5 ноября, 2013, BIS Journal №4(11)/2013

Сила внутреннего закона


Хвастунова Ольга

обозреватель (BIS Journal)

Профессиональное сообщество пытается сформулировать принципы этики офицера информационной безопасности

Понятие информационной безопасности (ИБ) в широком смысле этого слова охватывает, наряду с проблемами надёжной защиты информации, вопросы защиты персонала и технических систем от угроз. Степень защищённости от дестабилизирующего воздействия внешних и внутренних опасностей в значительной степени зависит от поведения людей. Люди же в своих действиях руководствуются самыми разнообразными мотивами, установками и интересами, соблюдают или нарушают установленные правила и нормы, в том числе и этические.

 

НРАВСТВЕННОСТЬ КОМПЬЮТЕРНОЙ ЭРЫ

Вопросы этики в современных условиях приобретают всё большее значение, по той простой причине, что по- настоящему действенным может быть лишь закон, базирующийся на нравственных основаниях. К тому же не представляется возможным подвести под юридические нормы и проконтролировать все аспекты деятельности человека.

Мораль и нравственность – это сложившиеся нормы и правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе. Особенность этических норм такова, что они могут полноценно работать в качестве регулятора лишь в том случае, если превратятся во внутренние убеждения.

Ситуация с ИБ в России, по мнению Сергея Гордейчика, инициатора проведения ежегодного международного форума Positive Hack Days, осложняется из-за дефицита кадров, в том числе и из-за их утечки за границу, высокого уровня коррупции, а главное – из-за отсутствия единой стратегии развития и разобщённости участников отрасли.

Для преодоления такой разобщённости и выработки общих подходов к проблемам этики работников ИБ был создан Комитет по этике межрегиональной общественной организации «Ассоциация руководителей служб информационной безопасности» (МОО «АРСИБ»). Комитет является координирующим органом в вопросах выработки профессиональных этических норм, формирования профессионального сообщества ИБ специалистов с высокими моральными и этическими нормами.

Главная цель создания этого комитета – способствовать формированию высокоэтичного профессионального сообщества. Наиболее важные задачи, которые предстоит решить:

  • содействовать формированию профессиональных этических норм, ценностей и Кодекса профессиональной этики;
  • совместно с комитетом по кадровой политике вести работу с молодыми специалистами ИБ;
  • выработать критерии оценки этических норм в поведении руководителя, специалиста информационной безопасности;
  • предоставлять помощь в проведении разбора этичности действий персонала, отвечающего за информационную безопасность;

• совместно с комитетом по экспертизам формировать списки подрядчиков, некачественно выполняющих работы или услуги, через формирование списков добросовестных и недобросовестных поставщиков услуг и оборудования на рынке ИБ.

В то же время, сама постановка вопроса об этике (морали и нравственности) сотрудников ИБ, о применимости этических критериев в их работе продолжает вызывать сомнения у самих сотрудников. Это в первую очередь связано с тем, что многие специалисты этой сферы воспринимают свою работу исключительно как работу с техникой, а не с людьми. А к бездушным и неразумным объектам мораль, соответственно, не при- ложима, хотя в своей повседневной деятельности им приходится иметь дело с такими щепетильными моментами, которые напрямую затрагивают, например, тайну связи и тайну частной жизни.

Одним из наиболее ярких проявлений такого подхода является широко декларируемый принцип «человек – слабейшее звено системы защиты информации». Рассмотрение человека («пользователя») в качестве «звена», то есть заурядного элемента информационной системы – это игнорирование гуманитарных аспектов ИБ. То есть попытка решить техническими методами совсем не технические задачи.

МОРАЛЬ И ПРОФЕССИЯ

В связи с этим возникает ряд вопросов. Во-первых, о правомерности выделения из общего поля этики какой- то конкретной профессии или сферы деятельности, в данном случае ИБ. И далее о том, какие же этические ограничения следует наложить на методы защиты, на применяемые средства и, в конце концов, на области применения понятий ИБ.

Известный эксперт кандидат физико-математических наук Николай Федотов, обозначивший основные тенденции развития этики в сфере безопасности, так формулирует пять этических принципов специалиста ИБ:

