כללי אתיקה בביקורת בבקרה ובאבטחת מערכות מידע

דרור אביב, עו"ד (רו"ח) CISA[1]

 

נא להקיש כאן לטבלת כללי האתיקה

1.       מבוא. 2

2.       אתיקה. 2

2.1     מהי אתיקה     2

2.2     הצורך באתיקה  2

2.3     הנהנים מכללי האתיקה  3

2.3.1 כללי 3

2.3.2 מקבלי השירותים  3

2.3.3 נותני השירותים  3

2.3.4 צד שלישי - הציבור  3

3.       כללי האתיקה הקודמים של האיגוד  4

4.       כללי אתיקה של ISACA  4

4.1     הארגון ומטרותיו 4

4.2     כללי האתיקה באנגלית   5

4.3     כללי האתיקה בתרגום חופשי 5

5.       כללי אתיקה של ISC2. 6

5.1     הארגון ומטרותיו 6

5.2     כללי האתיקה באנגלית   6

5.3     כללי האתיקה בתרגום חופשי 8

6.       כללי אתיקה של ISSA. 10

6.1     הארגון ומטרותיו 10

6.2     כללי האתיקה באנגלית   10

6.3     כללי האתיקה בתרגום חופשי 10

7.       כללי האתיקה של DRI 11

7.1     הארגון ומטרותיו 11

7.2     כללי האתיקה באנגלית   11

7.3     כללי האתיקה בתרגום חופשי 12

8.       כללי האתיקה של האיגוד הישראלי 12

9.       מבנה הכללים  13

10.     השוואה בין הכללים השונים  13

10.1     כללי 13

10.2     כללים בחו"ל שלא אומצו 14

10.2.1 סמכות משפטית   14

10.2.2 עדיפות בניגודי עניינים  14

10.2.3 העדפת בעלי הסמכה  15

10.3     כללים בחו"ל שהותאמו 15

10.3.1 נטילת מטלות   15

10.3.2 תקנים, נהלים ואמצעים  17

11.     כללי האתיקה ככללים הצהרתיים. 18

12.     השלכות האתיקה על ההתנהגות האישית   18

12.1     כללי 18

12.2     הצורך המקצועי ברמה מוסרית אישית   18

12.3     הסמכות לדרישות במישור האישי 18

12.4     מידת המוסריות האישית   19

13.     משמעות אי-עמידה בכללי האתיקה. 19

14.     סיכום. 19

 

 

1.                   מבוא

האיגוד הישראלי לביקורת ואבטחת מערכות מידע קבע כללי אתיקה חדשים (בתוקף מיום 1/9/2000). כללים אלה מתייחסים לחברי האיגוד ולמוסמכים לעסוק בתחומי הביקורת, הבקרה והאבטחה של מערכות מידע.

מטרת המאמר היא הצגת נושא האתיקה, הצגת הכללים בעולם ובארץ, ובחינת השלכות שונות של הכללים.

 

2.                   אתיקה

2.1     מהי אתיקה

אתיקה[2] - היא תורת ההתנהגות - מגדירה את כללי המותר והאסור בהתנהגותו של האדם.

 

מילון אבן שושן מגדיר אתיקה: "מוסר, תורת המידות; התורה המתארת את הטוב שיבחר לו האדם ואת הרע שעליו להתרחק ממנו". מילון אבן שושן מגדיר אתיקה מקצועית: "התנהגות לפי כללי המקצוע".

 

כיום מקושר המונח "אתיקה" עם כללי התנהגות של אנשי מקצוע כדוגמת: רופאים, עורכי-דין, רואי-חשבון וכדו'.

 

לענייננו, אתיקה היא אוסף כללי התנהגות של העוסקים בביקורת בבקרה ובאבטחה של מערכות מידע.

 

2.2     הצורך באתיקה

לאורך השנים ראו פילוסופים את תורת המידות כאמצעי להשגת הטוב והאושר לאדם. עם השנים מושג הטוב והאושר השתנו.

השיפוט[3] בין טוב לרע הוא המכשיר, שבו משתמש השכל כדי לחיות על-פי הטבע, מה שיביא לאדם את הטוב והאושר.

בני אדם בדרך-כלל מחשיבים את המוסר כטוב והיפוכו כרע, מפני שהוא משמש מכשיר להשגת הטוב האמיתי בעיניהם.

 

 

 

 

 

2.3     הנהנים מכללי האתיקה

2.3.1         כללי

כאמור, אנו נזקקים לאתיקה כדי שיהיה לנו טוב. מיהם המסתתרים מאחורי המונח "לנו"?

המונח "לנו" מתייחס לצרכני כללי האתיקה: מקבלי השירותים, נותני השירותים והציבור.

 

2.3.2         מקבלי השירותים

כללים אלה מגינים על מקבל השירותים מבעלי מקצוע. מקבל השירות יודע למה לצפות מאותם נותני שירותים. הוא מפקיד בידיהם את גופו, את בעיותיו, את כספו, את מערכותיו ועוד דברים חשובים, ומצפה מהם לפעול לטובתו הוא ולא לטובת גורם אחר.

כך גם לגבי הנזקקים לשירותי ביקורת, בקרה ואבטחה של מערכות מידע.

