«Социология середины 80-х кажется далёкой от практики защиты информации, но только до тех пор, пока безопасность воспринимается как набор документов для ФСТЭК. Реальность показывает, что любой регламент, не учитывающий, как его будут читать, обходить и интерпретировать люди, превращается в формальность. Теория структурации Энтони Гидденса даёт ключ к пониманию этого разрыва — она объясняет, почему внедрённые процессы по 152-ФЗ часто «не приживаются» и как сделать так, чтобы они работали.»
Агент, структура и дуальность: язык для анализа живых процессов
Основная проблема регуляторики — разрыв между формальными правилами и реальными действиями. Почему политика безопасности существует в документе, а сотрудники продолжают пересылать файлы через личные мессенджеры? Концепция дуальности структуры Энтони Гидденса даёт на это конкретный ответ.
Любая организация с точки зрения этой теории, это не статичный набор процессов, а динамическая система из трёх постоянно взаимодействующих элементов:
- Агент (agent), это любой действующий субъект: рядовой сотрудник, администратор, руководитель подразделения. Агент не просто следует инструкциям — он осознаёт правила, обладает своими целями и знаниями о рабочем контексте, и на основе этого совершает выбор.
- Структура (structure), это правила и ресурсы, которые делают возможными или ограничивают действия агентов. В контексте ИБ структура, это требования 152-ФЗ, внутренние регламенты ФСТЭК, система разграничения доступа, выделенный бюджет, штатное расписание. Важно: структура не существует сама по себе в виде папок на сетевом диске. Она материализуется только через действия людей.
- Практика (practice), это рутинные, повторяющиеся действия агентов во времени: ежедневный вход в систему, процедура согласования, проведение совещаний, передача информации.
Дуальность означает, что структура выступает одновременно как условие для действий агентов и как их результат. Регламент (структура) предписывает использовать сложные пароли (условие). Сотрудник (агент), чтобы не забыть пароль, записывает его на бумажку, прилепленную к монитору (практика). Этой практикой он неявно создаёт новое правило — «пароль можно хранить видимым способом», — тем самым модифицируя или подрывая исходную структуру.
Для специалиста по безопасности это означает смену парадигмы: документ по ФСТЭК — не догма, а элемент структуры, который будет неизбежно интерпретирован, адаптирован или проигнорирован в зависимости от контекста реальной работы агентов.
Регулативные и интерпретативные схемы: два типа правил в организации
Гидден разделяет правила, управляющие действиями, на два фундаментально разных типа. Понимание этого различия критично для внедрения любых требований.
Регулативные схемы (нормативные правила)
Это формальные, санкционированные правила. В ИБ к ним относятся политики безопасности, должностные инструкции, приказы, требования стандартов. Они отвечают на вопрос «что должно быть сделано» и имеют легитимность, подкреплённую законом или распоряжением руководства. Пример: «Передача конфиденциальных данных допускается только через утверждённые защищённые каналы».
Проблема регулятивных схем в их статичности и часто в декларативности. Они описывают идеальное состояние, но могут игнорировать реальные рабочие процессы, создавая «бумажную» безопасность.
Интерпретативные схемы (интерпретирующие правила)
Это неформальные, часто неартикулированные рамки, через которые сотрудники осмысляют свои повседневные задачи. Они отвечают на вопрос «как это делается здесь на самом деле». Эти схемы формируют реальную культуру безопасности и основаны на удобстве, привычке и коллективном опыте. Пример: «Чтобы быстро передать большой файл, все используют личный облачный диск, хотя это и запрещено».
Интерпретативные схемы обладают огромной силой, потому что они решают реальные проблемы агентов здесь и сейчас, пусть и с нарушением формальных правил.
| Критерий | Регулативная схема | Интерпретативная схема |
|---|---|---|
| Основа | Документ, приказ | Опыт, привычка, коллективная договорённость |
| Проявление | Политики, регламенты, инструкции | Неформальные практики, «лайфхаки», устные договорённости |
| Источник легитимности | Закон, распоряжение руководства | Удобство, эффективность в глазах сотрудников |
| Типичный пример в ИБ | Требование о ежеквартальной смене сложного пароля | Использование одного общего пароля для доступа к тестовому стенду всеми членами команды |
Внедрение нового требования ФСТЭК, это всегда столкновение вновь созданной регулятивной схемы с уже существующими интерпретативными схемами. Успех определяется не жёсткостью контроля, а тем, сможет ли новая формальная норма интегрироваться в сложившуюся систему неформальных практик, предложив удобную и легитимную альтернативу.
