Информационная безопасность (далее – ИБ) в большинстве небольших компаний и государственных учреждений была и остается до сих пор далеко не технической задачей. При этом, речь идет не только о внутреннем нормотворчестве (разработке документации), а о том, что специалисты по ИБ часто оказываются на передовой при т.н. «корпоративных конфликтах», расследованиях, утечках и даже внутренних проверках лояльности персонала. И это создает риски - прежде всего для самих ИБ-специалистов.
Стереотип: служба ИБ может все и всегда
Многие руководители и сотрудники воспринимают службу ИБ как некую «всевидящую» структуру, которая может в любой момент зайти на компьютер, скопировать нужный файл, посмотреть переписку и выдать руководству на-гора. В этой логике ИБ существует где-то рядом с классической СБ и воспринимается как удобный рычаг оперативного воздействия.
Однако, техническая возможность что-то сделать - это не то же самое, что правовая или процедурная легальность таких действий.
Один из главных системных перекосов - это расхождение между ожиданиями и реальными полномочиями. Формально, специалист по ИБ обязан предотвращать утечки, расследовать инциденты, контролировать соблюдение политики безопасности и т.п.
Но как именно он может это делать? Может ли он удаленно подключаться к компьютеру пользователя? Копировать информацию? Передавать ее третьим лицам? Оповещать ли сотрудника? А руководителя организации/сотрудника?
Ответ на все эти вопросы должен быть закреплен в локальных нормативных актах (далее - ЛНА).
Когда таких документов нет или они не охватывают спорную ситуацию, специалист ИБ оказывается в серой зоне. Действуя по наитию или по устной просьбе директора организации или начальника сотрудника, он может оказаться нарушителем. Особенно если конфликт доходит до правоохранительных органов и/или суда.
Размытые формулировки вроде «обеспечивает защиту информации» или «участвует в расследовании инцидентов» не защищают на практике. Если сотрудник пожалуется на вмешательство в личную информацию (нарушение тайны переписки, нарушение неприкосновенности частной жизни), а регламентных оснований не будет - ответственность ляжет на ИБ. Руководство легко скажет: «Я/Мы не давали указаний». И никто не вспомнит, что решения принимались под давлением времени и устных договоренностей.
В результате ИБ-шник оказывается между двух огней. С одной стороны - требование «сделать все быстро и тихо». С другой - отсутствие формальных процедур и гарантий. Плюс - репутационные риски, если дело дойдет до официальных жалоб.
Как выйти из серой зоны?
Решение не в запретах, а в систематизации. Каждая функция службы ИБ, связанная с вмешательством в рабочие процессы сотрудников, должна быть описана в ЛНА:
- правила доступа к рабочим станциям и информации;
- порядок проведения служебного расследования;
- формат фиксации и хранения логов;
- процедуры передачи материалов руководству и другим подразделениям/государственным (правоохранительным) органам;
- условия, при которых допускается удаленный доступ без уведомления.
Эти документы не только делает действия ИБ легальными и легитимными (признаваемые легальными со стороны коллектива), но и защищают самих специалистов. Они позволяют действовать прозрачно, последовательно и в рамках закона.
ИБ в компаниях не должна строиться на доверии, лояльности и личных договоренностях. Это важная функция, затрагивающая права сотрудников, охраняемую законом тайну и интересы бизнеса. И если она остается вне правового поля, то каждый инцидент становится потенциальным скандалом, способным вызвать негативную реакцию коллектива.
Только создание работающей нормативной базы делает ИБ не только эффективной, но и безопасной - в том числе для тех, кто эту безопасность обеспечивает.
Сведения об авторе: Саматов Константин Михайлович, член Правления Ассоциации руководителей служб информационной безопасности
Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ru
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!