 

2.3.3         נותני השירותים

בד בבד, נותנים הכללים הגנה לנותני השירותים. כללי אתיקה אלה מגדירים את גבולות האחריות של נותני השירותים. כך למשל לא יכול חולה לדרוש מרופא לתת לו טיפול, שהרופא אינו חושב מקצועית, שיש לתיתו. כך למשל לא יכול לקוח לדרוש מרואה החשבון לתת לו אישורים, שידוע שהנתונים בהם אינם נכונים. כך לא יכול לקוח לדרוש מעורך דינו חוות דעת שברור שהיא מנסה להכשיר מעשה שלא יעשה.

כך גם נותנים כללי האתיקה הגנה לעוסקים בביקורת בבקרה ובאבטחה של מערכות מידע. כאשר לקוח מבקש מאנשי המקצוע להכין דוח ולתת המלצות לגבי מערכת מסוימת, וזאת ללא ביצוע בדיקות נאותות, יכול איש המקצוע לסרב להמליץ, בהתבססו על כללי האתיקה.

 

2.3.4         צד שלישי - הציבור

כללי האתיקה נותנים מענה והגנה לא רק לצדדים הישירים - נותני השירותים ומקבליהם. כללי האתיקה אף נותנים מענה והגנה לצד שלישי העשוי להסתמך על השירות שניתן.

הציבור בכללותו נהנה מהעובדה שרואי החשבון פועלים על פי מסגרת של כללי אתיקה, וכך יכול הציבור לפעול בהסתמך על חוות דעת ואישורים של רואי החשבון.

הציבור בכללותו נהנה מהעובדה שהוא יכול לטייל ברחובות ללא חשש שמא יתמוטטו עליו הבניינים, שתוכננו על ידי מהנדסים, הנותנים אישורים במסגרת של כללים מקצועיים ושל כללי אתיקה.

הציבור יכול להסתמך על מערכות שהוא יודע שהן מבוקרות ויש בהן אמצעי אבטחה ואמצעי בקרה, המוטמעים על-ידי אנשי מקצוע, הכפופים לכללי אתיקה.

 

 

 

 

 

 

 

 

3.                   כללי האתיקה הקודמים של האיגוד

לצורכי נוחות והשוואה, מובאים להלן כללי האתיקה הקודמים של האיגוד (מלפני יום 1/9/2000).

 

א.           לציית לתקנים המקצועיים, שאומצו על-ידי האיגוד הישראלי לביקורת ואבטחת מערכות מידע.

ב.           לפעול לתועלת ההנהלות, בעלי המניות, הלקוחות וכלל הציבור בשקדנות, בנאמנות, בהגינות, ומבלי לקחת חלק, במודע, בפעילות בלתי חוקית או בלתי נאותה כלשהי.

ג.            לשמור על סודיות המידע הנחשף בפניהם בעת ביצוע תפקידם. לא לעשות שימוש במידע זה לתועלתם האישית ולא להעבירו לידי גורמים לא מוסמכים.

ד.           לבצע את תפקידם, באופן אובייקטיבי ובלתי תלוי ולהימנע מפעילויות הפוגעות או עלולות להיראות כפוגעות באי-תלותם.

ה.           לשמור על מומחיות, יכולות וכישורים מקצועיים על-ידי השתתפות בפעילויות לפיתוח ולקידום מקצועי.

ו.            לעודד השתלמויות של ההנהלות, הלקוחות וכלל הציבור להעמקת הבנת תחומי עיסוקם.

ז.            לקיים רמת התנהגות מוסרית גבוהה, בתחום המקצועי והאישי.

ח.           לידע את הגורמים המתאימים בממצאי עבודתם.

ט.           לתמוך ביצירת תקנים, נהלים ואמצעי בקרה למערכות מידע וציות להם.

י.            לנקוט זהירות ראויה בעת ביסוס מסקנות והמלצות, על-ידי השגת תיעוד וחומר עובדתי מספק.

 

נציין, שכללי האתיקה הקודמים היו מוכווני ביקורת ולא היו מוכווני בקרה ואבטחה, אם כי הם כוללים כללים המתאימים גם לאנשי הבקרה והאבטחה.

 

4.                   כללי אתיקה של ISACA

4.1     הארגון ומטרותיו

הארגון ה-ISACA (ISACA - Information System Audit and Control Association), שכתובתו www.isaca.org, מאגד את העוסקים בתחומי הביקורת והבקרה של מערכות מידע, עוסק בהכשרה ובפרסומים מקצועיים בתחומים אלה. כמו כן עוסק הארגון בהסמכה בתחום הביקורת של מערכות מידע. האיגוד הישראלי לביקורת ואבטחה מהווה סניף של ISACA.

 

 

 

 

 

 

 

4.2     כללי האתיקה באנגלית

 

The Information Systems Audit and Control Association, Inc. sets forth this Code of Professional Ethics to guide the professional and personal conduct of members of the Association and/or holders of the Certified Information Systems Auditor designation.

Certified Information Systems Auditors shall:

1.        Support the establishment of and compliance with appropriate standards, procedures, and controls for information systems.

2.        Comply with Information Systems Auditing Standards as adopted by the Information Systems Audit and Control Association.

3.        Serve in the interest of their employers, stockholders, clients and the general public in a diligent, loyal and honest manner, and shall not knowingly be a party to any illegal or improper activities.

