Культура информационной безопасности. Современный взгляд
12 июля 2012 г.
Два взгляда на информационную безопасность
Первый взгляд на информационную безопасность (ИБ) существует с незапамятных времен. Он состоит в том, что ИБ – это ограничение доступа к информации с целью завоевания и удержания власти.
Второй взгляд распространился недавно, в 1950 году, когда ООН провозгласила конвенцию об основных правах и свободах человека. У нас он появился ещё позднее. Этот взгляд состоит в том, что ИБ – это уважение интересов участников общего дела в отношении информации.
Сегодня проблема нашего общества состоит в том, что мы переходим от первой модели ко второй.
В момент, когда каждый человек получает реальное право на охрану частной жизни и право вести свой бизнес, резко вырастает разнообразие жизненных ситуаций и производимой продукции и услуг. При переходе к свободному предпринимательству каждая организация формирует свою особенную модель управления. Законодательство уже не определяет большинства процедур взаимодействия людей.
Во все эпохи до этого люди делились всего на несколько групп различного уровня доступа, а доступ в них признавался и защищался государством. Сейчас же количество групп доступа стало равным числу жителей или даже больше. Теперь признается, что каждый человек может иметь интересы: личные, семьи, работы, бизнеса, хобби, общения в Сети. В каждую из них доступ для обмена информацией ограничен. А если вы заслужили доверие, но чтобы сохранить его, должны уважать интересы её участников.
Перед государством, всегда защищавшим периметры и рассматривавшим все риски как максимальные, возникла задача научиться защищать новую ценность – сеть доверительных отношений.
Лидеры и догоняющие
Все культуры делятся на две группы:
• лидеры в области доверительных отношений независимых субъектов;
• страны с уровневой моделью допуска.
Первой группе стран может не требоваться дополнительных активностей по развитию культуры. Это, в частности, происходит в зонах с повышенной конкуренцией и инновационной активностью. Часто даже без законодательства частная жизнь людей уже подчиняется этой культуре.
Лидер культуры стоит на границе, на острие прогресса. Только ему ведома логика пройденного пути, опыт обретения конкурентоспособности, видение своей инновационной перспективы. Этот опыт – величайшая ценность. Во второй группе культур догоняющие и безнадёжно отставшие.?
Догоняющие, как правило, видят только внутреннее пространство знания, а если им позволяют способности, то и лидеров. Догоняющие имеют возможность выбора одного из двух векторов развития: копирование успешных практик (прагматизм) или концентрация на вероятных точках прорыва (риск). Копирование никогда не приводит к лидерству, ведь лидерство приносят только рождённые самими людьми успешные методы работы.
Сегодня сложно заключить, какое пространство знания в области информационной безопасности видят отечественные регуляторы и какой из двух векторов развития отрасли выбран. Известно одно: в последние 20 лет с большим отставанием происходит лишь копирование западных стандартов, но не участие в их создании.
Культура – это отношениек явлению большинства
Большинство сотрудников внутри организации, организаций снаружи организации, стран снаружи страны. Большинство членов семьи, друзей, соседей, экспертов сообщества. Людям значительно комфортнее общаться внутриодной системы ценностей, и они стремятсяпопасть в свой круг. И это нормальнаяпсихология, общая культура – пропуск!Далеко за примером ходить не надо – язык.
Человек, как правило, действует стереотипами, свойственными его культуре. Еслираньше при уровневой системе безопасности всё определялось процедурой допускаи документами, то и сейчас эти стереотипысохранились и даже усилились в атмосферетотального недоверия. Бумажная безопасность всё ещё превалирует над безопасностью, основанной на доверии.
Культуре не учат, культурувоспитывают лидеры
Удивительно, но факт: человек можетсовершенно свободно ездить зайцем вавтобусе, так как это модно среди студентов.При этом если в пакете из магазина вместо 10яиц оказывается 11, ему настолько неловко,что приходится идти и возвращать однояйцо. Кто его заставляет так делать?
