنی گردد. علاوه بر این، موافقت‌نامه‌های بین مشتری و میزبان شبکه می‌توانند چنین دسترسی‌ای به سیستم مربوطه را به‌کل ممنوع سازند. شما، در کنار مشاور قانونی خود، همیشه باید روابط موجود با مشتری خود را مرور نمایید، با محدودیت‌های قراردادی تطابق دهید، و اجازه‌های مقتضی را کسب کنید.

در بسیاری از موارد، اجازه‌نامه تنها مدرک و مهم‌ترین مدرکی خواهد بود که شما امضا می‌کنید. علاوه بر مسئولیت مدنیِ احتمالی در خصوصِ هر نوع خسارت وارده بر سیستم‌های مشتری شما یا اشخاص ثالث که در طول مدت‌زمانی اتفاق می‌افتد که شما از دسترسی مجاز خود فراتر می‌روید، کوتاهی در کسب اجازه‌ی لازم می‌تواند منجر به ارتکاب جرم گردد. همچنان که در بخش «استانداردهای قانونی مرتبط با امنیت اطلاعات» مطرح شد، قانون سوءاستفاده و کلاه‌برداری رایانه‌ایِ فدرال، برای دسترسی غیرمجاز به سیستم‌های رایانه‌ای و برای دسترسی فرامجاز به رایانه‌های خاص، مسئولیت جزایی قائل شده است. هر ایالتی به‌نوعی قانونی را وضع کرده است که دسترسی به سیستم‌های رایانه‌ای را بدون اجازه‌ی مقتضی ممنوع می‌سازد.^۷۱ همکاری با مشاور قانونی واجدشرایط و باتجربه امری حیاتی است تا مطمئن شوید که کار شما به دور از نقض قانون و احتمالِ مسئولیت جزایی است.

دیگر کاربرد معمولِ اجازه‌نامه، افزودنِ بخشی به ارزیابی یا اصلاح چالش‌های فنی پیش‌بینی‌نشده در طول دوره‌ی قرارداد است (برای مثال، Widgets-R-Us پس از آغاز ارزیابی امنیت، انباری در ساحل غربی خریداری می‌کند، و قصد دارد این انبار را به فهرست تسهیلاتی بیافزاید که Secure-Test بازدید خواهد کرد). Widgets-R-Us نیاز به قرارداد جدیدی ندارد، و به احتمال قریب به یقین نیازی به اصلاحِ قرارداد کنونی ندارد، به‌شرطی که هر دوطرف اجازه‌نامه‌ای را بپذیرند تا بتوان دامنه‌ی برآورد امنیتی را گسترش داد. چه اجازه‌نامه پذیرفته شود و چه نشود، اصلاحیه‌های اِعمالی بر قراردادی جاری باید در خودِ قرارداد اصلی نوشته شوند.

یکی از بخش‌های مهمِ اجازه‌نامه (همانند خودِ قرارداد کلی) تصریحِ جامع و دقیقی از آن چیزی است که مشتری اجازه‌ی آن را نمی‌دهد (برای مثال، سیستم‌ها یا پایگاه‌داده‌های معینی که مناطق ممنوعه هستند، زمان‌های معینی که نباید آزمایش انجام شود، ابزارهایی که مشاور امنیت اطلاعات به‌کار خواهد برد و به‌کار نخواهد برد، اقداماتی امنیتی که مشتری اجازه‌ی انجامِ آن‌ها را به مشاور نخواهد داد، و الخ). این مسئله هم برای مشتری و هم برای مشاور امنیت اطلاعات به یک اندازه اهمیت دارد.

اجازه‌نامه‌ها باید توسط مقامات رسمیِ هر طرف با اختیار کافی برای موافقت با تمام شرایط معین‌شده امضا شوند. مسئله‌ی مهم این است که اجازه‌نامه‌های بین مشتری و مشاور امنیت اطلاعات باید تمام انواع اطلاعات یا سیستم‌های مشخصی را که مشتری، اجازه‌ی مجاز ساختنِ دسترسی به آن‌ها را ندارد، مشخص سازند. با این‌که قیود اجازه‌نامه می‌توانند بخشی از خودِ قرارداد اصلی باشند، همچون موافقت‌نامه‌های عدمِ‌افشا، اغلب ترجیح داده می‌شود که اجازه‌نامه موافقت‌نامه‌ای مجزا و خوداتّکا باشد تا اگر این اجازه‌نامه بعدها به‌طور علنی تحت پیگرد قرار گیرد، تا حدّ امکان جزئیات کمتری از موافقت‌نامه‌ی بزرگ‌تر در معرض عموم قرار گیرد.

فراتر از شما و مشتری شما

در واقع، کسب رضایت مشتری خود برای دسترسی به سیستم‌های رایانه‌ای آن‌ها امری ضروری است، اما همیشه کافی نیست. مشتری شما وظایفی در قبالِ مشتریان خود، گواهی‌دهندگان خود، و دیگر اشخاص ثالث دارد. محترم شمردنِ این تعهدها از ایجاد مسئولیت احتمالی برای شما و مشتری شما جلوگیری خواهد کرد.

موافقت‌نامه‌های گواهی نرم‌افزار

نوعاً، نرم‌افزاری که به‌وسیله‌ی مشتری به‌کار گرفته می‌شود، تابعِ موافقت‌نامه‌ی گواهی است که رابطه‌ی بین مشتری و نرم‌افزاردهنده را تنظیم می‌کند. معمول است که موافقت‌نامه‌های گواهی نرم‌افزار، پادترجمه، هم‌بَرداری، یا مهندسی معکوسِ کد نرم‌افزار را ممنوع، و دسترسی به نرم‌افزار را محدود می‌سازند.

استفاده از ابزارها برای نفوذ به سیستم‌های رایانه‌ای می‌تواند موجب استفاده، دسترسی، و اجرای نرم‌افزار اجرایی با استفاده از سیستم‌عامل رایانه و دیگر برنامه‌ها به‌گونه‌ای گردد که موافقت‌نامه‌ی گواهی نقض شود. برای اجتناب از مسئولیت مدنی، رایزن مربوطه باید از مشاور قانونی واجدشرایط و باتجربه‌ای بخواهد که موافقت‌نامه‌ی گواهی اِعمالی را بازدید کند و، به اقتضای شرایط، پیش از انجام آزمایشِ سیستم مشتری، از گواهی‌دهنده اجازه بگیرند.

مشتریِ مشتریِ شما

برای اجتناب از ایجاد مسئولیت برای مشتری شما، شما باید مشتریانِ مشتری خود و انتظارات آن‌ها را بشناسید. مشتری شما باید بتواند اطلاعات محرمانه و تمام الزامات قراردادیِ معینِ مشتری خود را مشخص سازد. شناساییِ منبعِ اطلاعات شخص ثالث (چگونه ذخیره می‌شود و کجا مناسب یا لازم است)، و کسب رضایت برای دسترسی به اطلاعات آن‌ها ضروری است. برای حفظ صحتِ کار خود، باید به محرمانگیِ اطلاعات مشتری خود و اطلاعات شخص ثالثی که در دسترس مشتری شما قرار دارند، احترام بگذارید. حتی اگر هیچ تقاضای رسمی‌ای صورت نگرفته باشد یا موافقت‌نامه‌ی کتبی‌ای ثبت نشده باشد، این امر باز صادق است. شما به‌عنوان کارگزارِ مشتری خود دیده خواهید شد؛ دوراندیشی و حفظ حریم شخصی لازمه‌ی حرفه‌ای‌گری هستند.

به همین ترتیب، باید حقوق مالکیت فکریِ مشتری خود و مشتریان او را تشخیص دهید و محترم شمارید. به‌طور کلی، برای حفاظت از مشتری خود، باید از مشتریان او نیز حفاظت نمایید و این کار از این طریق میسر می‌شود که استاندارد بالایی برای حریم شخصی و امنیت اطلاعاتی قائل شوید که در اختیار مشتری خود قرار می‌دهید.