4.        Maintain the confidentiality of information obtained in the course of their duties. The information shall not be used for personal benefit nor released to inappropriate parties.

5.        Perform their duties in an independent and objective manner, and shall avoid activities which threaten, or may appear to threaten, their independence.

6.        Maintain competency in the interrelated fields of auditing and information systems through participation in professional development activities.

7.        Use due care to obtain and document sufficient factual material on which to base conclusions and recommendations.

8.        Inform the appropriate parties of the results of audit work performed.

9.        Support the education of management, clients, and the general public to enhance their understanding of auditing and information systems.

10.   Maintain high standards of conduct and character in both professional and personal activities.

 

 

בנספח למאמר מצורפת טיוטת כללי אתיקה של ISACA (מועד אחרון לתגובות 31/10/2000)[4], שבה נוסף הכלל הבא:

Perform only those activities which they can reasonably expect to complete with professional competence.

דיון בענין סעיף זה יובא בהמשך.

 

4.3     כללי האתיקה בתרגום חופשי

להלן מובאים כללי האתיקה של ISACA בתרגום חופשי. לכללים אלה צורף ספרור וכן הגדרת נושא.

 

 

5.                   כללי אתיקה של ISC2

5.1     הארגון ומטרותיו

ארגון ה-ISC2 International Information Systems Security Certification Consortiom, Inc., שכתובתו היא www.isc2.org, עוסק בהסמכת העוסקים באבטחת מערכות מידע CISSP Certified Information Systems) Security Professionals). פעילויותיו כוללות מבחן הסמכה, סמינר הכנה למבחן ההסמכה, רישום ומעקב אחר דיווחי בעלי ההסמכה אודות השתלמויות מקצועיות שוטפות.

 

5.2     כללי האתיקה באנגלית

 

 

A.          Code of Ethics Preamble:

·        Safety of the commonwealth, duty to our principals, and to each other requires that we adhere, and be seen to adhere, to the highest ethical standards of behavior.

·        Therefore, strict adherence to this code is a condition of certification.

B.          Code of Ethics Canons:

·        Protect society, the commonwealth, and the infrastructure.

·        Act honorably, honestly, justly, responsibly, and legally.

·        Provide diligent and competent service to principals.

·        Advance and protect the profession.

The following additional guidance is given in furtherance of these goals.

C.          Objectives for Guidance

·        Give guidance for resolving good v. good and bad v. bad dilemmas.

·        To encourage right behavior.

·        For example, teaching

·        Valuing the certificate

·        "Walking"

·        Discourage certain common but egregious behavior.

·        Crying wolf

·        Consenting to bad practice

·        Attaching weak systems to the public net

·        Consorting with hackers

D.          Protect society, the commonwealth, and the infrastructure

·        Promote and preserve public trust and confidence in information and systems.

·        Promote the understanding and acceptance of prudent information security measures.

·        Preserve and strengthen the integrity of the public infrastructure.

·        Discourage unsafe practice.

E.          Act honorably, honestly, justly, responsibly, and legally

·        Tell the truth; make all stakeholders aware of your actions on a timely basis.

·        Observe all contracts and agreements, express or implied.

·        Treat all constituents fairly. In resolving conflicts, consider public safety and duties to principals, individuals, and the profession in that order.

·        Give prudent advice; avoid raising unnecessary alarm or giving unwarranted comfort. Take care to be truthful, objective, cautious, and within your competence.

·        When resolving differing laws in different jurisdictions, give preference to the laws of the jurisdiction in which you render your service.

F.          Provide diligent and competent service to principals

·        Preserve the value of their systems, applications, and information.

·        Respect their trust and the privileges that they grant you.

·        Avoid conflicts of interest or the appearance thereof.

·        Render only those services for which you are fully competent and qualified.

G.          Advance and protect the profession

·        Sponsor for professional advancement those best qualified. All other things equal, prefer those who are certified and who adhere to these canons. Avoid professional association with those whose practices or reputation might diminish the profession.

·        Take care not to injure the reputation of other professionals through malice or indifference.

·        Maintain your competence; keep your skills and knowledge current. Give generously of your time and knowledge in training others.

 

 

כללי האתיקה של ISC2 מורכבים מ-2 פסוקי מטרות ומ-4 פסוקי יסוד, המהווים מעין "חוקה" של כללי האתיקה.

לכללי האתיקה נוספו קווים מנחים, המפרטים את 4 פסוקי היסוד. לקווים המנחים יש מספר מטרות.

 

5.3     כללי האתיקה בתרגום חופשי

להלן מובאים כללי האתיקה של ISC2 בתרגום חופשי. לכללים אלה צורף ספרור וכן הגדרת נושא.

 

 

 

6.                   כללי אתיקה של ISSA

6.1     הארגון ומטרותיו

הארגון (ISSA - Information Systems Security Association) מאגד בתוכו את העוסקים באבטחת מערכות מידע. כתובת הארגון היא www.issa.org.

להלן מטרותיו כפי שמופיעות באתר האינטרנט:

The Information Systems Security Association (ISSA) is a not-for-profit international organization of information security professionals and practitioners. It provides education forums, publications and peer interaction opportunities that enhance the knowledge, skill and professional growth of its members.

