Пишите документы по безопасности, которые люди смогут читать!

Недавно увидел очень интересную презентацию Брэда Бимиса Пишите документы по безопасности, которые люди смогут читать! Брэд в одной презентации объединил лучшие рекомендации, которые позволят сделать нормативные документы по информационной безопасности гораздо более эффективными. Я решил не просто перевести презентацию, а сделать из нее небольшую статью.

Все мы знакомы со стандартным набором требований, предъявляемых к разработке нормативных документов по ИБ, которые (теоретически) должны обеспечить успешность и эффективность этих документов: получение поддержки руководства, распределение ролей и назначение ответственных, учет специфики компании, ее потребностей в обеспечении безопасности, учет результатов оценки рисков, указание четких требований и обеспечение возможностей для их выполнения. И т.д. Безусловно, все это правильно, но...

Сколько в вашей компании сотрудников, которые знают где найти действующие нормативные документы по ИБ? А сколько из них потратили время на ознакомление с этими документами и поняли, что в них написано? Сколько из них помнят указанные в документах требования через месяц после прочтения? Сколько сотрудников стараются соблюдать эти требования и следят за тем, чтобы их коллеги также следовали им? К сожалению, часто в ответе уже на первый вопрос количество сотрудников весьма небольшое, и оно продолжает снижаться при ответе на каждый следующий вопрос...

Но как мы можем изменить свой подход, чтобы разработанные нами документы люди могли читать, понимать и использовать в работе? К счастью, такие способы существуют. Для этого при разработке документа нужно:

• Определите цель документа и контекст. Определите для себя, что именно вы хотите получить в результате (ведь разработка документа обычно не является самоцелью)? Действительно ли для этого нужен нормативный документ и именно документ выбранного вами уровня (политика, стандарт, процедура, регламент и т.д.)? Как этот документ поможет вам? Как вы будете распространять документ, доводить его до сведения сотрудников? Кто будет заниматься внедрением этого документа в работу компании? Кто и как будет контролировать исполнение установленных в нем требований? Что вы будет делать, в случае нарушения требований? Вписывается ли документ в корпоративную культуру компании?

• Определите и проанализируйте аудиторию, для которой предназначен документ. Кто является целевой аудиторией документа? Для кого он предназначен, на кого он направлен? Какие общие черты у членов этой аудитории? В чем различия между ними? Что они делают? Что для них важно? Насколько сильно они загружены работой? Что ожидается от них?

• Определите границы документа. Какое поведение членов аудитории вы хотите изменить? Как бы вы описали желаемое поведение? Каким образом вы будете оценивать изменения? Каково основное сообщение, которое вы хотите передать им с помощью документа? Насколько подробным должно быть это сообщение? Как вы можете максимально сократить его?

• Используйте простой и понятный язык. Подумайте, как бы вы передали это сообщение вашей бабушке или вашему ребенку? Вашему бестолковому соседу? Как бы вы говорили об этом? Перепишите ваше сообщение языком, близким к разговорному, уберите из документа все сложные понятия и термины, если они не являются ключевыми для этого документа. Сделайте текст максимально кратким и конкретным, заинтересуйте вашу аудиторию.

• По возможности используйте визуализацию. Визуальный элемент может заменить тысячу слов. Вместо нудного описания процесса, нарисуйте и вставьте в документ его схему. Десяток страниц с требованиями можно заменить небольшой интеллект-картой. Однако к вопросу использования визуальных элементов нужно подходить очень внимательно - они должны быть уместными, приемлемыми и понятными аудитории вашего документа.

• Не будьте слишком серьезны. Если корпоративная культура компании позволяет, добавьте в документ некоторую "несерьезность", постарайтесь сделать документ интересным - люди гораздо лучше воспримут и запомнят его. Компании, которые используют этот прием, достигают гораздо большего, чем те, кто считает это недопустимым. Если нельзя сделать это в самих нормативных документах, сделайте веселую настольную книгу сотрудника по вопросам ИБ и укажите в ней в доступной форме все, что сотрудники должны делать.

• Максимально упрощайте и сокращайте все. Пишите только те документы, которые обязательно должны быть написаны. Исключите из них все незначительное и несущественное - такие элементы будут только мешать запомнить более важные вещи. Помните, что сотрудники вашей компании - занятые люди, уважайте их работу и их время. Поймите, что безопасность не является их приоритетом номер один. Примите это.

• Сделайте документ полезным и эффективным инструментом. Помимо самого документа вы можете оформить краткие справочники, "шпаргалки", чек-листы, контрольные списки. Сделайте выполнение требований по ИБ сотрудниками компании чуточку проще. 

• Обеспечьте удобный и быстрый поиск документов по ИБ. Создайте на корпоративном сайте компании раздел по ИБ, разместите в нем все действующие документы по ИБ, организуйте их удобный поиск. Сделайте страницу с ответами на часто возникающие вопросы. 

• Получайте обратную связь от сотрудников, используйте ее для улучшения документов.

Возьмите за основу подходы, которые применяются в серии книг "для чайников". Они используют практически все вышеперечисленное. И эти подходы доказали свою эффективность во всем мире. Они делают сложные вещи простыми и понятными. Люди с удовольствием читают эти книги и получают базовый набор необходимых им знаний.

Dmitry Orlov