اولین کاری که ما انجام می‌دهیم…؟ چرا باید وکلای شما از ابتدا تا انتها درگیر موضوع باشند

اندکی از سخنان شکسپیر اغلبِ اوقات از سخنان جاودانِ «……………..» نقل‌قول (و به‌اشتباه نقل‌قول) شده‌اند: «اولین کاری که انجام می‌دهیم، بیایید تمام وکلا را بکُشیم.»^۷۲ 

مصونیت وکیل-موکل

مصونیتِ به‌اصطلاح وکیل-موکل یکی از قدیمی‌ترین حفاظت‌های شناخته‌شده‌ی قانونی برای اطلاعات محرمانه است که کاملاً قدرتمند است. در هر ایالتی، به‌رغمِ وجود درجات متفاوتِ سهولت برای احراز مصونیت و درجات مختلف استثنای آن، مشاوره‌های قانونیِ داده‌شده از سوی مشاور قانونی به موکل دارای «مصونیت» هستند، به این معنا که، در برابرِ افشای اجباری، از جمله در دادخواست‌های مدنی، از آن‌ها حفاظت می‌شود.^۷۶ اطلاعاتی که با هدف کسب مشاوره‌ی قانونی از سوی موکل به وکیل داده شده است نیز به‌طور مشابه تحت حفاظت قرار دارند.^۷۷ در بسیاری از حوزه‌های قضایی، البته نه تمام آن‌ها، دستِ‌کم در دادرسیِ مدنی، زمانی که دادگاهی تشخیص دهد که در جایی مصونیت شامل می‌شود، هر چقدر هم که توسط رقیب قانونی ادعا شده باشد که به آن اطلاعات مصونیت‌دار نیاز است، باز هم اهمیت حفاظتِ ناشی از مصونیت بالاتر است.^۷۸ البته، این حفاظتِ تقریباًمطلق در دستِ‌کم برخی از حوزه‌های قضایی، در زمینه‌ی دادرسی جزایی، قطعیت کمتری دارد.^۷۹

علاوه بر این، به‌نظر می‌رسد دادگاه‌ها در بسیاری از ایالات، موشکافی بسیار بیش‌تری در خصوصِ مشاور قانونیِ شرکتی و دیگر وکلای «درون‌سازمانی» انجام می‌دهند تا مؤسسات وکالتیِ خارجی که توسط شرکتی برای انجامِ خدمات قانونی ویژه‌ای به‌خدمت گرفته می‌شوند.^۸۰ می‌توان گفت، دادگاه‌ها پیش از اعطای مصونیت وکیل-موکل برای ارتباطات انجام‌شده با مشاور قانونیِ درون‌سازمانی، شرکت‌ها را وادار می‌کنند که از درونِ «حلقه‌ها»ی مدرکیِ بیش‌تری بپرند تا برخوردی که نسبت به ارتباطات انجام‌شده با مؤسسات وکالتیِ خارجی دارند.^۸۱

مسئله‌ای که برای مشاوران امنیت اطلاعات اهمیت دارد، این است که دادگاه‌ها (اگرچه نه در زمینه‌ی امنیت اطلاعات، بلکه در زمینه‌های مشابه با آن، مانند کار با حسابداران و مشاوران محیطی) اعتقاد دارند که کار فنیِ انجام‌شده توسط مشاوران کارشناس نیز می‌تواند از حفاظتِ مصونیت وکیل-موکل برخوردار گردد.^۸۲ بنابراین، این حفاظت می‌تواند شاملِ کار مشاور شود اگر و تنها اگر موکل، وکیل را برای انجام خدمتی قانونی استخدام کرده باشد (مثلاً، برای مشاوره به موکل در خصوصِ بهترین نحوه‌ی تطابق با HIPAA یا قوانین دیگر، که سپس وکیل، مشاور را استخدام می‌کند تا اطلاعات فنی موردنیاز برای ارائه‌ی مشاوره‌ی قانونی صحیح را در اختیار وکیل بگذارد).^۸۳ و این زنجیره‌ی استخدام نمی‌تواند ساختگی یا صرفاً ظاهری باشد، طوری‌که موکل از آن برای کسب اطلاعات فنی استفاده کرده است اما با به‌کارگیریِ ناصحیح از حفاظتِ مصونیت‌دار، آن داده‌ها را به‌طور ناصحیح پنهان سازد.^۸۴

این احتمال که جوانب فنیِ ارزیابی‌های امنیت اطلاعات از حفاظت بالاتری در برابرِ افشا برخوردار شوند، تأثیرات آشکاری بر نتایج ارزیابی امنیت اطلاعات دارد. «زنجیره‌ی استخدام» (استخدام وکیلی برای ارائه‌ی مشاوره‌ی قانونی که او نیز به نوبه‌ی خود، نیاز به همکاری با کارشناسان فنی برای انجامِ برآورد/ارزیابی دارد)، اگر صادقانه و درست انجام شود، می‌تواند از تمام کار حفاظت نماید. برای مثال، مشاوره‌ی قانونی و هم‌چنین گزارش‌هایی فنی که نشان‌دهنده‌ی آسیب‌پذیری‌های احتمالیِ شناسایی‌شده در امنیت اطلاعات موکل هستند، می‌توانند طبقِ مصونیت وکیل-موکل تحت حفاظت قرار گیرند.

آگاهی از این امر اهمیت بسیاری دارد که مصونیت وکیل-موکل، همچون اقدامات احتیاطیِ امنیت اطلاعات، هرگز «ضدگلوله» نیست. این مصونیت مطلق نیست و در هر حوزه‌ی قضایی‌ای، استثنائات و راه‌های شناخته‌شده‌ای وجود دارند که موجب نادیده گرفتنِ حفاظت می‌شوند (برای مثال، اطلاعات داده‌شده به وکیلی با هدفِ ارتکاب جرم یا کلاه‌برداری، حفاظت‌شده نیستند).^۸۵ اگر موکل یا وکیل، اطلاعات را برای اشخاص ثالثی فاش سازند که خارج از ارتباط بینِ وکیل (و مشاوران استخدام‌شده توسط وکیل) و پرسنل شرکتی معین باشند (یا در حضور چنین اشخاص ثالثی، ولو این‌که وکیل هم حاضر باشد)، ممکن است ماهیت حفاظت‌شده‌ی اطلاعاتِ مصونیت‌دار از بین برود.^۸۶ هم‌چنین، مواقعی پیش می‌آید که صلاح بر این است که مصونیت را نادیده گرفت (برای مثال، ممکن است بنگاهی تجاری یا مؤسسه‌ای آموزشی تصمیم به نادیده‌انگاریِ مصونیت بگیرد تا دفاعیه‌ای از نوعِ «توصیه‌ی مشاور» انجام دهد.) هم‌چنین، یادداشت تامسون، که توسط لِری تامسون معاون وزیر دادگستری امریکا در ژانویه‌ی ۲۰۰۳ منتشر شد،^۸۷ با بیانِ عواملی که در تصمیمِ دولت مبنی بر پیگرد یا عدمِ پیگرد جزایی نقش دارند، شرکت‌ها را ترغیب می‌کند که در انجام بازپرسی‌ها با دولت همکاری نمایند. یکی از عوامل مهم این است که آیا شرکت قصد دارد مصونیت وکیل-موکل و دیگر مصونیت‌ها را نادیده گیرد یا نه. به هر حال، برای ترغیب دولت به عدم پیگرد قانونی، بهتر است این مصونیت‌ها را در اختیار داشت ولی آن‌ها را نادیده گرفت، تا این‌که اصلاً این مصونیت‌ها را نداشت.

دادگاه‌ها به این نتیجه رسیده‌اند که دلسرد نساختنِ نهادها نسبت به انجام برآوردهای خود در خصوصِ تطابق خود با قوانین اجرایی، مزیتی اجتماعی دارد که به معایبِ احتمالیِ مصونیت می‌ارزد، معایبی مانند جلوگیری از ارائه‌ی تمام اطلاعات مرتبط در محاکمه.^۸۸ این امر حس عمومیِ خوبی نیز ایجاد می‌کند. اگر نهادها اطمینان داشته باشند که نتایج به‌دست‌آمده تحت حفاظت خواهند بود، احتمال بسیار بیش‌تری دارد که برآوردها/ارزیابی‌های تطابقیِ مخصوص به خود را در امنیت اطلاعات، و هم‌چنین در بسیاری از عرصه‌های دیگر، بنا نهند.^۸۹

دفاعیه‌ی توصیه‌ی مشاور

شوربختانه، بسیاری از مشاوران امنیت اطلاعات، بازرسان، و دیگران در باره‌ی نحوه‌ی تطبیق با قوانین و مقرراتی که به باورِ آن‌ها قابل‌اِعمال هستند، توصیه‌هایی به مشتریان می‌کنند. این امر به چندین دلیل مهم، مشکل‌ساز است. اول، به‌طور کلی، وکلای باتجربه و واجدشرایط بهتر از دیگران می‌توانند مسائل مرتبط با قانون را به‌دقت تفسیر کنند و در این خصوص توصیه‌هایی ارائه دهند. دوم، همچنان که پیش از این چندین بار اشاره شد، ممکن است افراد غیروکیل به‌قصدِ ارائه‌ی توصیه‌ی قانونی، گرفتارِ قانون ایالتی گردند.

