Культура безопасности и корпоративная этика
Культура безопасности — часть общей культуры, тесно связанная с людьми, с тем, что называется человеческим фактором. Не удивительно, что одними из первых акцентировали на этом внимание атомщики — после Чернобыльской катастрофы.
Культура безопасности — часть общей культуры, тесно связанная с людьми, с тем, что называется человеческим фактором. Не удивительно, что одними из первых акцентировали на этом внимание атомщики — после Чернобыльской катастрофы. Благодаря им термин «культура безопасности» вошел в широкое обращение. Конечно, для объективности можно вспомнить Михаила Жванецкого, связавшего культуру и безопасность в образе «искусствоведа в штатском», но это отдельная тема.
На сегодняшний день существует около 150 проанализированных специалистами определений данного термина (яркие примеры: А. Кребер, К. Клакхон, Э. Тайлор). Не вдаваясь в философские, онтологические и прочие споры, остановимся на следующем: Культура — это система ценностей, жизненных представлений, образцов поведения, норм, совокупность способов и приемов человеческой деятельности, передаваемых последующим поколениям. Если говорить еще короче, то культура — «это основа, позволяющая людям интерпретировать свой опыт и направлять свои действия».
Казалось бы, при чем здесь безопасность? В последнее время под исчерпывающими мерами защиты информации принято понимать правовые, организационно-административные и технические. Не многие из специалистов по информационной безопасности уделяют внимание культурно-этическим нормам защиты. Пока неожиданно и остро не приходит осознание того, что безопасность — в первую очередь люди и их взаимоотношения.
У нас появились новые термины — «этический», «этика». Что же они означают и почему данное философское понятие оказывается настолько важным? Дело в том, что этика (в частности, этика взаимоотношений) является одной из важнейших составляющих любой культуры. Если мы посмотрим в словарь, то увидим, что слово «этика» происходит от греческого etos — «обычай». Но во времена Аристотеля, предложившего термин «этика», этос подразумевал не только «обычай», а имел несколько смыслов. Этос — привычное место обитания, жилище, звериное логово. Позже так стали называть устойчивую природу какого-либо явления, обычай, привычку, нрав, характер, темперамент. Еще одно значение слова «этос» — характер и судьба отдельного человека.
Этика включает нормативную этику и теорию морали. Морали мы сегодня касаться не будем, а если говорить о нормативной этике — это наука о благе, добре, зле с точки зрения общества и конкретных сообществ, которая позволяет выработать кодекс поведения, определить, какое поведение является хорошим с точки зрения сообщества (корпорации), что одобряемо и что отвергаемо сообществом, или ведет к его разрушению. Акцентируем внимание на последних словах — «то, что ведет к разрушению сообщества».
Культура, этика... безопасность?
Вспоминая исторические основы и значения слова «этос», напомним фразу одного из героев книги «Специалист по этике» Гарри Гаррисона: «Любые нравственные законы историчны и относительны. И ни в коем случае не абсолютны. Они связаны со временем и местом и теряют всякий смысл, будучи вырванными оттуда».
Различные сообщества могут иметь (и имеют) свои собственные этические кодексы. Есть неписаные этические кодексы замкнутых функциональных или профессиональных групп (например, хакерских групп, преступных или, наоборот, благотворительных сообществ). Но сегодня мы попытаемся говорить о корпоративной этике. На наш взгляд, одно из наиболее четких определений звучит так:
«Корпоративная этика — это культура поведения сотрудников организации, их убеждения, традиции, уровень взаимоотношений между руководителями среднего звена и работниками, между структурными подразделениями организации, а также между организацией, ее клиентами и партнерами».
Мы считаем, что этика не только определяет и задает понятие «хорошего» поведения, но и препятствует разрушению сообществ, будучи тесно связанной с безопасностью (в том числе информационной).
Этика, определяя общие правила поведения и взаимоотношений, позволяет развиваться сообществам, обеспечивает их стабильное состояние и препятствует разрушению. Нормы этики являются неотъемлемой частью безопасности, культуры безопасности и культуры в целом.
