пятница, 29 апреля 2011 г.

Практика ИБ \ Пишите документы по безопасности, которые люди смогут читать!

Недавно увидел очень интересную презентацию Брэда Бимиса (Brad Bemis) "Пишите политики безопасности, которые люди смогут читать!". Брэд в одной презентации объединил лучшие рекомендации, которые позволят сделать нормативные документы по информационной безопасности гораздо более эффективными. Я решил не просто перевести презентацию, а сделать из нее небольшую статью.


Все мы знакомы со стандартным набором требований, предъявляемых к разработке нормативных документов по ИБ, которые (теоретически) должны обеспечить успешность и эффективность этих документов: получение поддержки руководства, распределение ролей и назначение ответственных, учет специфики компании, ее потребностей в обеспечении безопасности, учет результатов оценки рисков, указание четких требований и обеспечение возможностей для их выполнения. И т.д. Безусловно, все это правильно, но...

Сколько в вашей компании сотрудников, которые знают где найти действующие нормативные документы по ИБ? А сколько из них потратили время на ознакомление с этими документами и поняли, что в них написано? Сколько из них помнят указанные в документах требования через месяц после прочтения? Сколько сотрудников стараются соблюдать эти требования и следят за тем, чтобы их коллеги также следовали им? К сожалению, часто в ответе уже на первый вопрос количество сотрудников весьма небольшое, и оно продолжает снижаться при ответе на каждый следующий вопрос...


Почему традиционный подход не работает, хотя мы, вроде бы, все сделали правильно? Увы, на то есть целый ряд причин:
  • Основное значение для сотрудников имеет то, что говорят им их руководители, какие задачи они перед ними ставят и как оценивают их работу. Если сюда не входят вопросы безопасности, они автоматически становятся для сотрудников несущественными. Сотрудники просто хотят делать свою работу.
  • Часто мы пишем документы не для той аудитории (а иногда - вообще "для галочки"). Нередко документы пишутся так, чтобы они понравились, в первую очередь, аудиторам и надзорным органам, либо для выполнения требований законодательства. Используется масса технических терминов, не понятных обычным людям, описываются все возможные ситуации, 80% из которых никогда не произойдет, и т.д.
  • Многие документы оказываются слишком большими. Бывает, что общая нормативная база документов по ИБ (которые должны соблюдать все сотрудники компании) состоит из нескольких десятков различных документов, общий объем которых составляет сотни страниц. При этом некоторые документы оказываются неактуальными, противоречат друг другу, используют различную терминологию.
  • Слишком много места в документах занимают части, которые не относятся к сути самого документа: введение, область действия, терминология, ссылки на другие документы.
  • Большинство документов пишется официальным, "канцелярским", директивным языком. Читать такие документы, сохраняя концентрацию, понимая и запоминая написанное, может далеко не каждый. Обычный человек заснет уже на второй странице. 
  • В документах по безопасности часто делается упор на различных наказаниях за невыполнение требований, а не на преимуществах от их соблюдения. Палка вместо морковки.
  • Нередко документы по информационной безопасности хранятся "кучей" в сетевой папке или на корпоративном веб-сервере, либо вообще не выделяются из общей массы нормативно-распорядительных документов компании. Сотрудники просто физически не могут найти все требования ИБ, которые они, теоретически, должны соблюдать.
Мы пытаемся решать эти проблемы с помощью различных процедур обучения и повышения осведомленности сотрудников, но их эффективность невысока при низком качестве нормативных документов и незаинтересованности со стороны сотрудников.

Рассмотрим, например, политику ИБ компании. Политика ИБ - это заявление руководства компании о намерениях в области ИБ, о роли ИБ в компании, об ожиданиях компании по действиям сотрудников. Но политика ИБ - это не юридический договор с сотрудником, это не документ для аудиторов, не способ перекладывания вины за проблемы безопасности.

Ни в одном из внешних документов, требующих наличия в компании политики ИБ (например, СТО БР ИББС-1.0, PCI DSS), не говорится, что политика должна быть длинной и запутанной, что она должна быть оформлена в стиле юридического документа, что она должна охватывать абсолютно все возможные случаи, что она должна делаться для аудиторов. Так почему же мы пишем политику и другие документы по ИБ именно таким образом?!