علاوه بر این دلایل، پیروی از توصیه‌ی افراد غیروکیل در خصوص نحوه‌ی تطابق با قانون، در دادخواست‌ها، دادرسی‌های مقرراتی، یا پیگردهای آتی، همان سطح از دفاعیه‌ی قانونی را نخواهد داشت که پیروی از توصیه‌ی وکیل دارد. در کل، موکلّی که هنگامِ گرفتنِ توصیه در باره‌ی تطابق با قانون امنیت اطلاعات، اطلاعات کامل و دقیقی به وکیل دهد و با حسن نیت به آن توصیه عمل نماید، می‌تواند از دفاعیه‌ای موسوم به «توصیه‌ی مشاور» برخوردار گردد.^۹۰ این دفاعیه حفاظت بسیار مهمی در برابرِ مسئولیت قانونی است. پیروی از توصیه‌ی وکیل در خصوصِ تطابق قانونیِ امنیت اطلاعات می‌تواند از موکل حفاظت نماید، حتی اگر آن توصیه اشتباه از آب درآید.^۹۱

احراز و اجرای دقیقِ استانداردهای برآورد، مصاحبه، و گزارش‌نویسی

مصاحبه با پرسنل کلیدی مشتری و بازدید اسناد آن‌ها، از اجزای مهمِ برآوردها و ارزیابی‌های امنیت اطلاعات هستند. با این‌که مهندسان یا دیگر مشاوران می‌توانند این کار را به‌تنهایی انجام دهند، و اغلب انجام می‌دهند، مصاحبه و بازدید اسناد مهارت‌هایی هستند که وکلا تمایل دارند به‌طور انحصاری در آن‌ها خبره باشند. این دو وظیفه سهم عمده‌ای از کار روزانه‌ی بسیاری از وکلا را تشکیل می‌دهند. به‌همان اندازه که واقعاً انجامِ مصاحبه‌ها و بازدید اسناد اهمیت دارند، اطمینان از این امر نیز اهمیت دارد که از افرادِ درستی مصاحبه صورت می‌گیرد و این‌که تمام اسناد مرتبط مکان‌یابی و به‌دقت بازدید شده‌اند. لازمه‌ی این وظایف، به نوبه‌ی خود، این است که گروه ارزیابی انعطاف‌پذیر و گوش‌به‌زنگِ راه‌های جدیدی برای پرس‌وجو باشند، راه‌هایی که در طول انجامِ ارزیابی (هم‌چنین، در طولِ آماده‌سازی، و پشتیبانیِ ارزیابی) پدیدار می‌شوند. باز هم باید گفت که این مهارت‌ها، مهارت‌هایی هستند که وکلا در عمل به‌طور روزانه در رویّه‌های معمول خود به‌کار می‌برند.

صرف‌نظر از این‌که چقدر اطلاعات جمع‌آوری می‌گردد، تا زمانی که این اطلاعات به شکلی شفاف و قابل‌فهم درنیایند و در زمینه‌ی مناسب خود قرار داده نشوند، فایده‌ای برای مشتری ندارند. اطلاعات نامربوط و غیرضروری باید جدا شوند. باید از زبان ساده و تشریحی استفاده کرد. مفهومِ هر تکه از اطلاعات موجود در گزارش باید به‌وضوح مشخص شوند. باز هم باید تأکید کرد که شفاف و قابل‌فهم نوشتن، سرمایه‌ی اصلیِ وکلای خوب است. به‌کارگیریِ وکیل در پیش‌نویسی، یا دستِ‌کم در بازدید و ویرایشِ گزارش‌های ارزیابی امنیت اطلاعات می‌تواند تا حدّ بسیار زیادی مزایای این فرآیند، و محصول نهایی را برای مشتری افزایش دهد.

ایجاد سوابق مناسب برای دادرسی‌های آینده

بسیاری از وکلای واجدشرایط و باتجربه می‌دانند که برای قضات و هیئت منصفه چگونه بنویسند. مصونیت وکیل-موکل سکه‌ای است که روی دیگری نیز دارد که کمک می‌کند تا نتایج محرمانه‌ی ارزیابی‌های امنیت اطلاعات در برابر افشای اجباری در دادگاه حفاظت شوند. به بیان دیگر، در صورتی که این مصونیت به هر دلیلی ردّ شود (برای مثال، چشم‌پوشیِ سهوی از آن از طرفِ موکل) و گزارشی باید افشا شود، یا گزارشی در نهایت در دادرسی مفید واقع می‌شود و شما می‌خواهید آن را افشا کنید، مدیریتِ مناسبِ این فرآیند موجب می‌شود تا گزارش‌های به‌دست‌آمده کار خود را در دادگاه درست و بی‌نقص انجام دهند. در چنین شرایطی، دو چیز مهم خواهد بود. اول، فرآیند ارزیابی و گزارش(های) به‌دست‌آمده باید طبق استانداردهای مدرکی انجام شوند که این استانداردها توسط قواعد دادرسی مدنی وضع شده‌اند. برای مثال، باید به‌گونه‌ای سوابق مناسبی از مصاحبه‌ها و بازدیدهای اسناد نگه‌داری شوند که مبدّل به «دنباله‌ی کاغذی»ِ قابل‌دفاعی گردند تا دادگاه را متقاعد سازد که این اطلاعات به‌قدر کافی قابل‌اطمینان هستند تا در دادگاه به‌عنوان مدرک شناخته شوند. دوم، گزارش‌ها باید به‌گونه‌ای نوشته شوند که تهدیدها و آسیب‌پذیری‌ها را به‌وضوح تشریح کنند، اما نباید جایی که اجازه‌ی درازگویی نیست، در موردِ آن‌ها زیاده‌گویی کنند یا با عبارات فاجعه‌آمیزی در خصوصِ آن‌ها صحبت کنند.

وکلا، و به‌ویژه وکلای باتجربه‌ی دادرسی، تمایل دارند که در هر دو وظیفه مهارت یابند.

بیشینه‌سازیِ امکان دفاع در دادرسی

در واقع، تمام مزایایی که پیش از این در خصوصِ به‌کارگیریِ مشاور قانونیِ واجدشرایط و باتجربه مطرح شدند، به حرفه‌ای‌های امنیت اطلاعات و مشتریان آن‌ها کمک خواهند کرد تا در دادرسی‌های آینده امکان دفاع داشته باشند و، به همان اهمیت، طرفین دعوی را از پیگرد قانونی در همان وهله‌ی اول بازمی‌دارد. مزیت دیگری نیز برای دفاع از دادرسی احتمالی وجود دارد، که اغلب از آن اینگونه تعبیر می‌شود: «در هنگامِ از زمین بلند شدن، در هنگامِ به زمین نشستن.» به‌ویژه در عرصه‌های تجاری که خطر ذاتیِ قابل‌توجهی برای کنش اجرایی یا دادرسی دارند، در اختیار داشتنِ وکلای واجدشرایط و باتجربه‌ی دادرسی که از همان ابتدای فرآیند تجاری و در کلّ آن فرآیند دخیل باشند، کمک می‌کند که تواناییِ مشاوران امنیت اطلاعات و مشتریان آن‌ها برای استقامت در برابر دادرسی‌های آینده بیشینه گردد.

تعامل با مأموران تنظیم‌کننده‌ها، اجرای قانون، امنیت وطن‌بوم، و سرویس اطلاعاتی

ملاقات شما با عمو سام دستِ‌کم از دو راه می‌تواند رخ دهد: شما می‌توانید با او تماس بگیرید، یا او با شما تماس می‌گیرد. راه اول ترجیح داده می‌شود.

سناریوی اول از چند راه می‌تواند پدیدار شود. ممکن است مشتری شما تصور کند که قربانیِ حمله‌ای به سیستم‌های اطلاعاتی‌اش، یا حمله‌ای مرتبط با تروریسم یا حمله‌ای دیگر شده است، و نیز نمی‌تواند آن حمله را متوقف نماید، نمی‌تواند منشأ آن را پس از اتمامِ آن معین سازد، یا نمی‌تواند مشخص سازد که آیا حمله‌کنندگان در فکرِ حملات دیگری در زمانی دیگر هستند یا نه. یا ممکن است مشتری شما واقعاً تصور کند که کارِ درست، تماس با مراجع مربوطه است. به هر حال، ممکن است آن مراجع بخواهند که به‌عنوان بخشی از بازپرسیِ خود صحبتی با شما داشته باشند- و احتمالاً شما را برای شهادت در دادگاه احضار کنند. از سوی دیگر، ممکن است زمانی که شما در حالِ کار بر روی سیستم‌های مشتری هستید، حمله‌ای رخ دهد که در نتیجه، شما را تبدیل به «اولین پاسخگو» می‌سازد.

سناریوی دوم، این‌که عمو سام به‌طور مثبت با شما و/یا مشتریان شما تماس بگیرد، نیز ممکن است از چند راه پدیدار شود، اما دو چیز به‌وضوح ثابت هستند. اول این‌که، دولت پیش از تماس با مشتری شما، به‌طور کامل سیستم‌های مشتری شما را بررسی خواهد کرد. دوم این‌که، زمانی که آن‌ها از راه می‌رسند، معمولاً اطلاعاتی را که نیاز دارند، به‌دست خواهند آورد، حتی اگر احضاریه یا حکم تفتیشی لازم باشد. همچنان که طبق راه‌برد ملی برای ایمن‌سازی فضای سایبری، و به‌ویژه از ۱۱ سپتامبر به بعد، لزوم وجودِ نوعی از «واحد سایبری» در بسیاری از سازمان‌های اجرای قانون، اطلاعاتی، و امنیت وطن‌بوم ملی به اثبات رسید، هر نوع نقض امنیت سایبری که می‌تواند امنیت ملی ما را تهدید کند، به‌شدت موردتوجه عمو سام قرار گرفته است. این توجه، و اقدامات تند و تهاجمیِ دولت برای تحت پیگرد قرار دادنِ آن، احتمالاً رو به افزایش خواهند بود.