Безопасность
Понятие «безопасность» (в нашем случае «информационная безопасность»), так же как и «культура», имеет сотни толкований, над которыми спорят ученые мужи и представители «компетентных органов» разных стран. Есть множество определений информационной безопасности (ИБ), но одно из лучших, на наш взгляд, дано в Законе РФ «Об участии в международном информационном обмене»:
«Информационная безопасность — это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций и государства».
Мы считаем, что «безопасность» — то, что защищает сообщество от разрушения и поддерживает его существование. Вернемся к определению этоса. Привычное место обитания, жилище, звериное логово. Организация. Информационная система. Люди. Судьба.
Перейдем к формальным определениям.
Политика безопасности организации — это одно или несколько правил, процедур, практических приемов или руководящих приказов в области безопасности, которыми руководствуется организация в своей деятельности». (ГОСТ Р ИСО/МЭК 15408-2002 г.)
Соблюдение политики информационной безопасности в значительной степени является элементом корпоративной этики. Поэтому на уровне сообщества, независимо от юридической формы, отношения в коллективе, в том числе межличностные, становятся одним из ключевых факторов безопасности.
К слову о рисках
Обратим внимание еще на один термин — «риск».
Риск — это возможность возникновения неблагоприятной ситуации или неудачного исхода, связанных с реализацией внешних или внутренних угроз.
Есть, конечно, и другая сторона. «Кто не рискует, тот не пьет шампанское». Но данный аспект риска мы оставим для следующей статьи.
О каких (негативных) рисках мы говорим в случае информационной безопасности?
Во-первых, риски, связанные с утечкой (разглашением) информации (персональные данные, ДСП, коммерческая тайна, конфиденциальная информация, иная информация ограниченного распространения). Они влекут за собой дисциплинарную, административную, гражданско-правовую, уголовную ответственность. В том числе ответственность руководителей — организаций, органов местного самоуправления, органов власти.
Во-вторых, это риски, связанные с блокированием доступа к информационным ресурсам, изменением информации, утратой или уничтожение информации. Реализация таких рисков приводит к потере доверия к органам власти, вызывает связанные социально-политические риски, приводит к экономическим и имиджевым потерям.
Еще одна группа рисков — несогласованная оценка и обсуждение действующими государственными и муниципальными служащими деятельности органов власти на общедоступных ресурсах. Эти риски влекут за собой компрометацию института власти как такового. Чуть дальше мы увидим конкретные примеры.
Системные проблемы защиты информации
Что мешает нам обеспечить, как говорилось выше, «необходимый уровень взаимоотношений между руководителями среднего звена и работниками, между структурными подразделениями организаций, а также между организациями, их клиентами и партнерами»? Обозначим некоторые типовые проблемы.
Во-первых, недостаточная мотивированность (а в ряде случаев и полная демотивированность) сотрудников, трудящихся, казалось бы, «в одном поле». Причем финансовое стимулирование — важный, но отнюдь не ключевой элемент мотивации.
Во-вторых, невыстроенность информационных потоков внутри организации. Часто возникают ситуации, когда соседние подразделения не осведомлены о работе друг друга, сотрудники не видят и не понимают общие цели организации, а руководство плохо представляет, что происходит «на земле».
В-третьих, неизбежные межличностные конфликты на различных уровнях, в худшем случае приводящие к образованию «клик», замкнутых сообществ со своими целями и этическими правилами, зачастую конфликтующими с целями и этикой организации в целом.
Сюда же следует отнести вероятные конфликты целей «выделенных» структурных подразделений с общими целями организации.
К отдельной проблеме из области безопасности можно отнести непонимание перечня защищаемой информации. Это выражается как в излишне свободном отношении к конфиденциальной информации, так и в стремлении «закрыть» информацию, распространение которой нельзя принципиально ограничить.
Еще один момент — конфликт интересов. Личная заинтересованность может привести к ущербу для организации. Такой риск безусловен. Но, что любопытно, часто за конфликт интересов принимают отсутствие общего языка, обеспечивающего взаимодействие.