 

 

6.2     כללי האתיקה באנגלית

 

1.      Perform all professional activities and duties in accordance with the law and the highest ethical principles;

2.      Promote good information security concepts and practices;

3.      Maintain the confidentiality of all proprietary or otherwise sensitive information encountered in the course of professional activities;

4.      Discharge professional responsibilities with diligence and honesty;

5.      Refrain from any activities which might constitute a conflict of interest or otherwise damage the reputation of employers, the information security profession, or the Association; and

6.      Not intentionally injure or impugn the professional reputation or practice of colleagues, clients, or employers.

 

 

6.3     כללי האתיקה בתרגום חופשי

להלן מובאים כללי האתיקה של ISSA בתרגום חופשי. לכללים אלה צורף ספרור וכן הגדרת נושא.

 

 

 

7.                   כללי האתיקה של DRI

7.1     הארגון ומטרותיו

ארגון זה (DRI - Disaster Recovery Institute), שכתובתו www.dr.org, עוסק בנושאים של תוכניות חירום, שרידות מערכות וקימום מאסונות.

להלן תיאור מטרותיו מאתר האינטרנט שלו:

DRI International was founded in 1988 to provide a base of common knowledge in contingency planning, a rapidly growing industry.

DRII also administers the industry's only global certification program for qualified business continuity / disaster recovery planners.

The Professional Practices for Business Continuity Planners, our common base of knowledge, serves as the industry's best practices standard.

 

 

7.2     כללי האתיקה באנגלית

 

DRII requires its certified professionals to adhere to a strict code of ethics, and recertification demands a continuing commitment. As certified business continuity professionals, we will:

1.      Practice the highest level of professionalism at all times in the performance of our duties.

2.      Practice conduct that is legal and ethical and will avoid any perception of conflict of interest for ourselves, our employers, and our clients.

3.      Practice and promote corporate continuity and disaster recovery concepts.

4.      Keep confidential any information revealed as such in the performance of our duties.

5.      Continually seek to increase our competence and the competence of those who work with us.

6.      Participate in continuing professional knowledge and skill improvement programs.

 

 

7.3     כללי האתיקה בתרגום חופשי

להלן מובאים כללי האתיקה של DRI בתרגום חופשי. לכללים אלה צורף ספרור וכן הגדרת נושא.

 

 

8.                   כללי האתיקה של האיגוד הישראלי

 

האיגוד הישראלי לביקורת ואבטחת מערכות מידע קבע כללי אתיקה מקצועית להכוונת ההתנהגות המקצועית והאישית של חברי האיגוד ושל המוסמכים לעסוק בתחומי הביקורת, הבקרה והאבטחה של מערכות מידע.

 

חברי האיגוד והמוסמכים לעסוק בתחומי הביקורת, הבקרה והאבטחה של מערכות מידע נדרשים:

א.  לפעול על-פי הכללים המקצועיים, שאומצו על-ידי האיגוד הישראלי לביקורת ואבטחת מערכות מידע.

ב.  לתמוך ביצירת תקנים, נהלים ואמצעים לבקרה ולאבטחת מערכות מידע, ולפעול להטמעתם.

ג.  לפעול לקידום ולשמירת האמון והביטחון של הציבור במידע ובמערכות.

ד.  לפעול לתועלת הגורמים הרלוונטיים (כגון: הלקוחות, ההנהלות, בעלי המניות וכלל הציבור) בשקדנות, בנאמנות, בהגינות, ומבלי לקחת חלק, במודע, בפעילות בלתי חוקית או בלתי נאותה כלשהי.

ה.  ליטול מטלות, שלמיטב הבנתם, יש להם מיומנות מקצועית לבצען.

ו.  לנקוט זהירות ראויה בעבודתם ולהפעיל שיקול דעת נאות.

ז.  לשמור על סודיות המידע הנחשף בפניהם בעת ביצוע תפקידם. לא לעשות שימוש במידע זה לתועלתם האישית ולא להעבירו לידי גורמים לא מורשים.

ח.  לבצע את תפקידם ללא ניגוד עניינים, באופן אובייקטיבי ובלתי תלוי ולהימנע מפעילויות הפוגעות או עלולות להיראות כפוגעות באי-תלותם.

ט.  לידע את הגורמים המתאימים בממצאי עבודתם.

י.  לשמור על מומחיות, יכולות וכישורים מקצועיים על-ידי השתתפות בפעילויות לפיתוח ולקידום מקצועי.

יא.  לפעול להגברת המודעות והבנת תחומי עיסוקם, בקרב ההנהלות, הלקוחות וכלל הציבור.

יב.  לקיים רמת התנהגות מוסרית גבוהה, בתחום המקצועי והאישי.

יג.  לנהוג בכבוד ובאדיבות כלפי עמיתים וכלפי האיגוד ומוסדותיו ולהימנע מכל מעשה ומחדל, שיש בהם משום פגיעה או העשויים להוות פגיעה בכבודם או במעמדם.

 

 

9.                   מבנה הכללים

כללי האתיקה מורכבים מ-13 כללים אותם ניתן לחלק לפי הנושאים הבאים:

 

כללים אלה הינם אחידים וחלים על  כלל חברי האיגוד ועל בעלי הסמכה[5].