در هر دو سناریو (تماس داوطلبانه یا غیرداوطلبانه با دولت، از جمله دوایر اجرای قانون ایالتی)، آن‌چه شما و/یا مشتریان شما در چند ساعت اولیه انجام می‌دهید می‌تواند نقشی حیاتی در این خصوص داشته باشد که سیستم‌های اطلاعاتی و اطلاعات حساس آن‌ها در پایانِ فرآیند تا چه میزان دست‌نخورده و سالم باقی می‌مانند. چه کسی اختیارات لازم را دارد تا با مراجع دولتی صحبت کند؟ چه چیزهایی را می‌توان به آن‌ها گفت و چه چیزهایی را نمی‌توان؟ پیش از دادنِ اجازه‌ی ورود به آن‌ها، تا چه حد اختیار قانونی (درخواست در برابرِ حکم تفتیش در برابر احضاریه) لازم است؟ آیا اطلاعاتی وجود دارند که نباید اجازه‌ی بازدید آن‌ها را داد؟ مسئولیت قانونیِ احتمالی در قبالِ اشتراک بیش از حدّ اطلاعات چیست؟ کمتر از حد، چطور؟ واضح است که مشتریان شما (و شما، در صورتی که در این امر دخیل باشید) می‌خواهند که با درخواست‌های درست و قانونی همکاری کنند، و در واقع، ممکن است خودِ آن‌ها درخواستِ کمک از دولت کرده باشند، اما تمام بنگاه‌ها، مؤسسات آموزشی، و مشاوران امنیت اطلاعات باید مراقب باشند که در اثر نحوه‌ی برقراری تماس‌های خود با مراجع قانونی، مسئولیت مدنی یا جزایی برای خود ایجاد نکنند.

یک بار دیگر، نکات کلیدی را یادآوری می‌کنم: (۱) فوراً از مشاور قانونی واجدشرایطی کمک بخواهید که هم در قانون امنیت اطلاعات و هم در تعامل با مأموران اجرای قانون، سرویس اطلاعاتی، و امنیت وطن‌بوم باتجربه باشد؛ و (۲) پیشاپیش طرح مناسبی را در این خصوص در دست داشته باشید که چگونه با چنین مراجعی تعامل خواهید داشت، از جمله این‌که مشاوری قانونی را آماده‌به‌کار در دست داشته باشید.

نکات پنهان…

آن‌چه باید از وکلای خود انتظار داشته باشید

هر کسی که وکیلی را با هر هدفی به‌کار می‌گیرد، می‌تواند انتظارِ برخی از مشخصات بدیهی را از او داشته باشد. از جمله‌ی این موارد، راستی و درستی، شهرتی خوب در جامعه‌ی قانونی، و صلاحیت کلی است. هم‌چنین، شما باید وکیلی با پیشینه‌ای قوی در تراکنش‌های تجاری و شرکتی را درنظر بگیرید که با فرآیند قرارداد بستن آشنا باشد. هنگامی که اقدام به تهیه‌ی فهرست خلاصه‌ای از وکلای احتمالی برای انجام مصاحبه می‌کنید، یکی از ابزارهایی که می‌تواند در این راستا برای ارزیابیِ این ویژگی‌ها مفید واقع شود، شرکتی با نام مارتیندِل هابِل (www.martindale.com) است. به‌دنبالِ وکلایی با رتبه‌ی «AV» (بالاترین رتبه‌ی مارتیندل) بگردید.

(یادداشت: هرگز وکیلی را بدون دستِ‌کم یک ملاقات رودررو استخدام نکنید، ملاقاتی با این منظور که ببینید حسّ شما به شما چه می‌گوید، آیا می‌توانید با آن وکیل کار کنید یا نه.)

در عرصه‌ی ارزیابی امنیت اطلاعات، شما باید به‌دنبالِ وکلایی با تخصص عمیق و وسیع در این زمینه باشید. بهترین راه برای انجامِ چنین کاری این است که به‌دنبالِ ملاک‌های خارجی و مستقلاً قابل‌تاییدی بود که اعتبارنامه‌ی آزموده‌ی وکیل یا مؤسسه‌ای حقوقی را به اثبات رسانند (برای مثال، آیا نامِ وکیلی که شما به‌دنبالِ به‌کارگیریِ او هستید، در فهرست وب‌گاه دایره‌ی امنیت ملی (NSA) جزء افرادی آمده است که به‌عنوان آموزش‌دیده در روش‌شناسی بیمه‌ی امنیت اطلاعات (IAM)ِ این دایره گواهی گرفته‌اند؟ در این صورت، در وب‌صفحه‌ی مربوطه‌ی NSA (برای مثال، www.iatrp.com/indivu2.cfm#C) ، فهرستی مانندِ این خواهید یافت:

Cunningham, Bryan, 03/15/05, (303) 743-0003, bc@morgancunningham.net)

آیا وکیلی که شما درنظر می‌گیرید، اثر منتشرشده‌ای را در عرصه‌ی قانون امنیت اطلاعات نوشته است؟ آیا منصبی را مرتبط با امنیت اطلاعات، چه در دولت یا چه در جایی دیگر، برعهده داشته است؟ در نهایت، بررسیِ شمِّ شما است. چه حسی در باره‌ی وکیل احتمالی خود دارید؟ آیا هنگامِ کار با او راحت هستید؟ آیا او شفاف و مختصر ارتباط برقرار می‌کند؟ آیا به‌نظر می‌رسد او بیش‌تر علاقه دارد که هوای خود را داشته باشد تا این‌که به شما برای حفاظت از علایق‌تان مشاوره‌ی قانونی دهد؟

اخلاقِ ارزیابی امنیت اطلاعات^۹۲

فیلسوف قرن هجده، امانوئل کانت، چنین گفته‌ای دارد که: «در قانون، شخص زمانی گناه‌کار است که حقوق دیگران را نقض کند. در اخلاق، او گناه‌کار است حتی اگر فقط به انجامِ آن فکر کند.»^۹۳ اخلاقی اندیشیدن و عمل کردن، به چیزی بیش از صرفاً تطابق کامل با قانون نیاز دارد. لازمه‌ی این امر، درکِ مشتری خود، محیط تجاری آن‌ها، و وظایفی است که مشتری شما، طبق ملزومات ماده‌قانونی و نیز قراردادهای خصوصی، نسبت به دیگران برعهده دارد. پاداش این امر، افزایشِ احتمال تطابق با قوانین و کسب اعتبار در جامعه است که احتمالِ ایجاد مناقشه با مشتریان را کاهش و قابلیت بازاریابیِ شما را افزایش می‌دهد. اخلاق به رفتار شما ربط پیدا می‌کند و نه به رفتار آن‌هایی که شما با آن‌ها تراکنش تجاری دارید. البته، این موضوع غیراخلاقی نیست که مراقبِ این احتمال باشید که دیگرانی که شما در حالِ دادوستد با آن‌ها هستید، خودشان غیراخلاقی هستند. ساده‌لوح نباشید. پیروی از رویّه‌ای اخلاقی، جای‌گزین این نیاز نمی‌شود که شما باید از طریق فرآیندهای قابل‌اطمینان، روش‌شناسی‌های استوار، و قراردادهای به‌خوبی-پیش‌نویس‌شده‌ای از خود حفاظت نمایید که شاملِ کار تعریف‌شده، محدودیت‌های مسئولیت، و پرداخت غرامت باشند.

اجازه ندهید نقض حقوق دیگران به ذهن شما خطور کند. میان‌بُر نزنید. تصور نکنید می‌توانید کار خود را بدونِ درکِ نیازها و حقوق دیگران و اقدام به حفاظت از آن‌ها انجام دهید. کوتاهی در درکِ حقوق مشتریانی که برای کمک به آن‌ها به‌کار گرفته شده‌اید، یا حقوق آن‌هایی که با مشتریان شما سروکار دارند، معادل با اندیشیدن به نقض حقوق آن‌ها است. بنابراین، لازمه‌ی کسب‌وکار اخلاقی این است که بازیگران این عرصه را بشناسید و بدانید که حقوق چه‌کسانی در خطر هستند.

در نهایت این‌که، هرچند بدیهی به‌نظر می‌رسد، کار خود را به‌خوبی انجام دهید. مارتین وَن بیورِن این توصیه را داشت که «درست انجام دادن کار، راحت‌تر است تا توضیحِ این‌که چرا آن را انجام ندادید.» اغلب، مشتریان برای مستندسازیِ رابطه و کسب رضایت‌های لازم پیش از آغاز کار، روی میان‌بُرها پافشاری می‌کنند و پیشنهادهایی را که نیاز به تأخیرات زمانی دارند، رد می‌کنند. مشتریان خیلی زود تقاضاهای اخیر خود برای صرفه‌جویی در هزینه و عجله در به‌پایان رساندنِ پروژه را فراموش می‌کنند. تسلیم نشوید و استوار بمانید. کار را درست انجام دهید تا مجبور نشوید برای مشتری عصبانی، دادستان، قاضی، یا هیئت منصفه‌ای توضیح دهید که چرا این کار را انجام ندادید.

