信息安全管理之应急计划的组成部分司法介入
当一个事故违反了民法或刑法时,机构的责任是负责通知有关当局。依据犯罪的类型选择合适的执法机构。例如,联邦调查局( FBI)处理跨州计算机犯罪。 美国特勤局调查涉及到美元、伪造、信用卡以及假冒身份等有关的犯罪。美国财政部有一个银行欺诈调查机构,并且证券交易委员会也有类似的机构。但是,这些机构处理的众多案例表明,他们通常优先处理影响国家关键基础设施或者有重大经济影响的事故。例如,FBI网站对计算机入侵特勤组(FBI Computer Intrusion Squacl)做出了这样的陈述:
从事有关基于网络的攻击的调查,这些攻击主要是指未授权的访问(入侵)和拒绝服务攻击,直接针对国家关键信息、军方和经济基础设施的要害部位。关键基础设施包括国家电网和供电系统、运输控制系统、资金周转和记账系统、防御相关系统以及电信网络。另外,特勤组也调查那些针对私人企业和公共机构的攻击,这些机构处理的信息对国家的安全和/或国家的经济成功至关重要。
换句话说,如果那些犯罪不是针对或者没有影响国家基础设施,FBI对该机构提供的帮助则可能不会像政府或当地机构那样有效。然而在通常情况下,如果犯罪跨越州界,那么它就已经变成整个联邦的事情。在条件允许的情况下,FBI可能应各州机构的请求而帮助他们。
美国的每个州、县和城市有它自己的执法机构,这些机构实施当地和本州的全部法律,并且为本州和联邦的案件处理诸如调查嫌疑人以及保护犯罪现场。很少的地方执法机构有专门的计算机犯罪特勤组,但是调查(侦探)单位完全能够处理犯罪现场调查和大多数普通的犯罪破坏案件,例如物理偷窃或侵入,财产损失, 拘捕和处理计算机犯罪的嫌疑犯。
执法机构介入有利也有弊。比起商业机构来,这些机构有更好设备来处理证据,除非该商业机构里的安全人员接受过关于处理证据和电脑鉴识的培训,否则让他们试图摘录出能够给嫌疑犯定罪的资料时就会弊大于利。当记录一个案例时,执法机构要做好准备,因为他们也有可能要处理必要的证据和传票。他们非常擅长于从证人、书面陈述和其他需要的资料中获得证据。由于所有这些原因, 在处理计算机犯罪方面,安全管理员最大的支持可能来自于执法人员。因此,在你必须打电话声明有可疑犯罪之前,熟悉本地或本州的相关机构就显得非常重要。大多数州和联邦政府机构都提供意识提升计划,在会议中加入特邀发言者, 并且提供计划——例如FBI国家信息保护中心(、nⅢ.infragard. net)的InfraGarcl计划。这些机构非常清楚的明白安全管理员面临的难题。
司法介入的弊端有:可能会对一个次事故带来的一连串事件失去控制,这些事件包括信息和证据的收集,对嫌疑犯的指控。如果一个机构仅仅想惩罚或者开除某个雇员,那么在事故的处理过程中它就不应该联系执法机构。另外,机构还可能由于负担过重或者资源短缺而造成数周或者甚至几个月听不到关于案例的消息。当有执法机构介入时,对于商业机构来说,一个非常现实的问题就是某些设备可能会被作为证据,而这些设备对机构的业务来说又非常重要。某些资产可能会被撤除、存储、保存起来以备用于刑事案件。虽然有这些困难存在,但是当机构发现犯罪行为时,仍然有义务通知相关执法人员。如果做不到这一点,机构及其官员就可能遭到起诉,罪名是同谋或妨碍调查过程。安全管理员要询问了解相关法律机构希望他们何时介入到事故处理过程中去,特别是其中涉及到的犯罪事故处理中去。