От теории к практике: как использовать структурацию в российском ИБ-контексте
Теория Гидденса не остаётся абстракцией. Она даёт конкретные ориентиры для работы на каждом этапе жизненного цикла системы защиты информации.
Разработка политик и регламентов: предотвращение формализации
Создание документа по шаблону ФСТЭК — типичный пример порождения регулятивной схемы. Ключевая ошибка — разработка в вакууме, без анализа интерпретативных схем, которые уже действуют в организации.
Эффективный подход начинается с этапа исследования:
- Как на самом деле происходит обмен рабочими файлами между отделами?
- Какие неформальные каналы связи используются для срочных вопросов?
- Как сотрудники обходят сложные или медленные утверждённые процедуры (например, получение доступа или установку ПО)?
Политика, построенная на основе этого анализа, не просто запрещает. Она признаёт существование неформальных практик и предлагает для них легитимный, безопасный и, что критично, удобный замещающий механизм. Например, вместо тотального запрета на мессенджеры — внедрение и популяризация корпоративного защищённого решения с упрощённой процедурой onboarding.
Внедрение и контроль: наблюдение за изменениями в практиках
Момент внедрения, это точка взаимодействия регулятивной схемы с агентами. Контроль, сфокусированный исключительно на формальном соответствии («все ли подписали инструкцию?»), бесполезен для оценки реальной интеграции.
Значительно важнее отслеживать изменения в паттернах поведения — в интерпретативных схемах:
- После введения правила об обязательной двухфакторной аутентификации (2FA) появились ли запросы на выдачу аппаратных токенов «для общего пользования» отделом?
- После запрета на внешнюю почту для рабочих данных увеличился ли объём трафика через санкционированные, но не предназначенные для этого внутренние ресурсы (например, файловые вики)?
Появление таких новых, неформальных практик — прямой сигнал о том, что регулятивная схема вошла в конфликт с рабочим контекстом агентов и была ими переосмыслена. Это повод не для наказания, а для анализа и корректировки самой схемы или рабочих процессов.
Реагирование на инциденты и адаптация: поиск разрыва в структуре
Инцидент безопасности, это сбой в воспроизводстве структуры. Его анализ с позиции структурации требует выйти за рамки поиска технической уязвимости или виновного сотрудника. Необходимо ответить на вопросы:
- Какие ресурсы были использованы агентом (злоумышленником или сотрудником)? Был ли это легитимный доступ, полученный по процедуре, или ресурс, созданный неформально (например, общая учётная запись)?
- Какие правила были задействованы? Нарушалась ли только регулятивная схема, или агент действовал в полном соответствии с интерпретативной схемой своей группы («у нас так принято»)?
- Какая практика привела к инциденту? Была ли это рутинная, повторяющаяся операция (как передача файлов), которая долгое время существовала в «серой» зоне?
Классическая утечка через личный мессенджер — яркий пример. Формально (регулятивно) это запрещено. Практически (интерпретативно), это самый быстрый способ решить задачу, одобряемый в коллективе. Устранение последствий такого инцидента требует не только наказания нарушителя, но и изменения структуры: либо путём легитимации и обезличивания практики (внедрение безопасного аналога), либо путём изменения контекста работы, который порождает эту потребность.
теория структурации не даёт готовых ответов, но предлагает мощный аналитический инструмент. Она смещает фокус с проверки документов на понимание того, как эти документы живут в ежедневных практиках людей. В условиях российской регуляторики, где риск формального подхода особенно высок, такой взгляд позволяет превратить требования ФСТЭК из обузы для отчётности в реальный механизм управления рисками.