Но как мы можем изменить свой подход, чтобы разработанные нами документы люди могли читать, понимать и использовать в работе? К счастью, такие способы существуют. Для этого при разработке документа нужно:
  • Определите цель документа и контекст. Определите для себя, что именно вы хотите получить в результате (ведь разработка документа обычно не является самоцелью)? Действительно ли для этого нужен нормативный документ и именно документ выбранного вами уровня (политика, стандарт, процедура, регламент и т.д.)? Как этот документ поможет вам? Как вы будете распространять документ, доводить его до сведения сотрудников? Кто будет заниматься внедрением этого документа в работу компании? Кто и как будет контролировать исполнение установленных в нем требований? Что вы будет делать, в случае нарушения требований? Вписывается ли документ в корпоративную культуру компании?
  • Определите и проанализируйте аудиторию, для которой предназначен документ. Кто является целевой аудиторией документа? Для кого он предназначен, на кого он направлен? Какие общие черты у членов этой аудитории? В чем различия между ними? Что они делают? Что для них важно? Насколько сильно они загружены работой? Что ожидается от них?
  • Определите границы документа. Какое поведение членов аудитории вы хотите изменить? Как бы вы описали желаемое поведение? Каким образом вы будете оценивать изменения? Каково основное сообщение, которое вы хотите передать им с помощью документа? Насколько подробным должно быть это сообщение? Как вы можете максимально сократить его?
  • Используйте простой и понятный язык. Подумайте, как бы вы передали это сообщение вашей бабушке или вашему ребенку? Вашему бестолковому соседу? Как бы вы говорили об этом? Перепишите ваше сообщение языком, близким к разговорному, уберите из документа все сложные понятия и термины, если они не являются ключевыми для этого документа. Сделайте текст максимально кратким и конкретным, заинтересуйте вашу аудиторию.
  • По возможности используйте визуализацию. Визуальный элемент может заменить тысячу слов. Вместо нудного описания процесса, нарисуйте и вставьте в документ его схему. Десяток страниц с требованиями можно заменить небольшой интеллект-картой. Однако к вопросу использования визуальных элементов нужно подходить очень внимательно - они должны быть уместными, приемлемыми и понятными аудитории вашего документа.
  • Не будьте слишком серьезны. Если корпоративная культура компании позволяет, добавьте в документ некоторую "несерьезность", постарайтесь сделать документ интересным - люди гораздо лучше воспримут и запомнят его. Компании, которые используют этот прием, достигают гораздо большего, чем те, кто считает это недопустимым. Если нельзя сделать это в самих нормативных документах, сделайте веселую настольную книгу сотрудника по вопросам ИБ и укажите в ней в доступной форме все, что сотрудники должны делать.
  • Максимально упрощайте и сокращайте все. Пишите только те документы, которые обязательно должны быть написаны. Исключите из них все незначительное и несущественное - такие элементы будут только мешать запомнить более важные вещи. Помните, что сотрудники вашей компании - занятые люди, уважайте их работу и их время. Поймите, что безопасность не является их приоритетом номер один. Примите это.
  • Сделайте документ полезным и эффективным инструментом. Помимо самого документа вы можете оформить краткие справочники, "шпаргалки", чек-листы, контрольные списки. Сделайте выполнение требований по ИБ сотрудниками компании чуточку проще. 
  • Обеспечьте удобный и быстрый поиск документов по ИБ. Создайте на корпоративном сайте компании раздел по ИБ, разместите в нем все действующие документы по ИБ, организуйте их удобный поиск. Сделайте страницу с ответами на часто возникающие вопросы. 
  • Получайте обратную связь от сотрудников, используйте ее для улучшения документов.
Возьмите за основу подходы, которые применяются в серии книг "для чайников". Они используют практически все вышеперечисленное. И эти подходы доказали свою эффективность во всем мире. Они делают сложные вещи простыми и понятными. Люди с удовольствием читают эти книги и получают базовый набор необходимых им знаний.

Конечно, вы можете возразить, что документы по ИБ не могут быть несерьезными, что вы не сможете установить ответственность сотрудников за выполнение требований, указанных в таких документах, что аудиторам это может не понравиться и т.п. Но вернемся немного назад. Для кого вы пишете документы по ИБ? Какие цели ставите? Вы хотите, чтобы ваши документы читали и использовали в работе сотрудники компании?

