Русская ментальность как фактор невозможности адекватного
управления ИБ на базе западных практик
Лукацкий Алексей, консультант по безопасности
Критические факторы успеха внедрения СУИБ
• Понимание бизнес- и организационных процессов и целей организации
• Вовлечение руководства компании в процесс обеспечения ИБ и поддержки ее уровня
• Внедрение культуры ИБ на всех уровнях предприятия и для всех категорий сотрудников – Вовлечение персонала – Регулярные тренинги и повышение осведомленности
• Эффективный маркетинг ИБ в рамках всего предприятия • Непрерывность процесса обеспечения ИБ • Постоянный мониторинг состояния защищенности предприятия
– Разработка и внедрение системы оценки ИБ (метрики) • Определение критериев принятия рисков
Сначала я хотел говорить о типичных проблемах с внедрением СУИБ
• Об отсутствии вовлеченность руководства в процесс управления ИБ
• Об отсутствии адекватного финансирования ИБ • Об отсутствии квалифицированного персонала
Потом я хотел говорить про исторические основы ИБ в России
• ИБ для сохранности государевых тайн
• ИБ занимается только государство
• ИБ-специалист – специалист, обученный государством
• Интересы государства и бизнеса в ИБ сильно разнятся
Что определяет русскую ментальность?
• Большие расстояния определяют отсутствие дорог и замедленное развитие
• Длинные зимы (холода) заставляют ударно работать очень непродолжительное время
• Нахождение между Востоком и Западом
География
• Раскол России после наплыв европейской цивилизации во времена Петра I на цивилизованную и «крестьянскую»
• Много представителей «крестьянского» сознания и кучка «европейских интеллигентов»
История
• Нетерпимость к инакомыслию осложняет внедрение чего-то нового и непривычного
• Индивидуальная ответственность личности как зависимость от конфессии и возможности искупить/не искупить ошибки
• Приверженность «близкому кругу» своих родственников
Религия
Отношение к труду
• В России к труду относятся как к провинности – работать, чтобы жить – «Пока гром не грянет, мужик не перекрестится» – «Работа не волк, в лес не убежит»
• В Европе и Америке – жить, чтобы работать – Новаторство не является угрозой стабильности, а скорее наоборот
• Выводы: в России мало кто хочет внедрять что-то новое, требующее непрерывного вовлечения в процесс, как минимум, поддержания, но лучше улучшения ситуации
Как зима влияет на внедрение ISO 27001?
• Русские привыкли к чрезмерному кратковременному напряжению сил, работать напряженно и споро, а затем отдыхать долгую зиму. Надо было спешить, усиленно работать, чтобы сделать много в короткое время – В. Ключевский
• Выводы: в России привыкли активно работать перед непростым временем (аудит, самооценка, аттестация), но между отдыхать, что противоречит идее ровного, но постоянного труда по непрерывному обеспечению ИБ
Индивидуальная ответственность
• «Если в сортире воняет, и никакой жизни нет от воровства, то виноваты все, а значит никто» – А. Чехов
• Привычная тирания и автократия во власти и, как следствие, отсутствие персональной ответственности и нежелание ее брать на себя
• Выводы: невозможность вовлечения руководства, линейных менеджеров и рядовых сотрудников в процесс обеспечения и управления ИБ
Крестьянское сознание
• Признаки крестьянского сознания – Пренебрежение к закону – Разнузданность власти – Неготовность людей к взаимному сотрудничеству – Пассивность при столкновении с трудностями – Отсутствие гражданского сознания – Крайне эгоистическое преследование личных интересов
• Выводы: нежелание соблюдать любые нормы - в жизни, в работе, а также отсутствие боязни нарушить что-то, отсутствие разделения на «черное» и «белое», появление задора и желания нарушать «все и вся»
Отсутствие среднего класса
• «Демократия в России начала ХХ века была невозможна, ибо не было исторических предпосылок для ее развития» – Плеханов
• Большинство людей не заинтересовано в строительстве «лучшего мира» - их устраивает текущая ситуация – Инертность сознания
• Отсутствие среднего класса – мировоззрения, основанного экономической независимостью от власти – Поэтому у нас либо «цари», либо «крестьяне»
• Вывод: ни «царям», ни «крестьянам» лучшие практики по ИБ не нужны
Влияние православия
• Нерассуждающий разум – «не должно смети иметь мнение» – «не чти много книг, да не во ересь впадеши» – «Менялось содержание мысли, но метод мышления оставался прежний. Под византийским влиянием мы были холопы чужой веры, под западно-европейским стали холопами чужой мысли», В.Ключевский
• Вера, исключающая размышления и нетерпимость к инакомыслию и новациям
• Вывод: Россия с трудом воспринимает новые идеи в области СУИБ, а если и берет, то не может критически их оценить, принимая на веру
Влияние православия
• Легкое отношение к закону – возможность покаяться и жить «как прежде» – «В периодическом прощении грехов на исповеди вижу вредный обман, только поощряющий безнравственность и уничтожающий опасение перед согрешением», Л.Толстой
• Любой акт власти оценивается русским с точки зрения его морали и справедливости, а не правовых норм
• Вывод: наличие политик ИБ, особенно что-то запрещающих (т.е. Несправедливых) не является основанием для их исполнения, что делает невозможным вовлечение персонала в процесс обеспечения ИБ
Потребности человека
• В 1943-м году философ Абрахам Маслоу опубликовал модель потребностей человека – Основные физиологические потребности (еда, сон, тепло, секс)
– Безопасность (жилье, постоянная работа, здоровье, защищенность от опасностей)
– Отношения (друзья, партнеры, любовь)
– Признание (статус, власть, деньги) – Самореализация
Влияние ментальности на экономику страны и ИБ конкретной организации
• Не достигнув нижнего уровня потребностей, человек не переходит на следующий – Зачем мне безопасность, если я голоден?
– Зачем мне думать об информационной безопасности, если я под страхом увольнения?
От русской души к русской компании
Противоречивость русской души или резюмируя
• «Слабости» русского характера, которые бросаются в глаза иностранцам: небрежность в работе, беспечность, критиканство и отсутствие действия, пьянство, своеволие и попустительство, склонность к абсурдным поступкам, внутренняя саморазорванность и увлечение безудержным самобичеванием – Н. Лосский
• Вывод: внедрение и, что особенно важно, поддержание на должном уровне западных подходов по управлению ИБ, изложенных в ISO 27001, ISF, ISM3 и т.п. в России на текущем этапе ее развития невозможно
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 17
Благодарю вас за внимание
Top Related