مرور فشرده‌ی ره‌یافت‌ها

عمو سام به شما نیاز دارد: چگونه امنیت اطلاعات شرکت شما می‌تواند بر امنیت ملی امریکا اثر بگذارد (و برعکس)

•  دولت امریکا هم احتمالِ حمله‌ی امنیت اطلاعاتیِ قابل‌توجهی علیه زیرساخت حیاتیِ امریکای ما، و قصدِ آن برای واکنش مؤثر به چنین حمله‌ای در صورت لزوم، و هم وظیفه‌ی بخش خصوصی برای ایمن‌سازیِ بهترِ سهم خود از فضای سایبری را اعلام کرده است.
•  اگرچه هیچ کس نمی‌تواند پیش‌بینی کند که چنین حمله‌ای ممکن است چه‌زمانی و به چه شدتی باشد، نهادهای آموزشی و اقتصادی محتاط، پس از حملات یازده سپتامبر ۲۰۰۱، باید این‌گونه فرض کنند که چنین حمله‌ای اتفاق خواهد افتاد و بر این اساس عمل نمایند.
•  این موضوع دلیل دیگری است، فراتر از نیازهای کاریِ تجاری، ملزومات قانونی و مقرراتی، و اطمینان مشتری، بر این‌که چرا نهادهای آموزشی و اقتصادی باید مشاور قانونی واجدشرایط و باتجربه و ارائه‌دهندگان امنیت اطلاعات فنی را خیلی زودتر از آن‌که دیر شود، استخدام کنند.

استانداردهای قانونیِ مرتبط با امنیت اطلاعات

•  بافت پیچیده‌ای از مواد قانونی، مقررات، و قوانین نانوشته‌ی فدرال، ایالتی، و بین‌المللی در حالِ تکامل است تا تکالیفی قانونی برای نهادهای آموزشی و اقتصادی در عرصه‌ی امنیت اطلاعات ایجاد نمایند.
•  مشاوران غیروکیل، حتی آن‌هایی که مطلع و وارد هستند، به‌لحاظ قانونی نمی‌توانند در خصوصِ تطابق با این قوانین توصیه‌ای ارائه دهند، و نهادهای آموزشی و اقتصادی نباید برای انجام چنین کاری به آن‌ها تکیه کنند.
•  این فصل نمی‌تواند توصیه‌ای قانونی به نهادهای آموزشی یا اقتصادی (یا هر کس دیگری) ارائه دهد. تنها مشاور قانونی واجدشرایط، گواهی‌دار، و باتجربه در ارتباطی مستقیم با موکلان آموزشی و شرکتیِ اختصاصی می‌تواند چنین کاری انجام دهد.

قوانین و مقررات منتخب

•  در سطح فدرال امریکا، HIPAA، GLBA، SOX، قانون سوءاستفاده و کلاه‌برداری رایانه‌ای، و دیگر مواد قانونی و مقررات پایین‌تر از آن‌ها، به‌همراهِ دیگر قوانین جدیدی که همچنان پدید می‌آیند، همواره در حالِ ایجاد وظایف قانونیِ جدیدی در زمینه‌ی امنیت اطلاعات هستند.
•  قوانین ایالتی و نظریه‌های «قوانین نانوشته»ای مانند مسامحه نیز ممکن است منجر به مسئولیت به دلیلِ کوتاهی در پیگیریِ «استانداردهای مراقبتی»ِ در حالِ ظهور گردد.
•  خسارات مدنی، کنش مقرراتی و، در برخی موارد، حتی مسئولیت جزایی، ممکن است از کوتاهیِ بخشی از نهادهای آموزشی و اقتصادی و نیز مشاوران امنیت اطلاعاتی ناشی شوند که به آن‌ها خدمات می‌دهند، کوتاهی در کسب (و پیروی از) توصیه‌ی مشاور قانونی واجدشرایط و باتجربه در خصوص وظایف قانونی بسیاری که در حالِ ظهور هستند.

یا کار خود را درست انجام می‌دهید یا روی شرکتِ خود قمار می‌کنید: ابزارهایی برای کاهش مسئولیت قانونی

•  حرفه‌ای‌های قانونی و فنی، خارجی، و واجدشرایطی را استخدام کنید.
•  روابط قراردادی خود را به‌طور مؤثر مدیریت نمایید تا مسئولیت خود را کمینه سازید.

چه چیزهایی باید در قراردادهای IEM قید شوند^۹۴

•  مشاوران امنیت اطلاعات باید اطمینان یابند که وظایف و حقوق قانونی آن‌ها، و مشتریان آن‌ها، به‌وضوح و ریزبه‌ریز در موافقت‌نامه‌های کتبی دقیقی بیان شده است.
•  دستِ‌کم، این قراردادها باید عناوینِ مطرح‌شده در متن این فصل را دربربگیرند.
•  در اغلبِ موارد اجازه‌نامه‌ها، که اسناد مجزایی هستند که به قرارداد کلّی ملحق شده‌اند، باید به‌وضوح اختیارات، و تمام محدودیت‌های مشاوران امنیت اطلاعات را در دسترسی و انجام آزمایش بر روی تمام انواع اطلاعات، سیستم‌ها، و بخش‌هایی از اینترنت احراز نمایند، بخش‌هایی که برای انجامِ کار خواسته‌شده ضروری هستند.

اولین کاری که ما انجام می‌دهیم…؟ چرا باید وکلای شما از ابتدا تا انتها درگیر موضوع باشند

•  وکلا در نقشِ شرّ ناگزیری برای تمام مشاوران امنیت اطلاعات و مشتریان آن‌ها هستند.
•  وکلا، از بین باقیِ چیزها، از این طریق ارزش افزوده ایجاد می‌کنند: (۱) کمک به احراز حفاظت در برابرِ افشا، هم برای اسرار تجاری و آسیب‌پذیری‌های کشف‌شده‌ی امنیت اطلاعات مشتری و هم برای روش‌شناسی کاریِ مشاوران امنیت اطلاعات؛ (۲) ایجاد دفاعیه‌های قانونی اضافی در برابرِ مسئولیت آینده.
•  وکلا (و تنها وکلا) می‌توانند به‌لحاظ قانونی به موکلان توصیه کنند که چگونه به بهترین نحو با HIPAA، GLBA، SOX، و دیگر ملزومات قانونیِ مواد قانونی، مقررات، و قوانین نانوشته‌ی فدرال و ایالتی تطابق یابند.

پرسش‌های متداول

پرسش‌های متداول زیر، که توسط نویسندگان این کتاب پاسخ داده شده‌اند، با این هدف طراحی شده‌اند که هم میزان یادگیری شما از مفاهیم ارائه شده در این فصل را بسنجند و هم به شما کمک کنند تا با کاربرد عملی این مفاهیم آشنا شوید.

پرسش: اگر من مشاور امنیت اطلاعاتِ مطلّعی باشم، چرا نمی‌توانم در باره‌ی تطابق با ملزومات امنیت اطلاعاتِ HIPAA یا SOX به مشتریان توصیه کنم؟

پاسخ: انجام چنین کاری نه تنها شما را در معرض این خطر قرار می‌دهد که ممنوعیت‌های قوانین ایالتی را در خصوص رویّه‌ی قانونی غیرمجاز نقض نمایید، بلکه نه می‌تواند حفاظتِ مصونیت وکیل-موکل را در برابرِ افشای اطلاعاتِ آسیب‌پذیری‌ها به مشتریان شما بدهد و نه دفاعیه‌ی «توصیه‌ی قانونی» را.

پرسش: چرا دخالتِ وکیل درون‌سازمانیِ من، حفاظت کافی در خصوص مصونیت وکیل-موکل به من نمی‌دهد؟

پاسخ: بستنِ قراردادِ ارزیابی‌های امنیت اطلاعات از طریق مشاور قانونیِ درون‌سازمانی، بهتر از این است که در کل چنین چیزی نباشد. اما، همچنان که پیش از این بحث شد، دادگاه‌های چندین حوزه‌ی قضایی برای این‌که امکان استفاده از مصونیت وکیل-موکل را در خصوص مشاور قانونیِ درون‌سازمانی بدهند، استاندارد بالاتری را در مقایسه با همین مصونیت برای وکلای خارجیِ استخدام‌شده وضع می‌کنند.

پرسش: چندوقت یک‌بار باید ارزیابی‌های امنیت اطلاعات را انجام دهم؟

پاسخ: دادگاه‌ها و مقررگرها تصمیم‌گیری‌ای «متعارف» را در خصوصِ این پرسش لحاظ می‌کنند، تصمیمی که مبتنی بر بوده‌های موجود خواهد بود، بسته به صنعتی که شما در آن قرار دارید، انواع و حجمِ اطلاعاتی که در اختیار دارید، و در عین حال، وضعیت کنونیِ ملزوماتی قانونی و مقرراتی که در موردِ کسب‌وکار شما قابل‌اِعمال هستند. اما در کل، احتمالاً کمتر از یک بار در سال نخواهند بود، و در بسیاری از موارد، بیش‌تر نیز خواهند بود.

پرسش: به‌کارگیریِ وکیل در جریانِ ارزیابی‌های امنیت اطلاعات، چقدر به هزینه‌ی این کارها می‌افزاید؟

پاسخ: با این فرض که شما مشاور قانونیِ واجدشرایط و باتجربه‌ای را پیدا می‌کنید که با مشاوران فنیِ واجدشرایطِ هم‌ترازی کار می‌کند، و آن دو گروه، با شراکتِ هم، محصول یک‌پارچه‌ای را ارائه می‌دهند که به شیوه‌ای متعارف و بسته‌بندی‌شده قیمت‌گذاری شده است، هزینه‌های شما بسیار کمتر از زمانی خواهد بود که صرفاً از شرکت‌های مشاوره‌ایِ بزرگ و گران‌قیمتی استفاده کنید که بر اساسِ ساعت درجه‌بندی شده‌اند.

