Вопрос культуры и этики специалистов по информационной безопасности становится все более актуальным по мере развития отраслей (ИТ и ИБ) в целом, отдельных СУИБов, да и просто "взросления" конкретных специалистов. Можно довольно долго обсуждать, каких принципов и ценностей должны придерживаться в своей работе руководители служб ИБ, пентестеры и аудиторы, но лучше для начала изучить уже готовые модели.
Во-первых, стоит вспомнить, что все сертифицированные специалисты ISACA (CISA, CISM, CGEIT, CRISC) обязаны ознакомиться и соблюдать "Кодекс профессиональной этики" (" Code of Professional Ethics "), состоящий из 7 пунктов (текст на русском - это мой вольный, обобщающий тезис):
- Ориентир на "лучшие практики": Support the implementation of, and encourage compliance with, appropriate standards and procedures for the effective governance and management of enterprise information systems and technology, including: audit, control, security and risk management.
- Обеспечение объективной и качественной работы: Perform their duties with objectivity, due diligence and professional care, in accordance with professional standards.
- Предоставление необходимой информации заинтересованным лицам, обеспечение профессиональнаяой этики: Serve in the interest of stakeholders in a lawful manner, while maintaining high standards of conduct and character, and not discrediting their profession or the Association.
- Обеспечение конфиденциальности информации: Maintain the privacy and confidentiality of information obtained in the course of their activities unless disclosure is required by legal authority. Such information shall not be used for personal benefit or released to inappropriate parties.
- Развитие собственных компетенций: Maintain competency in their respective fields and agree to undertake only those activities they can reasonably expect to complete with the necessary skills, knowledge and competence.
- Обечпечение прозрачности своей работы, результатов: Inform appropriate parties of the results of work performed including the disclosure of all significant facts known to them that, if not disclosed, may distort the reporting of the results.
- Повышение осведомленности других: Support the professional education of stakeholders in enhancing their understanding of the governance and management of enterprise information systems and technology, including: audit, control, security and risk management.
Идеи хорошие, но на мой взгляд, они скорее направлены на консультантов и аудиторов.
Во-вторых, имеет смысл обратить внимание на "Принципы практикующих специалистов по ИБ" ( Principles for Information Security Practitioners ), принятые ISF, ISACA и (ISC)². Кстати, именно эти принципы упоминаются в COBIT5 for Information Security в рамках "Enablers:1.Principles, Policies and Frameworks".
Всего принципов 12, они объединены в 3 группы:
А. Оказывать поддержку деятельности организации (Support the business)
- А1.Сосредоточиться на работе организации (Focus on the business)
- A2.Обеспечивать качество и ценность своей работы для заинтересованных лиц (Deliver quality and value to stakeholders)
- A3.Соблюдать соответствующие законодательные и нормативные требования (Comply with relevant legal and regulatory requirements)
- A4.Своевременно предоставлять точную информацию о реализации мер информационной безопасности (Provide timely and accurate information on security performance)
- A5.Оценивать текущие и будущие (возможные) угрозы информационной безопасности (Evaluate current and future information threat)
- A6.Содействовать постоянному совершенствованию информационной безопасности (Promote continuous improvement in information security)
B. Защищать организацию (Defend the business)
- B1.Использовать риск-ориентированный подход (Adopt a risk-based approach)
- B2.Защищать информацию ограниченного доступа (Protect classified information)
- B3.Концентрироваться на критичных бизнес-приложениях (Concentrate on critical business applications)
- B4.Разрабатывать системы с учетом принципов безопасности (Develop systems securely)
C. Содействовать формированию ответственного подхода к информационной безопасности (Promote responsible security behaviour)
- C1.Вести себя профессионально и этично (Act in a professional and ethical manner)
- C2.Развивать культуру уважительного отношения к безопасности (Foster a security-positive culture)
Я подготовил перевод оригинального документа (постер с принципами, задачами и описанием), но разбил его на 2 части. Это было сделано из-за того, что описание получилось слишком громоздким и, на мой взгляд, не очень созвучным для русскоговорящих читателей.
Вот итоговый документ:
Principles for-info-sec-practitioners-poster [ru] from Andrey Prozorov
Для российского менталитета не просто воспринимать некоторые из этих принципов. Так, например, особую сложность может вызвать идея "заинтересованных лиц" и "предоставления им ценности" своей работой. У нас пока основным драйвером ИБ является не бизнес, а государство со своими (обычно запретительными) требованиями...
Однако, современным менеджерам по ИБ уже сейчас стоит если и не принимать, то хотя бы понимать общемировые "лучшие практики" и подходы. Как показывает опыт, они к нам приходят, хоть и с опозданием на 5-7 лет... Вот даже ФСТЭК России в своих документах стали упоминать 27001 (хотя и ГОСТ) и "экономическую целесообразность" и другие "революционные" идеи :)))