Журнал "Information Security/ Информационная безопасность" #3, 2025

• 9 В ФОКУСЕ www.itsec.ru Стереотип: служба ИБ может всё и всегда Многие руководители и сотрудники вос- принимают службу ИБ как некую всеви- дящую структуру, которая может в любой момент зайти на компьютер, скопировать нужный файл, посмотреть переписку и выдать руководству отчет на-гора. В этой логике ИБ существует где-то рядом с классической службой безопас- ности и воспринимается как удобный рычаг оперативного воздействия. Однако техническая возможность что- то сделать – не то же самое, что право- вая или процедурная легальность таких действий. Один из главных системных переко- сов – расхождение между ожиданиями и реальными полномочиями. Формально специалист по ИБ обязан предотвращать утечки, расследовать инциденты, конт- ролировать соблюдение политики без- опасности и т.п. Но как именно он может это делать? Может ли он удаленно подключаться к компьютеру пользователя? Копировать информацию? Передавать ее третьим лицам? Оповещать сотрудника? А руко- водителя организации/сотрудника? Ответ на все эти вопросы должен быть закреплен в локальных нормативных актах. Когда таких документов нет или они не охватывают спорную ситуацию, спе- циалист ИБ оказывается в серой зоне. Действуя по наитию или по устной прось- бе директора организации или началь- ника сотрудника, он может оказаться нарушителем. Особенно если конфликт доходит до правоохранительных органов и/или суда. Размытые формулировки вроде "обес- печивает защиту информации" или "уча- ствует в расследовании инцидентов" не защищают на практике. Если сотрудник пожалуется на вмешательство в личную информацию (нарушение тайны пере- писки, нарушение неприкосновенности частной жизни) 1 , а регламентных осно- ваний не будет, – ответственность ляжет на ИБ. Руководство легко скажет: "Мы не давали указаний". И никто не вспом- нит, что решения принимались под дав- лением времени и устных договоренно- стей. В результате ИБ-шник оказывается между двух огней. С одной стороны – требование "сделать все быстро и тихо", а с другой – отсутствие формальных процедур и гарантий. Плюс – репута- ционные риски, если дело дойдет до официальных жалоб. Как выйти из серой зоны? Решение не в запретах, а в система- тизации. Каждая функция службы ИБ, связанная с вмешательством в рабочие процессы сотрудников, должна быть описана в локальных нормативных актах: l правила доступа к рабочим станциям и информации; l порядок проведения служебного рас- следования; l формат фиксации и хранения логов; l процедуры передачи материалов руко- водству и другим подразделениям/госу- дарственным (правоохранительным) органам; l условия, при которых допускается удаленный доступ без уведомления. Эти документы не только делает дей- ствия ИБ легальными и легитимными (признаваемые легальными со стороны коллектива), но и защищают самих спе- циалистов. Они позволяют действовать прозрачно, последовательно и в рамках закона. ИБ в компаниях не должна строить- ся на доверии, лояльности и личных договоренностях. Это важная функ- ция, затрагивающая права сотрудни- ков, охраняемую законом тайну и интересы бизнеса. И если она оста- ется вне правового поля, то каждый инцидент становится потенциальным скандалом, способным вызвать нега- тивную реакцию коллектива. Только создание работающей норма- тивной базы делает ИБ не только эффек- тивной, но и безопасной – в том числе для тех, кто эту безопасность обеспечи- вает. l Информационная безопасность вне правового поля нформационная безопасность в большинстве небольших компа- ний и государственных учреждений была и остается далеко не технической задачей. Речь идет не только о внутреннем нормо- творчестве (разработке документации), а о том, что специали- сты по ИБ часто оказываются на передовой при так называе- мых корпоративных конфликтах, расследованиях, утечках и даже внутренних проверках лояльности персонала. И это создает риски – прежде всего для самих ИБ-специалистов. И Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: Антон Косицын 1 В рамках данной статьи мы рассматриваем действия сотрудника ИБ исключительно в рамках инфраструктуры организации