پرسش: چقدر احتمال دارد که حمله‌ی اطلاعاتیِ فاجعه‌باری به کشور ما صورت گیرد؟

پاسخ: اختلافات بسیاری بر سرِ این پرسش، از جمله میان نویسندگان این فصل، مطرح است. اما، دولت امریکا خط‌مشیِ علناً اعلان‌شده‌ای در خصوصِ احتمال چنین حمله‌ای، و پسا یازدهِ سپتامبر، در پیش گرفته است که در موردِ احتمال رخدادِ چنین حمله‌ای محتاط عمل می‌کند. شاید مهم‌تر از همه این است که فرضِ احتمال رخداد چنین حمله‌ای، صرفاً پشتیبانی است برای دلایل تجاریِ بی‌شمار دیگری که اقدامات امنیت اطلاعاتی را توجیه می‌کنند، از جمله دلیلی که وکلا به‌ندرت در باره‌ی آن صحبت می‌کنند: کارِ درست، انجامِ چنین کاری است.

پرسش: چرا هم‌اکنون دانشمندان از وکلا بیش از موش‌ها برای آزمایش‌ها استفاده می‌کنند؟

پاسخ: (۱) هم‌اکنون وکلا بیش از موش‌ها در دسترس هستند؛ (۲) احتمال دارد که دانشمندان به‌لحاظ احساسی به موش‌ها وابسته شوند؛ و (۳) چیزهایی وجود دارند که شما نمی‌توانید موشی را مجبور به انجامِ آن‌ها کنید.

مراجع

۱ این فصل با همکاریِ افراد زیر نوشته شده است: برایان کانینگهام، مدیر شرکت مورگان و کانینگهام، مؤسسه‌ی حقوقی و مشاوره‌ایِ امنیت وطن‌بومِ مبتنی بر دِنوِر، و نایب‌مشاور قانونیِ پیشینِ شورای امنیت ملی امریکا و کمک‌مشاور قانونی عمومی، دایره‌ی اطلاعات مرکزی؛ سی. فارِست مورگان، مدیر شرکت مورگان و کانینگهام، و آماندا هابِرد، ترایِل اِتِرنی، وزارت دادگستری امریکا با تجربه‌ی گسترده‌ای در جامعه‌ی اطلاعاتی امریکا. هم‌چنین، نویسندگان از همیاریِ نیر دی. یاردِن در زمینه‌ی پژوهش و آنالیز، قدرشناسانه سپاس‌گزاری می‌کنند.دیدگاه‌های بیان‌شده در این‌جا به‌ندرت دیدگاه‌های نویسندگان هستند و لزوماً دیدگاه‌های ناشر یا دولت امریکا را انعکاس نمی‌دهند.

۲ این بخش، تا حدی، از قسمت‌هایی از صفحه‌های ۷ تا ۱۱ ِ برآورد امنیت: مطالعات موردی برای پیاده‌سازیِ NSA IAM، استخراج شده است که با اجازه‌ی شرکت انتشاراتی سینگرس به‌کار رفته است.

۳ Kennedy v. Mendoza-Martinez, 372 U.S. 144, 160 (1963).

۴ برای مثال، نگاهی کنید به رأی ۱۹۹۳ ِ وزارت دادگستری امریکا اداره‌ی مشاور قانونی: «مفهومِ «اجرا» گسترده است، و ماده‌ی قانونیِ مفروض می‌تواند به روشی «اجرا» شود جز پیگرد جزایی که مستقیماً تحت آن آورده شده است.»

Admissibility of Alien Amnesty Application Information in Prosecutions of Third Parties, 17 Op. O.L.C. (1993);

هم‌چنین نگاهی کنید به رأی ۱۸۹۸ ِ دادستان کلّ وقت، جان کِی. ریچاردز:

صیانت از تمامیت ارضی ما و حفاظت از منافع خارجی ما وظیفه‌ای است که در وهله‌ی اول به رئیس‌جمهور سپرده شده است…. در حفاظت از این حقوق بنیادین، که مبتنی بر قانون اساسی و در حالِ گسترش به فراتر از حوزه‌ی این کشور ورای قلمرو خود و حقوق و وظایف بین‌المللی خود به‌عنوان حاکمیتی مجزا هستند، رئیس‌جمهور محدود به اجرای اَعمال معینی از کنگره نیست. [رئیس‌جمهور] باید از آن حقوق بنیادین صیانت، حفاظت، و دفاع کند که این حقوق از خودِ قانون اساسی ناشی می‌شوند و متعلق به حق حاکمیتی هستند که قانون اساسی ایجاد کرده است.

Foreign Cables, 22 Op. Att‘y Gen. 13, 25-26 (1898);

هم‌چنین، نگاهی کنید به:

Cunningham v. Neagle, 135 U.S. 1,64 (1890).

۵ همان که در پانوشت ۱۳ مطرح شده است.

۶ United States National Strategy to Secure Cyberspace, February 14, 2003 (hereinafter “National Strategy”) at 10.The National Strategy is available at: http://www.whitehouse.gov/pcipb/.

۷ نگاهی کنید به شهادت کِیت لوردئو، نایب‌معاون رئیس، واحد سایبری، FBI در حضورِ زیرکمیسیون قضایی سنا در موردِ تروریسم، فن‌آوری، و امنیت وطن‌بوم، ۲۴ فوریه‌ی ۲۰۰۴ («طبقِ برآوردِ FBI میزان تهدید تروریسم سایبری در امریکا به‌سرعت در حالِ گسترش است، چرا که تعداد افرادِ دارای این توانایی که از رایانه‌ها برای اهداف غیرقانونی، مضر، و احتمالاً تخریبی استفاده کنند، در حال افزایش است. گروه‌های تروریستی علاقه‌ی بارزی به توسعه‌ی ابزارهای پایه‌ایِ هک نشان داده‌اند و FBI پیش‌بینی می‌کند که گروه‌های تروریستی، به‌ویژه با هدفِ اجرای حملات فیزیکی بزرگ با استفاده از حملات سایبری، هکرهایی را تربیت یا اجیر خواهند کرد.»)؛

Robert Lenzner and Nathan Vardi, Cyber-nightmare, http://protectia.co.uk/html/cybernightmare.html.

۸ Id.

۹ Frontline interview conducted March 18, 2003, at http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/clarke.html.

۱۰ http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/clarke.html.

۱۱ http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/clarke.html; Hildreth, CRS Report for Congress, Cyberwarfare, Updated June 19, 2001, at 18, at http://www.fas.org/irp/crs/RL30735.pdf

۱۲ Cyberwarfare. at 2.

۱۳ ایده‌ی حمله‌ی سایبریِ فاجعه‌بار توسط گروه‌های تروریستی علیه امریکا فاصله‌ی بسیار زیادی تا پذیرش همگانی دارد. برای مثال، نگاهی کنید به:

James A. Lewis, Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats, Center for Strategic and International Studies, December 2002, at http://www.csis.org/tech/0211_lewis.pdf.

علاوه بر این، همچنان که پیش از این گفته شد، یکی از سه نویسنده‌ی این فصل اعتقاد دارد، با این‌که به‌لحاظ فنی امکان چنین چیزی هست، اما اغلب در موردِ این تهدید، دستِ‌کم به‌عنوان احتمالی نزدیک‌دست، اغراق شده است. اما، برای حرفه‌ای‌های امنیت اطلاعات و مشتریان آن‌ها، روش احتیاطی- با توجه به توانایی، مقصود، و فرصتِ دشمن و خط‌مشیِ بیان‌شده‌ی دولت امریکا در خصوصِ آمادگی برای واکنش به حمله‌ی سایبری- این است که احتمال چنین حمله‌ای را درنظر بگیرند. علاوه بر این، فراوانیِ تهدیدهای فعالِ شناخته‌شده علیه امنیت اطلاعات، از جمله اخاذها، سارقانِ هویت، باندهایی که اقدام به گردآوری و فروش اطلاعات مالی و دیگر اطلاعات شخصیِ ارزشمند می‌کنند، بد-هکرها، و دیگران، دقیقاً همان انگیزه‌ای را برای ایمن‌سازیِ سیستم‌های اطلاعاتی ایجاد می‌کنند که تروریست‌های سایبری انجام می‌دهند.

۱۴ برای مثال، نگاهی کنید به:

Law of Armed Conflict and Information Warfare—How Does the Rule Regarding Reprisals Apply to an Information Warfare, Attack?, Major Daniel M.Vadnais, March 1997, at 25

(«تا حدّی که جنگ اطلاعات، در قالب معنای سنتّیِ آسیب وارده به تمامیّت حاکمیتی قرار می‌گیرد، قانون تعارض مسلح باید اِعمال شود، و طرفین، حقّ تلافیِ متقابل را دارند. از طرف دیگر، آنجا که آسیب وارده به تمامیت حاکمیتی، فیزیکی نیست، حفره‌ای در قانون وجود دارد.»).

http://www.fas.org/irp/threat/cyber/97-0116.pdf.