 

10.             השוואה בין הכללים השונים

10.1        כללי

כללי האתיקה בישראל צריכים להתבסס על המקובל בעולם, בהתאמות הנדרשות על-פי התנאים בישראל.

אחד ההבדלים הבולטים, הוא ריבוי הארגונים המקצועיים בחו"ל, שתחומי עיסוקיהם מצאו להם משכן אחד משותף באיגוד הישראלי לביקורת ולאבטחת מערכות מידע[6].

כפי שצויין לעיל, כללי האתיקה הם סדרה של 13 כללים ללא הבחנה בין סוגי המקצועות המאוגדים באיגוד הישראלי לביקורת ואבטחת מערכות מידע.

 

כללים אלה הינם שילוב כללים ממקצועות שונים ומותאמים לישראל, בה מספר העוסקים והצורכים שרותים אלה הינו מצומצם ביותר.

 

ככלל, ניתן לומר, שהכללים ברובם המכריע אומצו בישראל, אם כי ברובם הותאמו למצב בישראל.

 

במאמר זה נדון בסעיפים שלא אומצו ובסעיפים שהתאמתם הינה מהותית.

 

 

10.2        כללים בחו"ל שלא אומצו

10.2.1     סמכות משפטית

ארגון ההסמכה באבטחת מערכות מידע ISC2 קובע, כי יש לתת עדיפות לחוקים החלים בתחום השיפוט בו ניתנים השירותים.

 

מצב זה מתאים בעיקרו לארצות-הברית שם ישנם חוקים שונים במדינות השונות, והשירותים ניתנים עבור מערכות מידע שבמדינות שונות. לכן יש הכרח לקבוע את מתן העדיפות לחוקים.

בישראל המצב שונה ואין הכרח להתייחס למצב זה.

עם זאת, קורה שחברי האיגוד (שהינם אזרחים ישראליים) נותנים שירות ללקוח מעבר לים, או שהינם עובדים של תאגיד גדול בישראל ומבצעים עבודה בסניף או בחברה קשורה מעבר לים.

במצב זה יתכן שיש לבצע את העבודה תוך מתן עדיפות לחוקים במקום בו ניתנים השירותים, קרי: בחו"ל. עם זאת, טוב יעשו נותני השירותים אם הנושא יעוגן במפורש בהסכם ההתקשרות, או במסמך הגדרת העבודה.

 

10.2.2     עדיפות בניגודי עניינים

ארגון ההסמכה באבטחת מערכות מידע ISC2 קובע, כי יש לתת עדיפות, במקרה של ניגוד עניינים, לפי הסדר הבא: ביטחון הציבור, מחוייבות למנהלים או למזמיני העבודה, עניינים של יחידים ותאגידים, כללי המקצוע.

בישראל, בשל קוטנו של השוק, מתעוררים קשיים בקביעה מראש של כללי עדיפות במצב של ניגוד עניינים.

יתירה מזאת, ארגון ISC2 הוא היחיד, מבין הארגונים הבינלאומיים, הקובע סדרי עדיפות.

זאת ועוד, חוק הביקורת הפנימית[7] אינו קובע מסמרות באשר לסדרי העדיפות שעל המבקר הפנימי לפעול לפיהם במצב של חשד למעשה פלילי, ומשאיר זאת לממונה בארגון בו פועל המבקר הפנימי.

נראה, שבשל כל אלה, העדיף האיגוד הישראלי שלא לקבוע מסמרות.

 

צרה היריעה מלנתח מצבים שונים ולקבוע לגביהם סדרי עדיפות, ודרכי פעולה.

להמחשת מורכבות הענין, נניח שאדם העוסק באחד מהתחומים (ביקורת, בקרה או אבטחה) מגלה פירצה במערכת מחשבים של בית-חולים, פירצה העלולה להפוך את מאגר המידע אודות החולים גלוי לעין כל, ואף עלולה לאפשר ביצוע שינויים בנתונים הרפואיים. לחידוד העניין, אף נניח שהיו נסיונות פריצה, ובחלקם אף הצליחו. למרות זאת, הנהלת בית-החולים, דוחה פעולות לסגירה של הפירצה. האם על איש המקצוע, בשל מחוייבותו למזמין העבודה או למעסיקו, להסתפק במכתבים להנהלה, המבהירים את חומרת המצב, ואת דרכי הפעולה ההכרחיים?

האם עליו לפנות למשרד הבריאות? האם עליו לפנות למבקר המדינה? האם עליו לפנות לעיתונות?

האם עליו לפרסם זאת, באתרי אינטרנט, כדי ליצור תהודה ציבורית?

נציין, שפרסום ציבורי, עלול "לגרות" את המעוניינים לפרוץ למערכות, ודווקא עצם הפרסום הוא שעלול לגרום לנזק לציבור החולים.

 

נראה, שמבחינה חוקית גרידא, הוא אינו מחוייב מעבר למשלוח מכתבים והתראות להנהלה.

האם אנו יכולים לטעון, שהמחוייבות החוזית למזמין העבודה או למעסיקו, היא בגדר "מעין פקודה לא חוקית בעליל", ויש להפר אותה, ולהתריע אודות הפירצה  החמורה לגורם חיצוני?

 

ארגון ה-ISC2 הכריע בסוגיה האתית הסבוכה שהוצגה, וקבע שביטחון הציבור קודם.

