Должен ли я использовать баннер входа в систему и если да, что он должен сказать?
Стоит ли иметь интерактивные баннеры для входа?
Общее мнение таково, что они есть, но что должен сказать баннер?
Некоторые вещи, которые рассматриваются (без определенного порядка):
- владение оборудованием
- нет ожидания приватности
- Мониторинг может быть сделан
- только разрешенное использование
- не используйте такие слова, как "Добро пожаловать"
- на местном языке, если это возможно
- длина баннера: короткая и краткая, длинная и многословная
- не идентифицируйте использование оборудования
- неопределенный или специфический
7 ответов
Из книги " Преследование за компьютерные преступления", публикация Министерства юстиции США:
Лучшие практики реагирования на жертвы и отчетности
А. Шаги до противостояния вторжению
Рассмотрите возможность использования баннеров. Мониторинг атак в режиме реального времени, как правило, является законным, если все пользователи предварительно уведомлены об этом мониторинге. По этой причине организациям следует рассмотреть возможность размещения письменных предупреждений или "баннеров" на портах, через которые злоумышленник может получить доступ к системе организации и в которых организация может пытаться отслеживать коммуникации и трафик злоумышленника. Если баннер уже установлен, его следует периодически проверять, чтобы убедиться, что он соответствует типу потенциального мониторинга, который может использоваться в ответ на кибератаку. Дополнительную информацию по этой теме можно найти на веб-сайте CCIPS по адресу http://www.cybercrime.gov/.
Кроме того, вот несколько примеров языка NETWORK BANNER, рекомендованного USDOJ, и пояснения к их функциям из раздела " Поиск и захват компьютеров" и "Получение электронных доказательств в уголовных расследованиях", также Министерства юстиции США:
ПРИЛОЖЕНИЕ A: Пример языка баннеров в сети
Сетевые баннеры - это электронные сообщения, которые предоставляют Уведомление о законных правах пользователям компьютерных сетей. С юридической точки зрения баннеры выполняют четыре основные функции. Во-первых, баннеры могут быть использованы для получения согласия на мониторинг в режиме реального времени в соответствии с разделом III. Во-вторых, баннеры могут использоваться для получения согласия на поиск сохраненных файлов и записей в соответствии с ECPA. В-третьих, в случае государственных сетей баннеры могут исключить любую четвертую поправку "разумное ожидание конфиденциальности", которую правительственные служащие или другие пользователи могут иным образом сохранить при использовании правительственной сети по делу О'Коннор против Ортеги, 480 US 709 (1987).). В-четвертых, в случае негосударственной сети баннеры могут устанавливать "общие полномочия" системного администратора на согласие на поиск в правоохранительных органах в соответствии с United States v. Matlock, 415 US 164 (1974).
Это определенно юридический вопрос, который не следует так легко игнорировать. Скорее всего, вы ДОЛЖНЫ проконсультироваться со своим юридическим отделом (если он есть) или соответствующими лицами, принимающими решения. Кроме того, все, что реализовано в баннерах, то, что сказано для внутреннего и внешнего, вероятно, не должно быть избыточным с уже согласованными политиками использования сети (вероятно, не хотят постоянно предупреждать людей о чем-то, о чем они уже договорились)
Поговорите с вашими законными сотрудниками, это не зависит от технических специалистов, чтобы решить, что входит в это, это вопрос политики, а не технический. В зависимости от того, в какой стране вы находитесь, правительственные рекомендации будут касаться местных законов о неправомерном использовании компьютеров.
Это действительно зависит от того, кто входит в систему и почему. Если вы используете сервер для предоставления учетных записей оболочки, вы, вероятно, захотите довольно сильный интерактивный баннер входа в систему, чтобы напомнить людям не запускать спам-ботов. С другой стороны, если к вашим серверам обращаются только коллеги по вашей операционной группе, которых всего 8, вам, вероятно, не нужен баннер. На самом деле это сводится к вопросу политики, потому что баннер не будет иметь заметных различий в поведении, и не влияет на многие юридические места.
Вот что мы используем:
-----------------------------------------------------------------
Warning: This system is restricted to ABC Company
authorized users for business purposes only. Unauthorized access
or use is a violation of company policy and the law. This system
may be monitored for administrative and security reasons. By
proceeding, you acknowledge that (1) you have read and understand
this notice and (2) you consent to the system monitoring.
-----------------------------------------------------------------
Просто что-то вроде "использование этого ресурса регулируется условиями нашего AUP" должно быть все, что вам нужно; нет необходимости писать эссе об этом. Затем юристы и сотрудники отдела кадров могут положить свои вещи в AUP.
Вы должны убедиться, что у всех есть бумажная копия AUP, прежде чем войти в систему. IANAL, но я бы почувствовал запах крысы, если бы вы попросили пользователей согласиться на то, что они еще даже не читали.
На мой взгляд, это еще один элемент CYA, который, кажется, вам не хватает в наши дни... Не делайте баннер перед входом в систему, который содержит какие-либо утверждения "Welcome to...".
Мой логин баннеры просто говорят. "Все записано, так что не ломайте дерьмо", но я в значительной степени единственный техник, который работает на наших серверах.