20.01.2017

Чего не хватает российской нормативке или почему одна картинка говорит больше тысячи слов?

Во вчерашней заметке про новые требования по безопасности SWIFT я упомянул, что отечественным регуляторам не хватает умения визуализировать свои требования и свои документы, что сильно затрудняет применение их на практике. Я уже писал про сложность восприятия документов ФСТЭК (тут, тут и тут), но сегодня я решил чуть раскрыть эту тему. Правда, уже с другой точки зрения, а точнее с точки зрения формата представления документов.

Все мы знаем про три типа восприятия информации - аудиалы (восприятие на слух), визуалы (восприятие через глаза) и кинестетики (восприятие через ощущения и касания). На самом деле есть еще и очень редкий, четвертый тип - дискрет, воспринимающий информацию через цифры, четкие доводы и логическое осмысление. Но знание этих 4-х типов не сильно помогает нам ответить на вопрос, почему тексты российских регуляторов воспринимаются хуже, чем тех же американских. Ответ заключается в таком явлении как "эффект превосходства образа", то есть восприятии визуальных изображений на порядок лучше, чем восприятие текста и тем более устной речи. Даже таблицы, не говоря уже о цифрах или просто стене текста, сложны для восприятия и скучны; от них устаешь уже через пару страниц и смысл документа начинает ускользать от читателя. Спасением являются иллюстрации и изображения, поясняющие или раскрывающие смысл тех или иных положений, а также правильное использование типографики (шрифтов), цвета, визуального ряда и макета/дизайна.

Приведу несколько фактов:
  • Изображения обрабатываются в 60 000 раз быстрее текста
  • 80% людей охотнее читают текст, который сопровождается изображениями
  • В тексте читается всего 28% слов и всего 20% прочитанного остается в памяти
  • Согласно теории Саноки-Сульмана люди лучше запоминают палитры, содержащие сочетание только трех или менее цветов, чем те, в которых четыре и более цвета, а также цветовое различие между контекстом и фоном может повысить нашу способность концентрироваться на контексте. То есть черный текст на белом фоне воспринимается гораздо лучше такого же текста еще и с красным заголовком. А еще эта теория объясняют, почему большинство презентаций регуляторов такое унылое гуано - их авторы почему-то считают, что если использовать для заголовков, текста, подписей на  слайде разные кислотные цвета, то так лучше будет восприниматься.
  • Феномен бинокулярного соперничества глаз требует от нас для нормального восприятия не перегружать страницу/слайд (именно поэтому "стена текста" не читается), выделять ключевые моменты, а также использовать тематические иконки.
  • Используемый шрифт влияет на восприятие контента и на принятие решений по результатам его чтения. Поэтому рекомендуется использовать удобочитаемые шрифты, отделять текст от изображений, не накладывать изображения на текст и оставлять достаточно свободного пространства между абзацами.
  • Согласно теории Кастелано-Хендерсона восприятие контента улучшают подходящие иконки или картинки для представления данных, расположенный в правильной последовательности контент (списки и таблицы), а также использование привычных цветов для важных объектов.
Ну а дальше будет несколько примеров, по которым вы, сами для себя, может судить о том, насколько легко или тяжело воспринимать представленную информацию (возможно у меня глаз уже замылен и я привык к нашим НПА по ИБ, но российские документы бросаются в глаза мгновенно):
PCI DSS v3.0
ITU-T E.409 по реагированию на инциденты для организаций электросвязи 
Финнский стандарт по критериям аудита ИБ (KATAKRI)
Канадский "ФЗ-152" (PIPEDA) 
Французский стандарт по анализу рисков  (MEHARI)
ISF SoGP
NIST SP800-53

Указание Банка России по угрозам ПДн
FFIEC IT Examination Handbook
Приказ №17 ФСТЭК
Приказ №470 Минэкономразвития 
Приказ ФСТЭК по КСИИ
СТО БР ИББС 1.3 по сбору доказательств
Проект ГОСТ с базовым набором защитных мер для финансовых организаций
Концепция по ГосСОПКЕ
Приказ №378 ФСБ
NIST CSF v1.0
Стандарт Катара по безопасности критических инфраструктур
Понятно, что рекомендация будет простой - учитывать особенности восприятия информации при оформлении документов. Для этого можно либо ориентироваться на мировой опыт (благо его полно) и попробовать сделать самостоятельно, не забыв проверимость на "читаемость" на коллегах, либо нанять дизайнера в штат (или найти любителя дизайнов и макетов среди сотрудников), либо заплатить (что, конечно, врядли) агентствам, специализирующимся на таких вопросах.

ЗЫ. Это же касается и многих корпоративных документов по ИБ, ориентированных вроде бы на рядовых пользователей, но совершенно ими не воспринимаемых. И причина тут может быть не в том, что контент плохой, а в том, что подача его неудовлетворительна.