 

לא נראה, שבמסגרת מאמר זה, ניתן לפתור בעיה זו, אולם, מאמר זה יכול להוות מעין קול-קורא לשיח ציבורי בסוגיה זו.

 

 

10.2.3     העדפת בעלי הסמכה

ארגון ההסמכה באבטחת מערכות מידע ISC2 קובע, כי יש לתת עדיפות לבעלי הסמכה, באשר הם פועלים על-פי כללי האתיקה, על פני אלו שאינם בעלי הסמכה, וזאת כאשר שאר הנתונים זהים.

כללי האתיקה של האיגוד לא קובעים כללי העדפה לטובת בעלי הסמכה, (ובפרט שלישראל טרם הגיעה ההסמכה בנושא אבטחת מערכות מידע), בשל מיעוט בעלי ההסמכה, וקובעים באופן כללי שיש לקדם את המקצוע, לכבד עמיתים ולשמור על כבוד המקצוע.

 

 

10.3        כללים בחו"ל שהותאמו

 

10.3.1     נטילת מטלות

10.3.1.1 כללי

כללי האתיקה קובעים, כי יש "ליטול מטלות, שלמיטב הבנתם, יש להם מיומנות מקצועית לבצען".

המבחן הוא סובייקטיבי ולא אובייקטיבי, קרי: אנשי המקצוע עצמם הם הקובעים האם יש להם מיומנות מקצועית לבצע את העבודה.

 

10.3.1.2 ארגונים מקצועיים בחו"ל

הארגון הבינלאומי לביקורת ולבקרה ה - ISACA קובע (בטיוטת כללי האתיקה):

Perform only those activities which they can reasonably expect to complete with professional competence

ארגון ההסמכה באבטחה - ISC2 קובע:

Render only those services for which you are fully competent and qualified

 

 

שני הארגונים מגבילים וקובעים, כי יש לתת רק שירותים שיש יכולת לתיתם. יתירה מזאת, איגוד ה-ISACA קובע, כי יש לקבל רק עבודות שניתן לסיימן ואינו מסתפק בביצוען.

 

10.3.1.3 לשכות אחרות בישראל

להלן כללים מקבילים בלשכות מקצועיות אחרות בישראל.

 

לשכת מבקרים פנימיים בישראל קובעת[8] כי:

"חברים ומבקרים פנימיים מוסמכים יטלו על עצמם רק מטלות שהם מסוגלים, למיטב הבנתם, להשלים במיומנות מקצועית."

לשכת רואי חשבון בישראל קובעת[9] כי:

"משרד רואה חשבון יקבע נהלים בקשר עם קבלת לקוחות חדשים או המשך מתן שירותים מקצועיים ללקוחות קיימים, אשר יתייחסו, בין היתר, לאופיו של עסק הלקוח, להערכת הסיכונים שבמתן השירות ללקוח, ולאפשרויות של המשרד להיערך לספק שירות ברמה המתאימה ללקוח ולאי-תלות."

 

הלשכות המקצועיות בישראל נקטו בשתי גישות מנוגדות. לשכת המבקרים הפנימיים מגבילה את המבקר הפנימי, ומטילה עליו איסורים ודורשת נטילת אך ורק מטלות, שהם להבנתם מסוגלים להשלים. לשכת רואי-חשבון אינה מטילה איסורים על רואה-החשבון, ורק דורשת מרואי-החשבון לקבוע לעצמם נהלים באשר לקבלת לקוחות חדשים, ובשים לב לענין רמת השירות ואי-התלות.

במאמר מוסגר, נציין בכלליות, כי לשכת המבקרים הפנימיים נותנת דגש לעניינם של מבקרים הפועלים כשכירים בארגונים, ואילו לשכת רואי-חשבון נותנת דגש לעניינם של בעלי משרדים. נראה על פניו, שהטלת מגבלות רבות על אנשי המקצוע עלולה לפגוע ביכולת השתכרותם של בעלי המשרדים, ואינה פוגעת במשכורתו של השכיר.

 

10.3.1.4 השלכות הטלת המגבלות

הטלת מגבלות באשר לקבלת עבודות משמעה פגיעה בחופש העיסוק של אדם, ופגיעה ביכולת ההשתכרות שלו.

 

בהשלכה מחוק יסוד חופש העיסוק נציין, שהפגיעה בחופש העיסוק וההשתכרות צריכה להיות לתכלית ראויה ובמידה שאינה עולה על הנדרש. התכלית של מתן שירות אמין ומקצועי הינה ראויה, והפגיעה - הפעלת שיקול דעת באשר לקיום מיומנות מקצועית לביצוע העבודה - נראית על-פניה סבירה. אנשי המקצוע בין אם הם עובדים במחלקת ביקורת או אבטחה של ארגון, בין אם הם עובדים בארגון, הנותן שירותי ביקורת, בקרה ואבטחה ובין אם הם בעלי משרדים הנותנים שירותים אלה, נדרשים לתת שירותים שלהבנתם יש להם מיומנות מקצועית לבצעם.

 

מה התוצאה כאשר בדיעבד יסתבר שלאיש המקצוע לא היתה מיומנות מקצועית לבצע את המטלה?