۱۵ Id.

۱۶ National Strategy at p. 59 (A/R 5-4).

۱۷ National Strategy at p. 49 (Priority V: National Security and International Cyberspace Security Cooperation).

۱۸ حملاتی که از درون امریکا علیه ما صورت می‌گیرند، تقریباً همان‌قدر برای کشور ما خطرناک هستند که اگر سرورهای زومبیده‌ی این‌جا برای انجامِ حمله‌ای علیه کشوری دیگر به‌کار گرفته می‌شدند. واکنش چین یا ایران را در شرایطی تصور کنید که سرورهای درونِ امریکا به‌کار گرفته شده‌اند تا خسارتی به زیرساخت آن‌ها یا آسیبی به مردم آن‌ها وارد آورند. اول این‌که، احتمالاً آن‌ها تکذیب‌های دولت ما را باور نخواهند کرد که این کنش‌های کشمکش‌زا به‌عمد توسط دولت ما انجام نشده است. دوم این‌که، حتی اگر آن‌ها چنین تکذیب‌هایی را واقعاً باور کنند، هنوز ممکن است احساس کنند که باید با شدتِ عمل واکنش نشان دهند تا سیستم‌های افرادی را که به‌نظرِ آن‌ها همان حمله‌کنندگان به آن‌ها هستند، غیرفعال یا نابود سازند، و/یا آن افراد را مجازات سازند.

۱۹ به‌ویژه به‌دنبالِ رخنه‌های امنیتی معروفِ سال ۲۰۰۵ در چویس‌پوینت، لِکسیس‌نِکسیس، مسترکارت، بانک‌های بزرگ، دیگر نهادهای اقتصادی، و دانشگاه‌ها، سعی شد تا تعدادی از مواد قانونی از طریق کنگره‌ی امریکا وضع شوند، یا خبر از تصویب آن‌ها در آینده‌ی نزدیک داده شد، قوانینی که افشای رخنه‌های امنیت اطلاعاتی و/یا اقدامات امنیت اطلاعاتی بهتری را الزامی می‌کردند. نگاهی کنید به:

Roy Mark, Data Brokers Step Into Senate Panel’s Fire, e-Security Planet.com, http://66.102.7.104/search?q=cache:REXdffBCvEYJ:www.esecurityplanet.com/trends/article.php/3497591+specter+and+information+security+and+disclosure&hl=en.

۲۰ ۱۵ U.S.C. §§ ۶۸۰۱, et. seq.

۲۱ ۱۵ U.S.C. § ۶۸۰۱(b).

۲۲ ۱۵ U.S.C. §§ ۶۸۰۴ – ۶۸۰۵.

۲۳ Available at http://www.ffiec.gov/ffiecinfobase/resources/elect_bank/

frb-12_cfr_225_appx_f_bank_holding_non-bank_affiliates.pdf.

۲۴ Guidelines.

۲۵ Id.

۲۶ Id.

۲۷ Id.

۲۸ Id.

۲۹ EPHI در قانون به این صورت تعریف می‌شود: اطلاعات بهداشتیِ شخصاً شناسایی‌پذیری که به‌وسیله‌ی رسانه‌ی الکترونیکی جابه‌جا می‌شوند، یا در آن نگاه‌داری می‌شوند، به‌استثنای چندین دسته‌بندی محدود از سوابق آموزشی، استخدامی، و دیگر سوابق. ۴۵ C.F.R. part 106.103. البته، توجه داشته باشید که قاعده‌ی حریم شخصیِ HIPAA نیز به‌طور مجزا «امنیت مناسب» را برای تمام PHIها، حتی اگر به‌شکلِ الکترونیکی نباشند، الزامی می‌سازد.

۳۰ ۴۵ C.F.R. part 164.

۳۱ در آوریل سال ۲۰۰۵ تطابق با قاعده‌ی امنیتی برای همه به‌جز طرح‌های مراقبت بهداشتی کوچک الزامی شد. طرح‌های مراقبت بهداشتی «کوچک» باید تا آوریل سال ۲۰۰۶ تطابق یابند.

۳۲ ۴۵ C.F.R. part 164.

۳۳ Id. یکی از دلایلِ حیاتی بودن به‌کارگیریِ مداومِ مشاور قانونی واجدشرایط و باتجربه از سوی حرفه‌ای‌های امنیت اطلاعات این است که «متعارف‌پیش‌بینی‌شده» در اصل، استانداردی قانونی است که به‌بهترین نحو توسط مشاور قانونی درک و تشریح می‌شود و نیز به این دلیل که آن‌چه «متعارف‌پیش‌بینی‌شده» است، همواره با کشف و همگانی‌سازیِ تهدیدات جدید، در حالِ تکامل است و برنامه‌های امنیت اطلاعات باید همگام با آن تکامل یابند تا مسئولیت قانونی کاهش یابد.

۳۴ Id.

۳۵ Id.

۳۶ یادآوری این نکته حائز اهمیت است که میزان قابل‌توجهی از این ملزومات فرآیندی و روندی، فنی نیستند. این امر، از میان دیگر ملاحظات، موجبِ توصیه به استفاده از گروه‌های چندتخصصی می‌شود، که کارشناسان فنی فقط یکی از اعضای آن گروه‌ها هستند که ارزیابی‌های امنیت اطلاعات را اجرا و مستند می‌کنند.

۳۷ ۴۵ C.F.R. Part 164.308.

۳۸ ۴۵ C.F.R. Part 164.310.

۳۹ ۴۵ C.F.R. Part 164.312.

۴۰ ۱۸ U.S.C. § ۱۳۵۰.

۴۱ SOX § ۴۰۴.

۴۲ SOX § ۳۰۲.

۴۳ FISMA,Title III of the E-Government Act of 2002, Public Law No. 107-347.

۴۴ FN: 20 U.S.C § ۱۲۳۲g

۴۵ As enacted, the TEACH Act amended Section 110 of the Copyright Act. 17 U.S.C. §۱۱۰.

۴۶ ۱۸ U.S.C. § ۲۵۱۰, et. seq.

۴۷ ۱۸ U.S.C. § ۱۰۳۰, et. seq.

۴۸ از دیگر قوانین و مقررات فدرالی که بالقوه به کار حرفه‌ای‌های امنیت اطلاعات و مشتریان آن‌ها مرتبط است، می‌توان به موارد زیر اشاره کرد، هرچند محدود به این موارد نیستند: قانون حفاظت از حریم شخصی آنلاین کودکان ۱۹۹۸، استانداردهای امنیت اطلاعات که توسط مؤسسه‌ی ملی استانداردها منتشر شده‌اند، دستورالعمل تصمیم‌گیریِ ریاست‌جمهوریِ ۶۳ (۲۲ ماه میِ سال ۱۹۹۸)، و دستورالعمل ریاست‌جمهوری امنیت وطن‌بومِ ۷ (۱۷ ماه دسامبر سال ۲۰۰۳). علاوه بر این، قوانین ایالتیِ فراوانی، از جمله مواد قانون تراکنش‌های مالی یک‌پارچه و کد اقتصادی یک‌پارچه، که در ایالات مختلف وضع شده‌اند، ملزومات امنیت اطلاعات را برای بخش‌های اقتصادی معین و/یا انواع تراکنش‌ها الزامی می‌سازند.

۴۹ Colorado Revised Statutes § ۱۸-۵.۵-۱۰۲.

۵۰ Colorado Revised Statutes § ۶-۱-۱۰۵.

۵۱ Colorado Revised Statutes § ۶-۱-۱۰۵(e).

۵۲ Colorado Revised Statutes § ۶-۱-۱۰۵(u).

۵۳ بین سال‌های ۲۰۰۱ و ۲۰۰۵ چنین اعمالی علیه شرکت مایکروسافت، ویکتوریاز سِکرِت، اِلی لیلی، و زیف دِیویس مِدیا انجام شدند. برای مثال، نگاهی کنید به:

http//www.ftc.gov/os/2002/08/microsoftagree.pdf;

http://www.oag.state.ny.us/press/2002/aug/aug28a_02_attach.pdf.

۵۴ Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal of the European Communities of 23 November 1995 No L. 281, 31, available at http://www.cdt.org/privacy/eudirective/EU_Directive_.html.

۵۵ برای مثال، نگاهی کنید به رونوشت استماع دفاعیات در حضور قاضی بخشِ امریکا رویس لامبِرت، که در آن، مشاور امنیت اطلاعاتی به‌طور علنی به‌مدت چند روز، در ارتباط با نفوذ آزمایشیِ انجام‌شده برای اداره‌ی امور هندِ امریکا، تحت استنطاق و استنطاق مخالف با یاد سوگند قرار می‌گیرد.

http://66.102.7.104/search?q=cache:d30x73ieDSwJ:www.indiantrust.com/_pdfs/3am.pdf+lamberth+and+cobell+and+transcript+and+miles&hl=en

۵۶ برای مثال، مقاله‌ی زیر نکته‌هایی را برای تحکیم امنیت خود و حفاظت از بنگاه خود در برابر سارقان و هکرهای درِپشتی ارائه می‌دهد:

B. Grimes The Right Ways to Protect Your Net PC World Magazine, September 2001

۵۷ http://wsbradio.com/news/0223choicepointsuit.html.