И последний (в рамках этой статьи) момент. Внешние негативные воздействия. Они могут иметь весьма широкий спектр, например, сознательное использование «агентов влияния» и инсайдеров третьими лицами, давление со стороны отдельных СМИ, распространение слухов и т. п.
Поговорим о прецедентах
Выше мы обещали представить конкретные примеры, показывающие роль культуры безопасности. Итак:
Прецедент Сноудена — широковещательное распространение конфиденциальной и секретной информации доверенным (имеющим соответствующие допуски) лицом из идеологических соображений. Это не вопрос шпионажа, а вопрос именно этики и культуры безопасности.
Прецедент «Энрона» — во время скандального банкротства крупнейшей американской энергетической компании «Энрон» (1991 год) большая часть компрометирующих материалов была получена из внутренней переписки сотрудников компании.
Прецедент «23 февраля» — поздравления жен офицеров из различных воинских частей, опубликованные в социальных сетях, фактически раскрывали структуру и дислокацию многих подразделений Российской армии. Аналогичные прецеденты — публикации женами высокопоставленных чиновников материалов и фотографий, буквально разглашающих сведения, относящиеся к защищаемой информации.
Прецеденты с инсайдерами — сознательное раскрытие или использование конфиденциальной информации в личных целях.
Прецеденты «обиженного администратора» — ситуации, в которых лицо, имеющие доступ к управлению ресурсами, в состоянии обиды использует свои возможности для нарушения работы систем или для дискредитации отдельных лиц или организаций. Один из наиболее оригинальных случаев — уволенный системный администратор муниципального образования, воспользовавшись незакрытым доступом к компьютеру главы поселения, в ночь перед прибытием в муниципалитет проверки стер с компьютера главы всю ценную информацию и закачал большое количество порнографических материалов.
Прецеденты класса «война престолов» — распространение противоборствующими «кликами» и «кланами» компрометирующей друг друга информации в Сети, без оценки последствий такой информационной войны.
Прецедент «червяк на тарелке» — публикация публичными деятелями ненадлежащей или спорной информации в социальных сетях или персональных блогах («червяк на тарелке» — фотография червяка на тарелке во время приема в Кремле была опубликована в Twitter бывшим губернатором Тверской области Зелениным).
«Синдром гонца» — в древние времена гонцов, приносившие неприятные вести, часто казнили. В наше время в процессе передачи информации «по вертикали» негативная информация часто скрывается, изменяются факты, общая картина изменяется в лучшую сторону. Так, по версии ряда источников, во время ГКЧП 1991 года высшее руководство (в том числе руководство ряда специальных служб) фактически не получало информации о реальном состоянии дел на местах, из-за боязни местных функционеров.
Пути решения системных проблем
В начале статьи мы много говорили о вещах, имеющих некоторый философский оттенок, но при этом обозначили основные задачи, позволяющие достичь заданных целей. Посмотрим на реальные пути решения таких задач.
Помните, «Политика безопасности организации — это одно или несколько правил...». Постараемся обозначить основные правила, точнее, области, для которых такие правила определяются. Ведь в начале было Слово.
· Разработка общих, высокоуровневых правил, политик и кодексов
· Разработка нормативно-методических и организационно-распорядительных документов.
В части методов, обеспечивающих взаимодействие субъектов профессиональных отношений (и иных отношений в организации), требуется решение следующих задач:
· Информирование
· Мотивация
· Обучение
· Контроль
В части построения организационных структур (организационного проектирования):
· Оптимизация организационных структур с целью получения максимальной эффективности
· Планирование мероприятий
· Организация обратной связи
· Комплексный подход к безопасности
В части технической инфраструктуры:
· Создание среды информационного обмена
· Реализация (с технической точки зрения) политик безопасности
· Внедрение системы предотвращения «цифровых утечек» — утечек конфиденциальной информации (так называемые DLP-системы, направленные на предотвращение угроз со стороны «внутренних нарушителей»)
· Реализация комплексного мониторинга и анализа как событий безопасности, так и эффективности соответствующих процессов в целом.