נראה שאז הוא יצטרך להראות שאכן בחן ושקל את הענין, והגיע למסקנה שביכולתו לתת את השירות.

 

10.3.1.5 השפעת טכנולוגיות חדשות

כידוע, הטכנולוגיות מתחדשות בתדירות גבוהה. האם שינויים טכנולוגיים מונעים מאיש המקצוע לתת שירות הקשור לטכנולוגיה חדשה?

טכנולוגיות חדשות מביאות עימן עוצמות ויתרונות חדשים אך גם חשיפות, חולשות וחסרונות חדשים. בדיוק כאן נקראים אנשי המקצוע לבחון את החולשות, ולהציע פתרונות לצמצום החולשות. המקצועות, שאנו עוסקים בהם, נדרשים להתמודד עם הסיכונים, ואנשי המקצוע לא יוכלו שלא להתמודד עם סיכוני הטכנולוגיות החדשות.

יתירה מזאת, כללי האתיקה דורשים מאנשי המקצוע לשמור על רמה מקצועית נאותה תוך השתתפות בהשתלמויות ובהכשרות שונות, ובעלי ההסמכה אף נדרשים לדווח מידי שנה על ההשתלמויות בהן השתתפו במהלך השנה.

זאת ועוד, חומר מקצועי רב קיים בספרות מקצועית, בביטאונים מקצועיים ובאתרי אינטרנט רבים.

פועל יוצא מכל אלה, שאנשי המקצוע יכולים (ואף צריכים) להתמודד עם הטכנולוגיות החדשות, והסיכונים הנובעים מהן, ובלבד וישמרו על רמה מקצועית עדכנית ונאותה.

 

10.3.2     תקנים, נהלים ואמצעים

סעיף ב' לכללי האתיקה של האיגוד הישראלי קובע, כי על אנשי המקצוע "לתמוך ביצירת תקנים, נהלים ואמצעים לבקרה ולאבטחת מערכות מידע, ולפעול להטמעתם".

 

ראשית נבאר ונדגיש, כי המדובר בקידום ובהטמעת הבאים:

·   תקנים מקצועיים לביקורת לבקרה ולאבטחה;

·   נוהלי עבודה לאנשי הביקורת, הבקרה והאבטחה;

·   אמצעים לבקרה ולאבטחה[10].

 

ארגונים העוסקים באבטחה נותנים דגש לאמצעי אבטחה, ואינם מדגישים את התקנים והנהלים בתחומים אלה. ארגון ה-ISACA העוסק בביקורת ובאבטחה מדגיש את התקנים, הנהלים ואמצעי הבקרה.

כלל זה הוא שילוב של הכללים באירגונים השונים שבחו"ל, והוא מטיל על כל אחד יותר מאשר הוא נדרש לו בארגונים הבינלאומיים. אנשי האבטחה נדרשים לקדם את תחומי הביקורת והבקרה ואנשי הביקורת האבטחה נדרשים לקדם את תחומי האבטחה.

 

 

 

 

 

 

 

 

 

 

11.             כללי האתיקה ככללים הצהרתיים

כללי האתיקה אינם כוללים סנקציות ועיצומים המוטלים על המפר אותם, והם כללים דקלרטיביים בלבד.

ביסוד הענין שני נימוקים. הנימוק האחד הוא נימוק רעיוני, האומר שהחברות באיגוד היא וולונטרית והחברים ובעלי ההסמכה אינם מחוייבים בחברות ו/או בהסמכה. בתור שכאלה, הם נוטלים על עצמם מרצון את הכללים ואין צורך לאכוף אותם. הנימוק השני הוא פרקטי ונובע מהנימוק הראשון, לאיגוד אין הליכי טיפול בתלונות, הליכי שימוע, בתי-דין משמעתיים ומנגנוני אכיפה.

 

12.             השלכות האתיקה על ההתנהגות האישית

12.1        כללי

סעיף יב לכללי האתיקה של האיגוד קובע, כי יש לקיים רמת התנהגות מוסרית גבוהה, בתחום המקצועי והאישי. סעיף זה למעשה קובע כי העוסקים בתחומי הביקורת הבקרה והאבטחה נדרשים לא רק בעבודתם אלא גם בזמנם ובחייהם הפרטיים להטיל על עצמם מגבלות ולקיים רמת התנהגות מוסרית גבוהה.

 

12.2        הצורך המקצועי ברמה מוסרית אישית

מקצועות אלה של ביקורת בקרה ואבטחה, הינם מקצועות העוסקים ב"הגנה" (במובן רחב של המילה) על מערכות המידע, "הגנה" גם מפני טעויות אנוש וגם מפני מעשי זדון. העוסקים במקצועות אלה מחברים דוחות וממליצים המלצות, בהתאם לממצאים ולסיכונים, שהם מאתרים במהלך עבודתם. הבסיס לעבודתם הינו מקצועי אך גם מוסרי. סמכותו המקצועית של בעל המקצוע עלולה להישמט אם בסביבתו מהלכות שמועות אודות רמתו המוסרית הלקויה, והמלצותיו (אפילו הינן מאוד מקצועיות) עלולות להידחות על-ידי הסביבה בה הוא עובד בשל השמועות אודותיו.