  1. Обучение желающих. Работники ИБ не должны отказывать персоналу в его праве приобщиться к знаниям в области информационных технологий и защиты информации. Эти знания должны передаваться безвозмездно всякому, кто выразит желание обучаться.
  2. Недопущение вреда. В своей деятельности работники ИБ должны избегать причинения вреда защищаемому объекту (косвенного вреда), за исключением случаев, когда предотвращаемый вред заведомо превышает причиняемый. Избегать причинения любого вреда непричастным следует, даже если в результате может быть предотвращено нанесение вреда защищаемому объекту.
  3. Нераспространение опасных сведений. Работники ИБ не должны передавать кому-либо сведения об уязвимости, позволяющие эту уязвимость использовать (за исключением владельца или разработчика уязвимой системы – и только с целью исправления уязвимости). В том числе не следует передавать кому-либо вредоносные программы или программы двойного назначения, если есть опасность их использования во вред.
  4. Добросовестное использование доступа. Полученные любым способом доступ в чужую систему или информация о чужой системе работники ИБ должны использовать только для защиты, предотвращения вреда и повышения уровня безопасности. Ни для каких других целей (в том числе, безобидных) такие доступ или информация использоваться не могут. Когда необходимость такого доступа отпадает, он должен закрываться, а информация – уничтожаться.
  5. Сохранение тайны. Работники ИБ должны сохранять в тайне сведения, которые стали им известными в связи с оказанием услуг по защите, составляющие чью-либо коммерческую тайну, тайну частной жизни, профессиональную тайну, а также другую конфиденциальную информацию, независимо от наличия явного соглашения или обязательства сохранять тайну.

При этом сам автор оговаривается, что данные этические принципы рассматриваются только в качестве первой попытки кодификации профессиональной этики «защитников информации».

Другой эксперт, Георгий Гарбузов из дирекции информационной безопасности Службы внутреннего контроля Страховой группы «УралСиб», отмечает, что кодекс этики может носить международный, национальный или корпоративный характер, а собственные кодексы этики имеют юристы, врачи, адвокаты, журналисты, финансовые аудиторы и другие профессиональные сообщества.

СКОЛЬКО ОРГАНИЗАЦИЙ, СТОЛЬКО И КОДЕКСОВ

Характерно, что дискуссии на темы профессиональной этики специалистов ИБ в настоящее время идут и в западном профессиональном сообществе. Так бывший высокопоставленный сотрудник Управления директора национальной разведки США, а ныне вице-президент консалтинговой компании Booz Allen Hamilton, Рональд Сэндерс рассматривает Кодекс этики в качестве одной из определяющих характеристик той или иной профессии.

Для сотрудников ИБ, по его мнению, этот кодекс тем более важен, потому что им приходится иметь дело с персональными данными, секретными сведениями и другой очень специфической информацией, ущерб от утечки которой очень трудно компенсировать. Если признать, что этика является одной из основополагающих характерных черт сотрудника ИБ, то вопрос об этических нормах, действующих в этой сфере, должен быть проработан очень серьёзно.

Можно сравнить кодексы этики, принятые в таких организациях, как ISACA (Ассоциация аудита и контроля информационных систем), ISC (Международный консорциум по сертификации в области безопасности информационных систем), RISSPA (Сообщество профессионалов в области информационной безопасности). В результате становится ясно, что базовые этические принципы – честность, независимость, объективность, профессионализм, конфиденциальность – остаются неизменными вне зависимости от конкретного документа или сообщества.

При этом практически все существующие кодексы по этике опираются на общечеловеческие ценности. Они не регламентируют выполнение конкретных действий, совершаемых в той или иной ситуации, а создают основу для принятия индивидуальных нравственных решений.

Особую важность выполнение норм кодексов приобретает в тех областях профессиональной деятельности людей, в которых они имеют дело с конфиденциальной информацией, в частности, в банковской сфере. Это связано не только с тем, что появляется соблазн использовать приватную информацию в своих корыстных целях, но и с высокой ценой возможных ошибок, совершаемых без злого умысла, просто по невнимательности.

Из этого можно сделать ряд практических выводов.

Во-первых, собственный кодекс этики должен охватывать всю службу ИБ финансовой организации. Это позволит, с одной стороны, повысить доверие к сотрудникам ИБ, а с другой – создать определенный фильтр для отсева заведомо неподходящих работников.

Во-вторых, необходимо с особой тщательностью подбирать людей на роль сотрудников службы ИБ. Не каждый хороший специалист может быть хорошим сотрудником этой службы: здесь особенно важны и человеческие качества, и внешний вид, и манеры. Кроме того, отбор должен производиться из числа наиболее уравновешенных и аккуратных, обладающих высокими моральными качествами работников.

К руководителю службы ИБ предъявляются дополнительные требования – он может не быть глубоким профессионалом во всех областях безопасности, но должен уметь организовать людей в команде, быть для них авторитетом и уметь отделять важное от второстепенного.

В-третьих, нужно выстроить процессы обеспечения ИБ так, чтобы минимизировать число конфликтов между сотрудниками службы ИБ и персоналом банка. Так, выводы сотрудников ИБ по результатам их проверок, если будет выявлено отсутствие злого умысла нарушителей, должны указывать в первую очередь на недостатки процессов, а не на ошибки конкретных людей.

