8.2.12

Почему не работают политики ИБ, а также наказания за их нарушения?!


Наказание за нарушение ФЗ-152 хотят увеличить. Но это мало кого пугает - на различных мероприятиях по ИБ я регулярно слышу, что люди устали от темы ПДн. Столько лет мусолить тему защиты прав субъектов ПДн и самих ПДн и вот результат - всем по барабану на это важнейшее направление в области защиты информации. С внедряемыми политиками ИБ на предприятии ситуация аналогичная - написано их много, а работает их мало. Даже наказания мало кого пугают (хотя по линии ИБ наказаний-то почти и нет - так одни страшилки без реального применения).

И вот вчера, в самолете, я прочел заметку "Праздник непослушания". Автор - Лидия Матвеева, профессор факультета психологии МГУ, доктор психологических наук. Она объясняет, почему так происходит. Просто выполнять какие-либо требования некому! У нас исчезла традиция законопослушания. Свобода, как вседозволенность, преподносимая СМИ последние пару десятилетий, негативно сказалась на молодежи и среднем поколении. Они становятся все более непослушными и дерзкими; запреты их раззадоривают (чем моложе, тем сильнее), а не пугают или загоняют в рамки. Тоже происходит и с более старшим поколением, в которое вбивались в советское время нормы законопослушания, но последние годы и они выветриваются.

Что в итоге? Нежелание соблюдать любые нормы - в жизни, в работе. Хорошо, если это просто несоблюдение, которое не приводит к реализации той или иной угрозы. А если последствия несоблюдения норм более серьезны? Это же, кстати, является причиной и роста киберпреступности - нет боязни, нет разделения на черное и белое и есть задор. Результат специалистам знаком - рост киберпреступлений. А тут еще и неработающие статьи Уголовного Кодекса и не самое высокое желание правоохранительных органов в регионах заниматься расследованиями.

Что делать, спросите вы? Увы, простого рецепта тут нет. Государство столько лет ломало выстроенную систему воспитания и обучения молодежи, что и возвращаться в правильное русло надо долго. Нужна государственная программа повышения осведомленности в области компьютерной безопасности, чтобы детей со школьной скамьи учили правилам компьютерной гигиены. На корпоративном же уровне необходимо уходить от системы наказаний за соблюдение правил и политик ИБ - нужно внедрять еще и систему поощрения. Иными словами система мотивации должна быть не только со знаком минус, но и со знаком плюс.

ЗЫ. Попробуйте себе ответить на вопрос, как на вас повлияло увеличение штрафов за нарушение правил дорожного движения? Вы стали аккуратнее ездить и меньше нарушать? Или все осталось по-прежнему?

12 коммент.:

Алексей комментирует...

Ответ: с увеличением штрафов стал аккуратнее ездить и меньше нарушать, но вопрос соблюдения ПДД напрямую касается моей безопасности и безопасности моей семьи, в отличие от ФЗ-152 для работников оператора.

biakus комментирует...

"Я верю, что основной выбор человека - это выбор между жизнью и смертью. Каждый поступок предполагает этот выбор"

Фромм Э.

"Если предложить людям выбор между свободой и сандвичем, они выберут сандвич"

Бойд-Орр Дж.

Я к тому что политика палки преобладает, но не смертельна. А политика пряника практически отсутствует, поскольку трудно оценить косвенную выгоду от этих вложений.

Анонимный комментирует...

Особо не слежу за изменениями штрафов, думаю 90% автомобилистов это не отслеживают - если только попался и заплатил больше, чем раньше. Как ездил, так и езжу, нарушаю по-мелочи, не наглея (не могу ехать 90 по пустой нормальной дороге, но больше чем на 40 не превышаю, в населенных пунктах - 60-70). Т.е. я выбрал для себя табу, естественно где неприемлеый риск и большая ответственность. Но требования ПДД мне понятны, может за исключением 2-3 пунктов, соглашусь, что они написаны "кровью". А выполнять требования, которые непонятны, когда на вопрос почему? отвечают потому что! и ответственность за нарушения которых небольшая: если ответственность маленькая, значит вред тоже небольшой, а еще с учетом вероятностного характера...

Tiger комментирует...

to Сергей
>>А выполнять требования, которые непонятны, когда на вопрос почему? отвечают потому что!

