Почему компании копируют стандарты безопасности без реальной пользы

от

«Институциональная теория объясняет, почему организации в одной сфере становятся похожими, даже если это неэффективно. В сфере информационной безопасности это проявляется в слепом копировании стандартов и практик, что приводит к формальному соблюдению требований без реального повышения защищённости.»

Что такое институциональный изоморфизм

Организации работают не в вакууме. На них давят не только рынок и конкуренция, но и менее очевидные силы — ожидания государства, профессионального сообщества, общественное мнение. Институциональная теория изучает, как эти внешние давления заставляют компании перенимать схожие структуры, правила и практики, даже если прямая выгода от этого неочевидна. Этот процесс называется изоморфизмом — стремлением стать похожими, чтобы получить легитимность в глазах окружающих.

В итоге организация может внедрить сложную систему управления безопасностью не потому, что это технически необходимо, а потому, что так делают все уважаемые игроки на рынке, так требуют регуляторы или так написано в модных профессиональных стандартах. Реальная эффективность отходит на второй план, главное — соответствовать ожиданиям.

Три механизма давления: почему безопасность становится одинаковой

Изоморфизм проявляется через три ключевых механизма. Их понимание помогает разобраться в мотивах, стоящих за многими решениями в области ИБ.

Принудительный изоморфизм: сила закона и контракта

Самый прямой механизм. Давление исходит от формальных правил, установленных государством или более сильными организациями. В российском контексте это в первую очередь 152-ФЗ и требования регуляторов, таких как ФСТЭК и Роскомнадзор. Организация обязана выполнить конкретные предписания: классифицировать информацию, внедрить СЗИ, назначить ответственных. Несоблюдение грозит штрафами, а в крайних случаях — приостановкой деятельности.

Но принуждение работает и на уровне рынка. Крупный заказчик может потребовать от всех поставщиков сертификат соответствия определённому стандарту (например, по системе менеджмента информационной безопасности). У компании нет выбора — чтобы получить контракт, она должна «стать похожей» на других участников, выполнив формальные критерии. Таким образом, практики распространяются не благодаря доказанной эффективности, а под давлением силы.

Мимикрический изоморфизм: копирование в условиях неопределённости

Когда организация не знает, как правильно действовать в новой или сложной ситуации, она начинает копировать тех, кто кажется успешным. В ИБ такая неопределённость — обычное дело. Технологии меняются быстро, угрозы неочевидны, а измерить отдачу от инвестиций в защиту сложно.

В этой ситуации проще всего посмотреть, что делают лидеры рынка или конкуренты. Все внедряют SIEM? Значит, и нам нужна такая система. Все переходят на модель нулевого доверия? Будем планировать и мы. Часто это копирование происходит поверхностно: закупается такой же инструмент, но не перенимаются процессы и компетенции для его эффективного использования. Организация мимикрирует под «современную и безопасную», не вникая в суть.

Нормативный изоморфизм: давление профессионального сообщества

Это давление менее формально, но не менее сильно. Оно исходит от систем профессионального образования, сертификаций, ассоциаций и экспертного сообщества. Через них распространяются представления о «правильных» и «передовых» методах работы.

Сотрудник, получивший престижный международный сертификат по безопасности, приносит в компанию усвоенные им подходы и фреймворки. Консалтинговые компании, проводящие аудиты, часто предлагают шаблонные решения, выверенные по международным стандартам. Профессиональные форумы и конференции формируют моду на определённые технологии или методологии. В результате вырабатывается единый профессиональный язык и набор «лучших практик», которые внедряются не столько по необходимости, сколько потому, что так теперь принято в кругу специалистов.

Как изоморфизм формирует ландшафт ИБ в России

В российских реалиях все три механизма работают одновременно, создавая специфическую среду.