ЛОЯЛЬНОСТЬ ? ПРЕДМЕТ ДЕЛИКАТНЫЙ

Важно понимать, что при проведении мероприятий по обеспечению ИБ должна действовать презумпция невиновности и лояльности, и основная задача сотрудников ИБ не наказание виновных, а беспристрастный сбор фактов, их объективная интерпретация и вынесение рекомендаций по устранению недоработок.

Только если постоянно разъяснять этот подход работникам финансовой организации и неукоснительно следовать принятым этическим нормам, они, в конце концов, поверят в то, что сотрудник ИБ – это человек, действующий во благо организации и её работников.

Другая важная сторона деятельности по обеспечению ИБ – отношение сотрудников к существующей в организации политике защиты данных. В частности при использовании DLP-систем и других программных средств контроля информации по отношению к своим сотрудникам, возникает дилемма этического порядка: сообщать или не сообщать им о том, что все их действия на рабочем месте контролируются? На практике, очень большое число компаний предпочитают скрывать факт наличия DLP в организации, собирая всю информацию втайне от персонала.

По мнению специалистов компании Searchlnform, подобный подход представляется не только неэтичным, но и в корне неправильным. Постоянная неоговоренная слежка создаёт у сотрудников неприятную атмосферу недоверия и подозрительности, которая полностью соответствует содержанию крылатой фразы «Big Brother is watching you» (Старший брат следит за тобой). Очевидно, что это не будет способствовать повышению продуктивности работы и лояльности персонала.

И наоборот, открыто и честно предупредив сотрудников о том, что в организации используются программные средства контроля, можно решить сразу несколько задач.

Во-первых, предупредить возможное преступление, когда кто-то из работников случайно или целенаправленно захочет «слить» информацию. Во-вторых, рационализировать рабочее время персонала – никто не станет в рабочее время раскладывать пасьянс, зная, что его действия отслеживаются. И, в-третьих, повысить лояльность сотрудников – они оценят вашу честность по отношению к ним.

КОНТРОЛЬ В РАДОСТЬ

Аналогичной точки зрения придерживается и Виктор Ивановский, администратор безопасности компьютерных сетей управления безопасности компании «Северо-Западный Телеком». По его мнению, основная угроза компаниям сейчас исходит изнутри. При этом сотрудники неадекватно реагируют в случае работы под контролем и симметрично реагируют на наблюдение: «Вот вы как! Ну как вы ко мне, так и я к вам».

Задача служб безопасности во многом заключается в том, чтобы развернуть в компании «прозрачную» систему контроля, которая бы не формировала у сотрудников негативной реакции, не создавала неудобств и в то же время была эффективной.

Как же добиться позитивного решения проблемы отношения сотрудников к тому, что их контролируют? С этической стороны вопрос очень щепетильный. Реакция сотрудников чаще всего бывает негативной. Оно и понятно: никому не нравится, если его причисляют к злоумышленникам (нарушителям), просматривают его корреспонденцию, наблюдают за каждым шагом.

Здесь поможет документальное обоснование необходимости контроля. Большинство экспертов и специалистов по защите информации в своих оценках склоняются к тому, что контроль сотрудника на его рабочем месте легитимен и оправдан.

Единственное, о чём не стоит забывать при его реализации, так это о необходимости указания в «Правилах внутреннего распорядка» или «Регламенте работы с информационными системами компании» организации порядка контроля. Должно быть однозначно регламентировано, что именно будет контролироваться службой безопасности (например, активность пользователя на рабочем месте, список посещаемых Интернет-сайтов, содержание телефонных звонков, корпоративной электронной почты).

Если сотрудник осведомлён, что за ним ведётся наблюдение, то он никогда не будет заниматься на рабочем месте неразрешённой деятельностью и не пойдет на противоправное действие. Кроме того, благодаря применению систем контроля эффективность работы компании, по некоторым оценкам, возрастает на 20–50%. У сотрудников не возникает желания заниматься неслужебными делами на рабочем месте, и они уделяют гораздо больше времени своим непосредственным обязанностям.

Так, например, контроль в реальном времени подразумевает возможность подключиться к рабочему столу и отслеживать активность конкретного сотрудника. С точки зрения этики сотрудник должен быть уведомлён о том, что его компьютер сейчас находится под контролем службы безопасности (все действия отслеживаются).

И, тем не менее, считает эксперт, иногда при проведении контрольных проверок на лояльность крайне необходимой становится возможность отключать функцию предупреждения, которую предоставляют некоторые из существующих программных комплексов.

Таким образом, этика использования средств информационной безопасности в бизнесе на самом деле мало чем отличается от любой другой этики. Если политика информационной безопасности основывается на справедливости, честности и законности, то мы получим такую организацию бизнеса, которая будет исправно работать сама и не мешать другим выполнять их работу.

 

Смотрите также

Подпишись на новости!
Подписаться