УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы А.А. МАЛЮК, О.Ю. ПОЛЯНСКАЯ Московский инженерно-физический институт (государственный университет) КОДЕКС ЭТИКИ В СФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ КАК ОСНОВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В докладе анализируются существующие кодексы этики специалистов в сфере информационных технологий, а также предлагаются возможные подходы к разработке кодексов профессионального поведения с точки зрения обеспечения информационной безопасности. Компьютерная этика еще не сложилась как нормативная дисциплина и как комплекс правил поведения человека, которые заложены в нем самом и подкрепляются социально. Компьютерная этика – это поле исследований, расположенное на грани между новыми технологиями и нормативной этикой и зависящее от них [1]. Однако в последние десятилетия наблюдаются интенсивные попытки ее создания. В 80-е годы ХХ века американскими этиками был введен термин "компьютерный профессионал", обозначающий человека, зарабатывающего на жизнь работой с компьютерами. Здесь имелись в виду не только программисты, системные аналитики, системотехники, продавцы компьютерного оборудования, но и пользователи программных и аппаратных средств. В США попробовали регулировать взаимоотношения между компьютерными профессионалами и обществом посредством "Кодекса профессионального поведения", выработанного Ассоциацией вычислительной техники (Association for Computing Machinery – ACM), По сути, компьютерные профессионалы входят не только в специфические отношения друг с другом, но и получают власть над отдельными людьми, социальными институтами и даже над окружающей средой, поэтому особую актуальность приобретает разработка кодексов профессионального поведения в этой области. В настоящее время существует несколько кодексов профессиональной этики в сфере информационных технологий. Возможно, наиболее известны те, которые были разработаны ассоциацией ACM и институтом инженеров электротехники и электроники IEEE, их совместный кодекс этики и профессиональной практики разработчиков программного обеспечения [3]. В России в 1996 году был принят Национальный кодекс деятельности в области информатики и телекоммуникаций. Специалистам по защите информации адресованы кодексы этики международных организаций: ISBN 5-7262-711-4. XIV Всероссийская научная конференция 92 УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы Ассоциации безопасности информационных систем ISSA [4], Консорциума по сертификации в области безопасности информационных систем IISSCC [5], Ассоциации аудита и контроля информационных систем ISACA [6]. Несмотря на разнообразие кодексов этики трудно выделить документ, который мог бы служить эталоном при разработке стандартов профессионального поведения в области информационной безопасности. Многие кодексы не отражают специфики профессии, они содержат слишком общие каноны, которые охватывают обязательства любого профессионала: честность, компетентность, ответственность, повышение квалификации и т.п. С точки зрения обеспечения информационной безопасности, представляются важными следующие подходы к разработке кодекса профессиональной этики в сфере информационных технологий: 1) кодекс должен разумно сочетать общие этические нормы и правила профессионального поведения в сфере информационных технологий; 2) кодекс должен быть адресован профессионалам в сфере информационных технологий (системным администраторам, разработчикам программного обеспечения, администраторам баз данных, системным аналитикам, специалистам по защите информации, архитекторам безопасности и т.д.), их работодателям и заказчикам (или потребителям), а также всему обществу, и информировать их о том, чего следует ожидать от взаимодействия с лицами этих профессий; 3) кодекс должен убеждать общественность, что компьютерные профессии заслуживают доверия и специального статуса, будут служить интересам общества, придерживаться определенных стандартов, а также стремиться к определенным идеалам; 4) кодекс должен содержать правила, которые защищают общество и продвигают достойный опыт практики; 5) кодекс должен декларировать обязательства профессионалов сфере информационных технологий, он должен быть соглашением не только на основе правил и стандартов, но и на основе ценностей и интересов лиц данной профессии; 6) кодекс должен привлекать внимание профессионалов (и новичков и опытных специалистов) к проблемам сферы информационной безопасности, важность которых, возможно, они ранее не совсем осознавали; 7) кодекс должен быть разработан таким образом, чтобы обеспечить руководство действиями профессионалов в сфере информационных технологий, которые на практике столкнулись с этическими проблемами. ISBN 5-7262-711-4. XIV Всероссийская научная конференция 93 УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы Кодекс профессионального поведения может применяться как механизм социализации. Здесь идея заключается в том, что люди, начинающие работать в данной предметной области, изучив кодекс, быстро поймут, каковы стандарты этой профессии. Если существует кодекс профессионального поведения, то есть некоторая гарантия, что все представители этой профессии будут, по крайней мере, знать о стандартах, закрепленных в кодексе. Наиболее важная функция кодекса этики – сформулировать коллективную мудрость лиц данной профессии [2]. В кодексе этики должно быть собрано то, что лица данной профессии с многолетним опытом работы сочли наиболее важными вещами, о которых необходимо думать и которые следует делать, когда работаешь в данной области. Кодекс является выражением опыта и согласия большинства лиц данной профессии. Список литературы 1. Галинская И.Л., Панченко А.И. Этико-правовое пространство информационнокомпьютерных технологий (Обзор). Теория и практика общественно-научной информации. Вып. 17, М: РАН ИНИОН, 2001. 2. D.G. Johnson. Computer Ethics. Third Edition. Georgia Institute of Technology, PrenticeHall, Inc., 2001. 3. Software Engineering Code of Ethics and Professional Practice. Version 5.2. www.acm.org/service/se/code 4. Information Systems Security Association Code of Ethics. www.issa.org/codeofethics.html 5. International Information Systems Security Certification Consortium Code of Ethics. www.isc2.org 6. Information Systems Audit and Control Association Code of Ethics. www.isaca.org ISBN 5-7262-711-4. XIV Всероссийская научная конференция 94