Информационная безопасность в большинстве небольших компаний и государственных учреждений была и остается далеко не технической задачей. Речь идет не только о внутреннем нормотворчестве (разработке документации), а о том, что специалисты по ИБ часто оказываются на передовой при так называемых корпоративных конфликтах, расследованиях, утечках и даже внутренних проверках лояльности персонала. И это создает риски – прежде всего для самих ИБ-специалистов.
Автор: Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
Стереотип: служба ИБ может всё и всегда
Многие руководители и сотрудники воспринимают службу ИБ как некую всевидящую структуру, которая может в любой момент зайти на компьютер, скопировать нужный файл, посмотреть переписку и выдать руководству отчет на-гора. В этой логике ИБ существует где-то рядом с классической службой безопасности и воспринимается как удобный рычаг оперативного воздействия. Однако техническая возможность что-то сделать – не то же самое, что правовая или процедурная легальность таких действий.
Один из главных системных перекосов – расхождение между ожиданиями и реальными полномочиями. Формально специалист по ИБ обязан предотвращать утечки, расследовать инциденты, контролировать соблюдение политики безопасности и т.п.
Но как именно он может это делать? Может ли он удаленно подключаться к компьютеру пользователя? Копировать информацию? Передавать ее третьим лицам? Оповещать сотрудника? А руководителя организации/сотрудника? Ответ на все эти вопросы должен быть закреплен в локальных нормативных актах.
Когда таких документов нет или они не охватывают спорную ситуацию, специалист ИБ оказывается в серой зоне. Действуя по наитию или по устной просьбе директора организации или начальника сотрудника, он может оказаться нарушителем. Особенно если конфликт доходит до правоохранительных органов и/или суда.
Размытые формулировки вроде "обеспечивает защиту информации" или "участвует в расследовании инцидентов" не защищают на практике. Если сотрудник пожалуется на вмешательство в личную информацию (нарушение тайны переписки, нарушение неприкосновенности частной жизни) [1], а регламентных оснований не будет, – ответственность ляжет на ИБ. Руководство легко скажет: "Мы не давали указаний". И никто не вспомнит, что решения принимались под давлением времени и устных договоренностей.
В результате ИБ-шник оказывается между двух огней. С одной стороны – требование "сделать все быстро и тихо", а с другой – отсутствие формальных процедур и гарантий. Плюс – репутационные риски, если дело дойдет до официальных жалоб.
Как выйти из серой зоны?
Решение не в запретах, а в систематизации. Каждая функция службы ИБ, связанная с вмешательством в рабочие процессы сотрудников, должна быть описана в локальных нормативных актах:
- правила доступа к рабочим станциям и информации;
- порядок проведения служебного расследования;
- формат фиксации и хранения логов;
- процедуры передачи материалов руководству и другим подразделениям/государственным (правоохранительным) органам;
- условия, при которых допускается удаленный доступ без уведомления.
Эти документы не только делает действия ИБ легальными и легитимными (признаваемые легальными со стороны коллектива), но и защищают самих специалистов. Они позволяют действовать прозрачно, последовательно и в рамках закона.
ИБ в компаниях не должна строиться на доверии, лояльности и личных договоренностях. Это важная функция, затрагивающая права сотрудников, охраняемую законом тайну и интересы бизнеса. И если она остается вне правового поля, то каждый инцидент становится потенциальным скандалом, способным вызвать негативную реакцию коллектива.
Только создание работающей нормативной базы делает ИБ не только эффективной, но и безопасной – в том числе для тех, кто эту безопасность обеспечивает.
- В рамках данной статьи мы рассматриваем действия сотрудника ИБ исключительно в рамках инфраструктуры организации