От теории к реальности. Как мы действовали
Итак, вначале было Слово. Точнее, «Кодекс корпоративной этики». На самом деле, к моменту разработки кодекса существовало, реально или виртуально, множество слабосвязанных между собой документов, определяющих те или иные аспекты безопасности. Были камни. Но не было стены. Кстати, изначальный смысл слова «кодекс» — укладка камней, построение стен и сооружений, и только на исходе Средних веков термин приобрел значение «свод законов».
Кодекс корпоративной этики (точнее, «Кодекс корпоративной, профессиональной этики и служебного поведения») изначально был разработан для Центра информационных технологий (государственное автономное учреждение Республики Коми ГАУ РК ЦИТ). С одной стороны, он определил базовые понятия (например, «конфликт интересов», «защищаемая информация», «личная выгода»), с другой — регламентировал общие правила служебного поведения, правила обращения с информацией, с финансовыми средствами, материально-техническими и иными ресурсами. Кодекс также определил порядок регулирования вопросов, связанных с возникновением конфликтов интересов, ответственность сотрудников и руководителей подразделений, порядок и процедуры информирования.
После того как кодекс был апробирован в Центре информационных технологий, его растиражировали в учреждения, подведомственные Комитету информатизации и связи.
Несколько слов о структуре органов, обеспечивающих информатизацию в Республике Коми. Головная организация, формирующая и обеспечивающая развитие информационного общества в Республике (в частности, развитие электронного правительства во всех его аспектах и ипостасях), — Комитет информатизации и связи. Его помощниками являются подведомственные учреждения — Центр информационных технологий, Центр безопасности информации, Территориальный фонд информации, многофункциональные центры.
И это не только структурные единицы, конфигурационные элементы технической инфраструктуры и каналы связи, а прежде всего люди, объединенные общей деятельностью , имеющие свои интересы, персональные пространства общения и взаимодействия как внутри организации, так и за ее пределами. Это обычаи, привычки, работа как «второй дом» и собственно дом, семьи, отношения между сотрудниками, сотрудниками и руководством, нравы и темпераменты, судьбы отдельных людей. И судьба организаций и всего процесса информатизации в целом. Вспомним определение слова «этос».
Таким образом, корпоративная этика в нашем случае является ключевым элементом для обеспечения стабильности, безопасности, развития процессов информатизации и информационного общества. Кстати, хочется отметить, что информатизация — это не синоним автоматизации. К машинам и алгоритмам как таковым никакая этика неприменима. Они только артефакты общей человеческой культуры. А вот информатизация имеет дело с организацией информационных потоков между людьми, сообществами, структурами, и понятие «безопасность» по отношению к информационному обществу приобретает общекультурное значение.
Шаги по внедрению и развитию
В ходе работ по внедрению кодекса были проведены беседы со всеми сотрудниками и руководителями, выявлены ключевые проблемы и проблемы, которые были «не на виду». Все это учитывалось при разработке взаимоувязанных политик, регламентов, инструкций.
В настоящее время со всеми кандидатами на вакантные должности в обязательном порядке проводится собеседование, регулярно (раз в месяц) проходят инструктажи по ИБ для сотрудников, организован контроль эффективности основных процессов, контроль за реагированием на события безопасности, налажена обратная связь с сотрудниками.
Проведен анализ существующих информационных потоков и информационных систем. В перспективе — создание общих схем, позволяющих отобразить всю сеть взаимодействий между различными объектами и субъектами. Такие схемы предоставляют актуальную информацию о факторах, существующих элементах и их взаимовлиянии.
Одной из важных задач является создание эффективной среды и системы внутреннего контроля. Здесь мы делаем первые шаги. Подготовлена необходимая нормативная база, развертывается DLP-система для предупреждения утечки конфиденциальной информации.
Если говорить в общем, то в ИТ-сфере Республики Коми успешно формируется среда взаимодействия, в которой реализуются принципы корпоративной этики, создается «этос», в конечном счете обеспечивающий безопасность функционирования и развития информационного общества.
Михаил Елагин, руководитель референтуры Центра информационных технологий Республики Коми
Опубликовано 02.10.2014