Семья – наиболее живой очаг воспитаниякультуры. Родители, бабушки и дедушки –самые главные лидеры в нашей жизни. Нашидействия во многих сферах жизни мы меряемпо их оценке. Даже когда их нет рядом,важна заочная оценка. Оказывается, что они,являясь носителями культуры, воспитываютеё в нас и впоследствии поддерживают еёцелостность и устойчивость.
Эти рассуждения точно также распространяются и на другие иерархии: нагосударство, на организации, на добровольные объединения.
Доверие или процедура
Чем выше доверие, тем проще процедура передачи дел между людьми. Чем сложнее
процедура, тем ниже доверие людям. Этообъясняется просто: доверие зачастую вызвано совпадением культурных и ценностныхустановок. А поскольку они установлены, точасто не возникает потребности вообщеиспользовать какие-либо инструкции илиинструменты. Люди, разговаривающиена одном языке, понимают друг друга безсловаря и переводчика.
Для эффективного управления частодостаточно обучить людей, тренироватьи информировать их. Ответственность заих компетентность несёт в любом случаеруководитель. Взятие подписи за инструктаж – хитрый механизм снятия ответственности с действительно ответственноголица. Сегодня многие системы безопасностистроятся по этому принципу и закономерностановятся «бумажными», потому что напрактике это не работает. Не подтверждаетсовпадение культуры, а лежит на полкеи является механизмом устрашения инедоверия. Формированию культуры ниинструкции, ни подписи об ознакомлениине способствуют.
Однако согласимся, что в особых ситуацияхвзятие ответственности сотрудником в формеподписи об ознакомлении необходимо. Ночисло таких ответственных лиц ограничено, и это уж точно не весь коллектив.
Культура информационнойбезопасност и организации
Логика рассуждений приводит нас кследующим решительным взаимосвязям.
Во-первых, культура ИБ – это деятельность всех сотрудников организации пообеспечению уважения интересов заинтересованных сторон общего дела в отношенииинформации. Это интересы владельцевбизнеса, учредителей, клиентов, партнёров, менеджмента, сотрудников и другое. Этадеятельность – условие для поддержаниядоверительных отношений в стратегическойперспективе, точно так же, как качество –условие для долгосрочного доверия состороны клиентов.
Во-вторых, ключевым условием для возникновения культуры ИБ внутри организации, развития этой культуры и обеспечения еёдолгосрочной устойчивости является наличиеменеджмента ИБ, представленного иерархиейлидеров.
В-третьих, чтобы между организациямибыло обеспечено доверие, необходимымеханизмы установления общей для нихкультуры: партнёрские сети, добровольныеобъединения, стандартизация, саморегулирование, а также государственное регулированиеи международные соглашения. В частности, такой инициативой государства являетсяЗакон «О персональных данных».
Только при одновременной реализациивсех этих условий возможно возникновениеполноценной культуры информационнойбезопасности в организации, за устойчивостьи надёжность развития которой не нужнобудет беспокоиться ни владельцам бизнеса, ни клиентам, ни партнёрам, ни сотрудникам, ни другим участникам, ни государству.Эта логика распространяется на многиесферы деловой активности и жизни: на сферыкачества, экологии, охраны труда, безопасности, информационных технологий, комфортажизненного и рабочего пространства.
Открытость культуры
Последним аккордом хотелось бы подчеркнуть очень важный аспект, без которогокультура не может быть сформирована.Любого человека, любого руководителя вжизни волнуют всего два вопроса: «Правильные ли дела я делаю?» и «Правильно лия их делаю?». Ответ на эти вопросы один:чтобы делать правильные дела правильно,нужно быть открытым. И в первую очередьэто вопрос готовности получать независимуюоценку дел, доверять этой оценке, иметь цельв сближении своего отношения и отношенияокружающих, а значит, цель в формированииобщей культуры.
Сергей Городилов,
руководитель направления
«Информационная безопасность»
группы компаний АСПЕКТ СПб