Это вы я надеюсь про Пдн говорите?
Если говорить не про ПДн, а про соблюдение политик ИБ, то убежден, что если б за нарушения отвечали,например, деньгами, то ситуация бы резко улучшилась. Например, у вас премия 50% процентов оклада и если бы даже всего 5%(!)этой премии вы бы лишались в случае нарушения в отчетном месяце ключевых правил и политик ИБ, то для многих это было бы достаточной мотивацией!
Однако, тут мы слышим от работодателей, что дескать люди и так мало получают, нельзя с них еще и за это вычитать.
Вывод
Работодатель не понимает важности соблюдения правил ИБ, хотя и декларирует это в политике ИБ. Хотя возможно, что он и прав, но тогда нужны мощные административные воздействия, которые тоже работают, если их применять!
Например, используешь интернет не в служебных целях - твой руководитель получает подробный отчет об этом и задумывается о твоей нужности на рабочем месте вообще! А ты получаешь предупреждение, а в последствии - отключение на месяц.
И это все очень даже работает.
Безусловно одно - после того как правила прописаны, необходимо отслеживать их исполнение и воздействовать на нарушителей. Иначе, эти правила так и останутся только написанными на бумаге.

Рустэм Хайретдинов комментирует...

Правила проверяют и наказание определяют люди, с которыми всегда можно договориться. У нас не работает принцип равенства закона для всех и неотвратимости наказания для каждого, поэтому люди не выполнят не только эти, но и вообще большинство законов и правил. Начиная с мест курения, игнорирования противопожарных правил, закачки пиратских фильмов, распития в общественном месте, парковки на переходе или газоне и заканчивая неуплатой налогов (банки оассматривают в качестве обеспечения черную зарплату) и отмывом средств.

При этом в общество очень толерантно к нарушителям. Наш человек, узнав что сосед нахаляву подключился к кабельному ТВ просит его тоже подключить, а немец в этом случае звонит как минимум в кабельную компанию, а то и в полицию :)

Tiger комментирует...

Рустэм Хайретдинов

Все так, но занимаясь ИБ в своей компании многое зависит и от вас.
Не закрывайте глаза, исполняйте свои обязанности.
Если с вам легко договорится - то кто ж в этом виноват, кроме вас? )
Безусловно многое зависит и от руководства и людей, принимающих решения. Но такие люди, как правило, не против поддержания порядка.

Марат комментирует...

"Что делать, спросите вы? Увы, простого рецепта тут нет." Рецепт есть. Задам пару вопросов и всё встанет на свои места. 1.) Вам хочется выпить воды (из под крана). Но по правилам - нельзя. Вы спрашиваете почему. Ответ: "Потому что "нельзя"! :) вариант 2.) Вам хочется выпить воды. Но по правилам - нельзя. Вы спрашиваете почему. Ответ: "потому что Вы отравитесь! В воде много бактерий, у вас будет болеть живот, вы попадете в больницу!!!". Видна разница? Человек не будет делать то, что не понимает, что с его точки зрения - не логично. Сравните с собой, разве Мы не такие? Если объяснять к "чему конкретно приведет его оплошность", поверьте, он будет делать так как скажите Вы.

Анонимный комментирует...

to Марат
не все так на самом деле. Бактерии, болит живот и больница ему (пользователю) понятны, так как имеет опыт.
Абсолютно здоровому человеку не сталкивавшемуся с медициной, эти "пугалки" же ничего не скажут. Выпьет воды из под крана легко.

Аналогично и с ИБ, только трояны, утечки и уязвимости будут понятны еще меньше...
Здесь мне думается, лучше исходить из того, что пользователи как дети. Которым что про воду, что про ИБ объяснять (детально) бесполезно - прямые запреты эффективнее.
Иначе устанете рассказывать кто такие бактерии, почему они вызывают боли в животе и что такого плохого в больнице ;)

Евгений комментирует...

Небольшое замечание, по теме совпадения целей ИБ'шников и бизнеса.
Приходит хороший (действительно хороший и руководство это понимает) к руководству с заявлением об увольнении и говорит "да зае..ли меня ваши безопасники, мне у вас не комфортно работать". Другой увольняется... И руководство задумывается "а так ли нужно это жесткое соблюдение политики ИБ, если потом другого спеца в России хрен найдешь?"

Tiger комментирует...

Евгений
ИМХО не может это быть единственной и главной мотивацией сотрудника, а тем более,многих сотрудников для ухода.
Вам пример. Контора А и Б
В А некомфортно от безопасников, но высокая зп. А Б комфортно, но зп ниже. Где будет ваш хороший специалист работать?

>>>И руководство задумывается "а так ли нужно это жесткое соблюдение политики ИБ..

Пусть задумывается. Если не нужно жесткое, значит будет не жесткое. Ваше дело реализовывать их хотения

Cug комментирует...

"На корпоративном же уровне необходимо уходить от системы наказаний за соблюдение правил и политик ИБ - нужно внедрять еще и систему поощрения. "

Прямо по Фрейду :) Только у нас наказывают за соблюдение правил на уровне государства.

Cug комментирует...

"На корпоративном же уровне необходимо уходить от системы наказаний за соблюдение правил и политик ИБ - нужно внедрять еще и систему поощрения. "

Прямо по Фрейду :) Только у нас наказывают за соблюдение правил на уровне государства.