Культура информационной безопасности – современный взгляд

Два взгляда на информационную безопасность

Первый взгляд на информационную безопасность (ИБ) существует с незапамятных времен. Он состоит в том, что ИБ — это ограничение доступа к информации с целью завоевания и удержания власти.

Второй взгляд распространился недавно, в 1950 году, когда ООН провозгласила конвенцию об основных правах и свободах человека. У нас он появился еще позднее. Этот взгляд состоит в том, что ИБ — это уважение интересов участников общего дела в отношении информации.

Сегодня проблема нашего общества состоит в том, что мы переходим от первой модели ко второй.

В момент, когда каждый человек получает реальное право на охрану частной жизни и право вести свой бизнес, резко вырастает разнообразие жизненных ситуаций и производимой продукции и услуг. При переходе к свободному предпринимательству каждая организация формирует свою особенную модель управления. Законодательство уже не определяет большинства процедур взаимодействия людей.

Во все эпохи до этого люди делились всего на несколько групп различного уровня доступа, а доступ в них признавался и защищался государством. Сейчас же количество групп доступа стало равным числу жителей или даже больше. Теперь признается, что каждый человек может иметь интересы: личные, семьи, работы, бизнеса, хобби, общения в Сети. В каждую из них доступ для обмена информацией ограничен. А если вы заслужили доверие, то чтобы сохранить его, должны уважать интересы её участников.

Перед государством, всегда защищавшим периметры и рассматривавшим все риски как максимальные, возникла задача научиться защищать новую ценность — сеть доверительных отношений.

Лидеры и догоняющие

Все культуры делятся на две группы:

• лидеры в области доверительных отношений независимых субъектов;
• страны с уровневой моделью допуска.

Первой группе стран может не требоваться дополнительных активностей по развитию культуры. Это, в частности, происходит в зонах с повышенной конкуренцией и инновационной активностью. Часто даже без законодательства частная жизнь людей уже подчиняется этой культуре.

Лидер культуры стоит на границе, на острие прогресса. Только ему ведома логика пройденного пути, опыт обретения конкурентоспособности, видение своей инновационной перспективы. Этот опыт — величайшая ценность.

Во второй группе культур догоняющие и безнадежно отставшие. Догоняющие, как правило, видят только внутреннее пространство знания, а если им позволяют способности, то и лидеров. Зачастую догоняющие выбирают копирование успешных практик, но оно никогда не приводит к лидерству. Лидерство приносят только рожденные самими людьми успешные методы работы.

Сегодня сложно заключить, какое пространство знания в области информационной безопасности видят отечественные регуляторы, и какой из двух векторов развития отрасли выбран. Известно одно: в последние 20 лет с большим отставанием происходит лишь копирование западных стандартов, но не участие в их создании.

Культура – это отношение к явлению большинства

Культура — это отношение к явлению большинства. Большинство сотрудников внутри организации, организаций снаружи организации, стран снаружи страны. Большинство членов семьи, друзей, соседей, экспертов сообщества. Людям значительно комфортнее общаться внутри одной системы ценностей, и они стремятся попасть в свой круг. И это нормальная психология, общая культура — пропуск! Далеко за примером ходить не надо — язык.

Человек, как правило, действует стереотипами, свойственными его культуре. Если раньше при уровневой системе безопасности всё определялось процедурой допуска и документами, то и сейчас эти стереотипы сохранились и даже усилились в атмосфере тотального недоверия. Бумажная безопасность всё ещё превалирует над безопасностью, основанной на доверии.

Культуре не учат, культуру воспитывают лидеры

Удивительно, но факт: человек может совершенно свободно ездить зайцем в автобусе, так как это модно среди студентов. При этом если в пакете из магазина вместо 10 яиц оказывается 11, ему настолько неловко, что приходится идти и возвращать одно яйцо. Кто его заставляет так делать?

Семья — наиболее живой очаг воспитания культуры. Родители, бабушки и дедушки — самые главные лидеры в нашей жизни. Наши действия во многих сферах жизни мы меряем по их оценке. Даже когда их нет рядом, важна заочная оценка. Оказывается, что они, являясь носителями культуры, воспитывают её в нас и впоследствии поддерживают её целостность и устойчивость.

Эти рассуждения точно так же распространяются и на другие иерархии: на государство, на организации, на добровольные объединения.

Доверие или процедура

Чем выше доверие, тем проще процедура передачи дел между людьми. Чем сложнее процедура, тем ниже доверие людям. Это объясняется просто: доверие зачастую вызвано совпадением культурных и ценностных установок. А поскольку они установлены, то часто не возникает потребности вообще использовать какие-либо инструкции или инструменты. Люди, разговаривающие на одном языке, понимают друг друга без словаря и переводчика.

Для эффективного управления часто достаточно обучить людей, тренировать и информировать их. Ответственность за их компетентность несет в любом случае руководитель. Взятие подписи за инструктаж — хитрый механизм снятия ответственности с действительно ответственного лица. Сегодня многие системы безопасности строятся по этому принципу и закономерно становятся «бумажными», потому что на практике это не работает. Не подтверждает совпадение культуры, а лежит на полке и является механизмом устрашения и недоверия. Формированию культуры ни инструкции, ни подписи об ознакомлении не способствуют.

Однако согласимся, что в особых ситуациях взятие ответственности сотрудником в форме подписи об ознакомлении необходимо. Но число таких ответственных лиц ограничено, и это уж точно не весь коллектив.

Культура информационной безопасности организации

Логика рассуждений приводит нас к следующим решительным взаимосвязям.

Во-первых, культура ИБ — это деятельность всех сотрудников организации по обеспечению уважения интересов заинтересованных сторон общего дела в отношении информации. Это интересы владельцев бизнеса, учредителей, клиентов, партнеров, менеджмента, сотрудников и другие. Эта деятельность — условие для поддержания доверительных отношений в стратегической перспективе. Точно так же, как качество — условие для долгосрочного доверия со стороны клиентов.

Во-вторых, ключевым условием для возникновения культуры ИБ внутри организации, развития этой культуры и обеспечения её долгосрочной устойчивости является наличие менеджмента ИБ, представленного иерархией лидеров.

В-третьих, чтобы между организациями было обеспечено доверие, необходимы механизмы установления общей для них культуры: партнерские сети, добровольные объединения, стандартизация, саморегулирование, а также государственное регулирование и международные соглашения. В частности, такой инициативой государства является Закон «О персональных данных».

Только при одновременной реализации всех этих условий возможно возникновение полноценной культуры информационной безопасности в организации, за устойчивость и надежность развития которой не нужно будет беспокоиться ни владельцам бизнеса, ни клиентам, ни партнерам, ни сотрудникам, ни другим участникам, ни государству.

Эта логика распространяется на многие сферы деловой активности и жизни: на сферы качества, экологии, охраны труда, безопасности, информационных технологий, комфорта жизненного и рабочего пространства.

Открытость культуры

Последним аккордом хотелось бы подчеркнуть очень важный аспект, без которого культура не может быть сформирована. Любого человека, любого руководителя в жизни волнует всего два вопроса: «Правильные ли дела я делаю?» и «Правильно ли я их делаю?». Ответ на эти вопросы один: чтобы делать правильные дела правильно, нужно быть открытым. И в первую очередь это вопрос готовности получать независимую оценку дел, доверять этой оценке, иметь цель в сближении своего отношения и отношения окружающих, а значит, цель в формировании общей культуры.