מערכת הציפיות של הסביבה מאנשי המקצוע, עלולה לגרום

העובדה שהסביבה עלולה להתעלם מהפעילות המקצועית של אנשי המקצוע בשל התנהגותם האישית, יוצרת צורך מקצועי לדרוש רמה מוסרית אישית גבוהה.

 

12.3        הסמכות לדרישות במישור האישי

האם יכול האיגוד לקבוע כללי התנהגות מעבר לתחומי המקצוע? העובדה, שהאיגוד הינו וולונטרי, והחברים בו אינם מחוייבים להיות חברים, והם חברים מרצונם החופשי, וזאת ללא תלות בעובדת היותם בעלי הסמכה, מאפשרת לאיגוד להטיל מגבלות על החברים. מי שאינו חפץ בהטלת מגבלות אישיות יכול לפרוש מהאיגוד.

גם ההסמכה הינה וולונטרית ואינה חובה. אדם המתהדר בתעודת הסמכה, צריך להכפיף עצמו לכללים הנובעים מהתעודה, ואם אינו מעוניין בהם, הוא יכול להחזיר את התעודה.

 

על דרך ההשלכה, מסעיף 8 לחוק יסוד כבוד האדם וחירותו, נוכל לומר שהמקצוע דורש רמה מוסרית אישית גבוהה מבעלי המקצוע כדרך להגן על עצם העבודה המקצועית וכדי לאפשר יישומה. נראה שמדובר בהטלת מגבלות במידה שאינה עולה על הנדרש ולתכלית ראויה.

 

בהיבט פרוצדוראלי נציין, שכללי האתיקה (כמו שאר הכללים המקצועיים) עוברים אישור הנהלה ואישור מועצה, ואינם כללים, המאושרים רק בוועדה המקצועית.

 

12.4        מידת המוסריות האישית

מהי אותה מידה מוסרית אישית לה נדרשים אנשי המקצוע כדי שיעמדו בדרישות האתיקה המקצועית? אין המדובר בדרישות "אפלטוניות", ואין המדובר במודל מוסרי יחסי כדוגמת "נח איש צדיק תמים היה  בדורותיו"[11]. המדובר ברמה מוסרית אישית, המאפשרת ביצוע העבודות המקצועיות של אנשי הביקורת הבקרה והאבטחה, ויישום תוצאות עבודותיהם.

 

13.             משמעות אי-עמידה בכללי האתיקה

צויין לעיל, כי כללי האתיקה הינם דקלרטיביים, ואינם כוללים סנקציות מטעם האיגוד. עם זאת יש להדגיש, כי סעיף א' לכללי האתיקה קובע, שיש "לפעול על-פי הכללים המקצועיים, שאומצו על-ידי האיגוד הישראלי לביקורת ואבטחת מערכות מידע".

מבלי להיכנס לסוגיות המשפטיות, נציין בכלליות, כי כבר בשנת 1954[12] קבע בית-המשפט העליון, כי בעל מקצוע אחראי בשל נזק שנגרם לזולת כתוצאה מהסתמכות על חוות-דעתו.

פעולות שלא על-פי כללי המקצוע ושלא על-פי כללי האתיקה, הגורמות לנזקים מהוות עילה לתביעה נזיקית כנגד העוסקים במקצועות הביקורת הבקרה והאבטחה.

 

14.             סיכום

מאמר זה סוקר את כללי האתיקה במקצועות הביקורת הבקרה והאבטחה, מקורותיהם הבינלאומיים, התאמתם לישראל, ומאיר מספר סוגיות לגביהם. המאמר אף מציין את ההשלכות של אי-עמידה בכללים. תקוות המחבר, שהמאמר יהווה בסיס לדיון רחב בנושאי האתיקה המקצועית של תחומי הביקורת, הבקרה והאבטחה של מערכות מידע.

 

 

 

 

 

 

 

נספח: טיוטת כללי אתיקה של ISACA

 

The Information Systems Audit and Control Association, Inc. (ISACA) sets forth this Code of Professional Ethics to guide the professional and personal conduct of members of the Association and/or holders of the Certified Information Systems Auditor (CISA) designation.

Members and CISAs shall:

§         Support the implementation of, and encourage compliance with, appropriate standards, procedures, controls and audit methodologies for information systemss

§         Comply with Standards as issued by the Information Systems Audit and Control Association

§         Serve in the interest of relevant parties such as, clients, employers, the general public and stakeholders, in a diligent, loyal and honest manner, and shall not knowingly be a party to any illegal or unethical activities

§         Maintain the confidentiality of information obtained in the course of performing their duties

§         Perform their duties in an independent and objective manner, and avoid activities that impair, or may appear to impair, their independence or objectivity

§         Maintain competency in their respective fields of auditing and information systems control

§         Perform only those activities which they can reasonably expect to complete with professional competence

§         Perform their duties with due professional care

§         Inform the appropriate parties of the results of information systems audit and/or control work performed, revealing all material facts known to them, which if not revealed could either distort reports of operations or conceal unlawful practices

§         Support the education of clients, colleagues, the general public and management, in enhancing their understanding of information systems auditing and control

§         Maintain high standards of conduct and character and not engage in acts discreditable to the profession

Apparent failure to comply with this Code of Professional Ethics may result in an investigation into the member's or CISA holder's conduct by the ISACA Board or appropriate ISACA committee and disciplinary action may ensue.