۵۸ Harrington v. ChoicePoint Inc., C.D. Cal., No. CV 05-1294 (SJO) (JWJx), 2/22/05).

۵۹ معمولاً، محاسبه‌ی پساکنونیِ «متعارف بودن» مبتنی بر ایجاد توازن میان عواملی این‌چنین است: (۱) احتمال وقوع خسارتِ متعارف‌پیش‌بینی‌شده؛ (۲) شدّت پیش‌بینی‌شده‌ی این خسارت در صورت وقوع؛ (۳) اقداماتی احتیاطی که به‌طور متعارف برای کاهش خطر در دسترس هستند؛ و (۴) هزینه‌ی پیاده‌سازیِ چنین اقداماتی.

۶۰ نگاهی کنید به:

Assurance of Discontinuance, In the Matter of Ziff Davis Media Inc., at 7, available at http://www.oag.state.ny.us/press/2002/aug/aug28a_02_attach.pdf.;

Agreement Containing Consent Order, In the Matter of Microsoft Corporation, at 5, available at

http://www.ftc.gov/os/2002/08/microsoftagree.pdf.

۶۱ California Civil Code Sections 1798.29 and 1798.82 accessible at http://www.leginfo.ca.gov/calaw.html.

۶۲ ۲۰۰۵ Breach of Information Legislation. http://www.ncsl.org/programs/lis/CIP/priv/breach.htm.

۶۳ P. Britt, Protecting Private Information Information Today (Vo. 22 No. 5 May, 2005) http://www.infotoday.com/it/may05/britt.shtml.

۶۴ این بخش، تا حدی، از قسمت‌هایی از صفحه‌های ۷ تا ۱۱ ِ برآورد امنیت: مطالعات موردی برای پیاده‌سازیِ NSA IAM، استخراج شده است که با اجازه‌ی شرکت انتشاراتی سینگرس به‌کار رفته است.

۶۵ البته، با این فرض که از NSA IAM استفاده می‌شود، بخش عمده‌ای از این کار حیاتی، پیش از آغاز IEM مستند شده است.

۶۶ موضوعِ کسب اجازه‌ی کامل و ایمن برای تمام انواع اطلاعات و سیستم‌هایی (داخلی و خارجی) که ممکن است به‌واسطه‌ی انجام ارزیابی و آزمایش تحت تأثیر قرار گیرند، به‌عمد در چندین قسمت از این بخش تحت پوشش قرار گرفته است. این امر برای رضایتِ قانونیِ مشاور و نیز مشتری کاملاً حیاتی است تا از شفاف بودنِ پاسخگویی نسبت به این موارد اطمینان یابند، که به همین دلیل، این بخش چندین مسیر مختلف را برای بررسی این مسئله مدّنظر قرار می‌دهد. به همان اندازه، رسیدن به تفاهم روشنی از «تقسیم مسئولیت»  نیز حیاتی است، تقسیم مسئولیت در قبالِ هر نوع خسارتی که، با وجود تمام تلاش هر دو طرف، ممکن است بر سیستم‌های خارجی وارد آید. این امر باید از طریق ترکیب غرامت‌پردازی (که در ادامه تشریح شده است)، اظهارات روشن در خصوصِ پاسخگویی در قرارداد، موافقت‌نامه‌های کتبی با اشخاص ثالث، و بیمه مورد توجه قرار گیرد.

۶۷ برای مثال، نگاهی کنید به:

Management Recruiters, Inc. v.Miller, ۷۶۲ P.2d 763, 766 (Colo.App.1988).

۶۸ Board of County Commissioners of Adams County v. City and County of Denver, ۴۰ P.3d 25 (Colo.App.,2001).

۶۹ برای مثال، نگاهی کنید به:

Butler Manufacturing Co. v.Americold Corp., ۸۳۵ F.Supp. 1274 (D.Kan. 1993).

۷۰  برای مثال، نگاهی کنید به:

Elsken v. Network Multi-Family Sec. Corp., ۸۳۸ P.2d 1007 (Okla.1992)

۷۱ National Conference of State Legislatures information page accessible at

http://www.ncsl.org/programs/lis/cip/hacklaw.htm.

۷۲ Henry VI, Part 2, act iv, scene ii.

۷۳ برای مثال، نگاهی کنید به:

Seth Finkelstein,“The first thing we do, let‘s kill all the lawyers” – It’s a Lawyer Joke, The Ethical Spectator, July 1997., available at: http://www.sethf.com/essays/major/killlawyers.php.

۷۴ Koscove v. Bolte, ۳۰ P.3d 784 (Colo.App. 2001).

۷۵ برای مثال، نگاهی کنید به:

Rule 238(c), Colorado Court Rules (2004).

۷۶ برای مثال، نگاهی کنید به:

Pacamor Bearings, Inc. v. Minebea Co., Ltd., ۹۱۸ F.Supp. 491, 509-510 (D. N.H. 1996).

۷۷ Id.

۷۸ برای مثال، نگاهی کنید به:

Diversified Indus., Inc. v. Meredith, ۵۷۲ F.2d 596, 602 (8th Cir. 1978).

۷۹ برای مثال، نگاهی کنید به:

People v. Benney, ۷۵۷ P.2d 1078 (Colo.App. 1987).

۸۰ برای مثال، نگاهی کنید به:

Southern Bell Telephone & Telegraph Co. v. Deason, ۶۳۲ So. 2d 1377 (Fla. 1994);

McCaugherty v. Sifferman, ۱۳۲ F.R.D. 234 (N.D. Cal. 1990). United States v. Davis ۱۳۲ F.R.D. 12 (S.D.N.Y. 1990).

۸۱ برای مثال، نگاهی کنید به:

United States v. Chevron, No. C-94-1885 SBA, 1996 WL 264769 (N.D. Cal. Mar. 13, 1996).

۸۲ برای مثال، نگاهی کنید به:

Gerrits v. Brannen Banks of Florida ۱۳۸ F.R.D. 574, 577 (D. Colo. 1991).

۸۳ برای مثال، نگاهی کنید به:

Id.

۸۴ برای مثال، نگاهی کنید به:

Sneider v. Kimberly-Clark Corp., ۹۱ F.R.D. 1, 5 (N.D. Ill. 1980)

۸۵ برای مثال، نگاهی کنید به:

In re Grand Jury Proceedings, ۸۵۷ F.2d 710, 712 (10th Cir. 1988).

۸۶ برای مثال، نگاهی کنید به:

Winchester Capital Management Co. vs. Manufacturers Hanover Trust Co., ۱۴۴ F.R.D.170, 174 (D. Mass. 1992).

۸۷ U.S. Department of Justice, Federal Prosecution of Business Organizations in Criminal Resource Manual No. 162 (2003) available at

http://www.usdoj.gov/usao/eousa/foia_reading_room/usam/title9/crm00162.html

and amended and available at http://www.usdoj.gov/dag/cftf/corporate_guidelines.html.

۸۸ برای مثال، نگاهی کنید به:

Union Carbide Corp. v. Dow Chem. Co., ۶۱۹ F. Supp. 1036, 1046 (D. Del. 1985)

۸۹ یکی از حفاظت‌های مرتبط با مصونیت وکیل-موکل، رهنامه‌ی به‌اصطلاح «محصول کار» نامیده می‌شود. این حفاظت برای اسنادی که ممکن است نشان‌دهنده‌ی راه‌بردها یا دیگر «ادراکات ذهنی»ِ وکیل در زمانی باشند که چنین اسنادی «برای پیش‌بینیِ دادخواهی» آماده می‌شوند، کارِ مشاوران امنیت اطلاعات را تحت پوشش قرار خواهد داد؛ مشاورانی که در آماده‌سازیِ اسناد برای استفاده در دادرسی یا تعامل با مأموران اجرای قانون یا مقررگرها، به وکلا کمک می‌کنند. حفاظت محصول کار نسبت به مصونیت وکیل-موکل، بیش‌تر در معرض این خطر است که، بنا بر اثبات نیازِ بسیار زیاد به آن اسناد از سوی رقیب شما، توسط دادگاه غیرقابل‌اِعمال گردد.

۹۰ برای مثال، نگاهی کنید به:

United States v. Gonzales, ۵۸ F.3d 506, 512 (10th Cir. 1995).

۹۱ Id.

۹۲ می‌توان کتاب کاملی در خصوص این موضوع نوشت، و کتاب‌هایی دستِ‌کم در خصوص موضوع گسترده‌ترِ اخلاقِ IT نوشته شده‌اند. برای مثال، نگاهی کنید به:

IT Ethics Handbook: Right and Wrong for IT Professionals, Syngress Publishing, Inc.

بحث فراگیر در خصوصِ اخلاق ارزیابی امنیت اطلاعات، فراتر از گستره‌ی این کتاب است. بحثی که در این‌جا مطرح شده است، صرفاً تمامِ آن چیزهایی را به ما یادآوری می‌کند که ما از پدران و مادران خود فراگرفته‌ایم و حالا آن‌ها را در قالب روابط تجاری خود ترجمه کرده‌ایم.

۹۳ Available at

http://en.thinkexist.com/quotation/in_law_a_man_is_guilty_when_he_violates_the/7854.html.

۹۴ این بخش، تا حدی، از قسمت‌هایی از صفحه‌های ۷ تا ۱۱ ِ برآورد امنیت: مطالعات موردی برای پیاده‌سازیِ NSA IAM، استخراج شده است که با اجازه‌ی شرکت انتشاراتی سینگرس به‌کار رفته است.