Если написать таким образом документ в вашей компании абсолютно не представляется возможным, сделайте два варианта документа. Один из них будет написан обычным "канцелярским" стилем и будет успокаивать руководство, юристов, надзорные органы, аудиторов. Второй вариант, который будет сделан с использованием приведенных здесь рекомендаций, будет реально использоваться в работе сотрудниками. Вы можете назвать это материалами для повышения осведомленности сотрудников - это не важно. Важно, чтобы они ознакомились с требованиями, поняли их и соблюдали. Однако вам при этом придется делать двойную работу и следить за актуальностью двух комплектов документов. Но даже в таком случае, оно того стоит!

Помните, что нормативные документы вводятся в действие, чтобы помогать сотрудникам, а не мешать им. Хороший документ, это тот, который читают, понимают и соблюдают!


P.S. Кстати, многие из рекомендаций очень похожи на рекомендации по проведению презентаций (ссылка 1ссылка 2). Там можно почерпнуть еще несколько полезных идей :)

13 комментариев:

Сергей Ерохин комментирует...
Этот комментарий был удален автором.
Сергей Ерохин комментирует...

Посмотрите документ РС БР ИББС-2.0-2007. Хоть на первый взгляд и кажется, что требования к Политике ИБ Банка России не существенные и можно обойтись одной страничкой, но если изучить вопрос поглубже, то станет понятно, что при всех требованиях которые предьявляет БР документ не может быть в виде одной странички :)

eagle комментирует...

А кто говорит про одну страницу? ;) И политика ИБ была приведена в качестве примера. К тому же никто не мешает сделать 2 документа: официальную политику и выжимку из нее, в которую включить только то, что нужно знать сотрудникам компании :)

Ригель комментирует...

Конечно, хорошая политика лучше, чем плохая (какая сенсация!), но, положа руку на сердце, ни хрена она не дает.
Ее чудодейственность - такой же очередной миф, как культ бизнес-планов, например, если кто помнит.

Сергей Ерохин комментирует...

Был у меня в начале карьеры опыт работы по направлению технической поддержке, когда пользователям объясняешь, что папка на рабочем столе - это желтый кирпичек :). Донести до таких пользователей ПИБ - это надо хрюшу и степашку привлекать :).
По поводу выжимки! Выжимка - это есть инструкция для пользователей, которая детализирует требования политики.

eagle комментирует...

>> Выжимка - это есть инструкция для пользователей, которая детализирует требования политики.

Как-то все в кучу :)) Выжимка из политики инструкцией не станет. Выжимка из политики - это краткая политика, написанная более доступным языком. Инструкция - это другой, сам по себе более детальный документ.

eagle комментирует...

Ригелю - как-то у Вас все мрачно :( Чудодейственности никто не обещал, а сделать документы по ИБ чуточку лучше и эффективней - вполне реально. ;)

Сергей Ерохин комментирует...

Простой пример ;).
В политике пишем требование: Должны быть определены требования к паролям пользователей и администраторов ИС.
А в инструкции пишем: пароль должен содержать...................
Выжимай из этого требования - не выжимай :). Выжимать можно из документа в 50-100стр. Но лично я уже давно не пишу такие документы и считаю что все написать в одном документе и дать пользователю читать - по меньшей мере он даже не откроет такой документ.
Я придерживаюсь кратких инструкций по отдельным направлениям деятельности в области ИБ.

eagle комментирует...

ИМХО, пример не совсем корректный ;)
У Вас должна быть частная политика по парольной защите, в которой будет указанное Вами требование. В "выжимку" этой политики для пользователей оно вообще не попадет - их оно не касается. И отдельно будет более детальная инструкция по парольной защите, в которой Вы детализируете требования частной политики. Из нее тоже можно сделать "выжимку", чтобы включить только то, что касается пользователей.
Но это два разных документа. Они разного уровня.

eagle комментирует...

А что касается кратких документов - это, безусловно, хорошо. Но они, тем не менее, могут оставаться непонятными для обычных людей ;( Из таких документов иногда может быть полезно сделать спецверсию "для чайников" :)))

Алексей Волков комментирует...

Вообще-то "обычным людям" (да и необычным тоже) знать содержание всех без исключения документов совсем не обязательно. Но все без исключения должны знать, что в организации делается по ИБ, чем это регламентируется и где все это можно найти. Вот в этом и заключается смысл документа "политика ИБ".

Анонимный комментирует...

А примеры регламентов есть?

eagle комментирует...

Например, вот: http://secureitexpert.com/policies-processes/policies-a-sample-security-policy-written-my-way/