Informācijas sistēmu drošības pārvaldnieks – tikai smuka izkārtne

Posted

Jau ilgāku laiku LR normatīvie akti nosaka, ka institūcijās, kuru valdījumā atrodas valsts informācijas sistēmas ir jānodrošina drošības pārvaldnieka iecelšana, vai jānodrošina šādas funkcijas piesaiste izmantojot ārpakalpojumu.

Šīs prasības ieviešana kopumā ir vērsta uz vispārējā valsts informācijas sistēmu drošības līmeņa paaugstināšanu, kā arī iestāžu uzmanības vēršanu uz informācijas un informācijas sistēmu drošības nozīmību un kopējās ietekmes apzināšanu iestādes ikdienas darbā. Līdz ar to pēc būtības iestādei piesaistot savu informācijas drošības pārvaldnieku būtu jānodrošina savā valdījumā esošās informācijas un informācijas sistēmu drošības līmeņa paaugstināšana, iekšējās un ārējās kontroles sistēmas izveide, kā arī darbinieku izpratnes līmeņa paaugstināšana par informācijas drošības nozīmē, vienlaikus sniedzot visu nepieciešamo atbalstu informācijas drošības pārvaldības sistēmas ieviešanai un realizācijai ikdienas darbā.

Uz papīra tas viss izskatās ļoti labi un pareizi. Tomēr diemžēl praktiskā pieredze liecina, ka lielākā daļa iestāžu vadības līmeņa darbinieku uz kuriem attiecas šī LR normatīvo aktu prasība, to uztver kā lieku birokrātiju un nevajadzīgu resursu patēriņu.

Tā rezultātā lielā daļā (viennozīmīgi ir identificējami arī ļoti labi piemēri) publikās pārvaldes iestādēs šobrīd veidojas situācija, kad formāli tiek nodrošināta informācijas drošības pārvaldnieka piesaiste, bet faktiski:

  1. tā darbībai netiek sniegts nekāds vai tiek sniegts ļoti minimāls atbalsts no iestādes vadības puses;
  2. informācijas drošības pārvaldības nodrošināšana tiek veiktai „tikai uz papīra”;
  3. informācijas drošības pārvaldnieks praksē pilda tipiska informācijas tehnoloģiju darbinieka pienākumus;
  4. informācijas drošības pārvaldnieka piesaiste netiek nodrošināšana vispār.

Izveidojusies situācijā pilnībā degradē drošības pārvaldnieka lomu iestādē un noved pie situācijas, ka drošības pārvaldnieks praksē ir tikai izkārtne, kuru parādīt brīdī, kad tiek veikts iestādes audits un praksē šīs lomas nozīme nedod ne tuvu gaidīto rezultātu.

Apzinoties esošo situāciju, loģiski rodas jautājums: kā panākt, ka drošības pārvaldnieks patiešām pilda šai lomai noteiktās funkcijas un pienākumus?

Šai gadījumā noteikti nevajag skatīties uz LR normatīvajiem aktiem un sākt domāt, kas tajos būtu maināms. Normatīvo aktu regulējums jau šobrīd ir adekvāts un sniedz pietiekamu atbalstu informācijas un informācijas sistēmu drošības pārvaldības ieviešanai.

Primārā uzmanība ir jāvērš uz iestāžu vadības līmeņa darbinieku izpratnes maiņu par informācijas drošības pārvaldības jautājumiem un to nozīmi iestādes ikdienas darbā, jo ja tiks nodrošināta saiknes izveide iestādes vadība – drošības pārvaldnieks, kurā drošības pārvaldnieks saņem nepieciešamo atbalstu savu pienākumu veikšanai, tad arī pārējās šobrīd pastāvošās problēmas pazudīs, vai to ietekme būs stipri mazāka.

Diemžēl šeit atkal rodas jautājums kā tad mainīt iestāžu vadības attieksmi?

Iespējas laikam ir divas. Pirmā no tām ir uzskatāma par labo, bet otra par ļauno. Labā paredze, ka iestādes vadītājiem obligāti vismaz vienu reizi gadā ir jāapmeklē konferences par informācijas un informācijas sistēmu drošības jautājumiem, piemēram, CERT.LV vai ISACA rīkotās konferences, kuru laikā tiktu veicināta iestāžu vadības izpratne par informācijas drošības. Savukārt ļaunā paredz jau noteiktu atbildību vēršanu pret iestāžu vadītājiem tajos gadījumos, kad iestāžu auditu laikā tiek atklātas būtiskas nepilnības informācijas sistēmu drošības pārvaldības jautājumos. Protams, ļaunā scenārija pielietošana izklausās pēc aicinājuma uz sodīšanu, tomēr diemžēl atkal jāsecina, ka prakse liecina, ka, kamēr dzīvē nepastāv reāli piemēri, kad iestādes vadības līmeņa darbinieki ir tikuši sodīti par noteiktu nepilnību konstatāciju, kurus celt gaisma, informācijas drošības pārvaldnieka teiktais par potenciālajiem informācijas drošības riskiem un to iespējamajām atstātajām sekām uz iestādi, vadītāju ausīm ļoti bieži paslīd garām.

Līdz ar to šobrīd vēl ar vien gribētos saglabāt pārliecību, ka situāciju Latvijā ir iespējams mainīt ar „labā scenārija” metodēm un iestāžu vadītāji spēs aizdomāties par to, ka arī viņu vadītās iestādes informācija ir interesants mērķis kādam nelūgtam viesim.