  • Доминирование принуждения. Требования 152-ФЗ и регуляторов задают жёсткий каркас. Многие организации воспринимают ИБ исключительно как выполнение этих обязательств. Это приводит к «чек-листовому» подходу: главное — поставить галочку о выполнении требования, а не разбираться, снижает ли это конкретные риски.
  • Селективная мимикрия. Копирование западных фреймворков и практик (ISO 27001, NIST CSF) часто происходит без адаптации к местному регуляторному полю. Компания может иметь красивую документацию по международному стандарту, но проваливать проверки ФСТЭК из-за несоответствия методическим документам. И наоборот, формальное соответствие требованиям ФСТЭК может создавать иллюзию защищённости, в то время как реальные уязвимости остаются вне поля зрения этих требований.
  • Формирование локальных норм. Постепенно складывается собственное профессиональное поле. Опыт прохождения проверок, трактовка требований регуляторов, рекомендованные ФСТЭК средства защиты — всё это формирует набор «правильных» для российской действительности практик. Отклонение от них может вызывать вопросы у аудиторов и заказчиков, даже если ваше решение технически более грамотно.

Проблемы и риски: цена за «похожесть»

Слепое следование трендам под давлением изоморфизма несёт несколько ключевых рисков для реальной безопасности.

  1. Ритуализм вместо эффективности. Деятельность сводится к выполнению ритуалов: ежегодное обновление политик, сбор никому не нужных отчётов, проведение формальных учений. Эти действия потребляют ресурсы, но не закрывают реальные уязвимости. Безопасность становится бюрократической функцией, а не частью бизнес-процессов.
  2. Иллюзия защищённости. Сертификат соответствия или положительное заключение регулятора создают у руководства ложное чувство безопасности. Между тем, злоумышленники атакуют не документы, а реальные технологические цепочки, которые могут оставаться незащищёнными из-за пробелов в формальных требованиях.
  3. Нерациональные затраты. Ресурсы тратятся на дорогостоящие инструменты или консалтинговые услуги, потому что «так делают все», а не потому, что это оптимальное решение для конкретных рисков компании. Маленькая организация может пытаться внедрить громоздкую систему управления, разработанную для корпораций, и потерпеть неудачу.
  4. Подавление инноваций. Когда главный критерий — соответствие установленным шаблонам, у специалистов нет мотивации искать более эффективные, но нестандартные пути решения проблем. Проще и безопаснее для карьеры следовать общепринятому пути.

Как выйти из ловушки: от изоморфизма к осмысленному выбору

Понимание механизмов изоморфизма — первый шаг к тому, чтобы не стать их заложником. Полностью избежать внешнего давления невозможно, но можно сделать его влияние осознанным.

  • Разделяйте «must have» и «nice to have». Чётко выделяйте требования, обязательные по закону (принудительный изоморфизм). Их необходимо выполнять. Все остальные практики и стандарты должны подвергаться критической оценке. Задавайте вопросы: какую конкретную проблему это решает в нашей компании? Соответствует ли масштаб решения нашим рискам?
  • Адаптируйте, а не копируйте. Если вы решаете внедрить какой-либо фреймворк или практику, не переносите его механически. Адаптируйте под свою специфику: размер, отрасль, технологический стек, корпоративную культуру. Гибридный подход, сочетающий обязательные требования ФСТЭК с выборочными элементами риск-ориентированных стандартов, часто эффективнее чистого следования одному источнику.
  • Фокусируйтесь на результатах, а не на процессах. Вместо вопроса «внедрили ли мы систему классификации?» спрашивайте «понимаем ли мы, какие данные наиболее критичны для бизнеса, и защищены ли они адекватно?». Оценивайте меры по их способности снижать конкретные, выявленные риски, а не по степени соответствия внешнему шаблону.
  • Развивайте внутреннюю экспертизу. Сильная собственная команда безопасности, способная проводить независимый анализ рисков и оценивать предлагаемые решения, — лучшая защита от слепого следования трендам. Экспертиза позволяет отличать суть от формы.

Заключение

Институциональный изоморфизм — не теория из учебника, а ежедневная реальность для специалистов по безопасности. Он объясняет, почему в отрасли так много формализма, бюрократии и неэффективных трат. Задача профессионала — не игнорировать это давление, а научиться в нём ориентироваться. Понимая, какие силы и почему толкают организацию к тем или иным решениям, можно отделить необходимое от навязанного, формальное от содержательного. Конечная цель — не просто быть похожим на других «безопасных» компаний, а построить систему защиты, которая реально работает в вашем уникальном контексте, используя внешние стандарты как инструменты, а не как догмы.

Оставьте комментарий