Очень понравилась картинка, опубликованная в блоге Алексея Лукацкого, что я решил её разместить у себя в блоге, снабдив её своими примечаниями, которые и раньше всегда хотел высказать.
Вначале перечислю слова-принципы, изображенные на ней:
• Liberty – Свобода;
• Justice – Справедливость;
• Equality – Равенство;
• Freedom – Независимость.
Конечно, каждое понятие имеет несколько схожих значений в переводе на русский язык и в чем-то они пересекаются, поэтому я привел только их основные значения.
Известно, что безопасность и информационная в частности всегда затрагивает права и свободы человека. Есть даже сравнение, что безопасность и удобство это палка о двух концах.
Возьмем модную сейчас ситуацию, когда сотрудник организации решил работать со своим мобильным устройством на рабочем месте и просит открыть ему доступ к ИТ ресурсам организации. Он клянется, что будет работать эффективнее, будет работать дома и в метро, и даже не будет просить прибавки к своей скудной зарплате. Вроде бы это выгодно работодателю. И не нужно посягать ни на Свободу, ни на Справедливость, ни на Равенство, ни на Независимость.
Однако часто работодатель запрещает подобные схемы работы, боясь утечек конфиденциальной информации. Да и нет никаких гарантий, что сотрудник не перестанет работать вообще, увлекшись своими играми на планшете с утра до вечера. А в итоге все понятия нарушаются одним росчерком пера в Политики ИБ, запрещающей такие схемы работы, под которой все сотрудники ставят свои подписи. Впрочем, в настоящее время наметилась тенденция на разрешение такой схемы работы, но с применением многочисленных «хитроемких» технологий ограничения и контроля. Так что с этими принципами будет в этой ситуации?
Теперь возьмем более приземленный пример. Обычное рабочее место обычного сотрудника обычной финансовой организации. По умолчанию, всё запрещено. Нет прав локального администратора, установлен антивирус, межсетевой экран, отключены USB-порты. Вдобавок в организации ведется запись логов и используется DLP. Таким образом, все сидят под колпаком службы ИБ. Все это также прописано в Политике ИБ, под которой все сотрудники также расписались. Нарушены ли вышеперечисленные принципы?
Риторический вопрос, а возможна ли безопасность без посягательств на права и свободы человека и гражданина в принципе, и если возможна, то как и чем её достичь?
Концептуальные моменты...На мой взгляд альтернатив может быть только две. Либо мы как служба ИБ снимаем контроль и доверяем субъектам, либо рассматриваем субъектов как потенциальных злоумышленников и в этом случае документируем и согласовываем с ним степень возможных нарушений его прав и свободы. Третьего ИМХО не дано. Понятно, что с точки зрения нормальной политики ИБ ситуации первого типа должны быть сведены к минимуму.
ОтветитьУдалить