CC BY
35
УДК 316.7 + 316.61
Л. В. Астахова
д-р пед. наук, профессор, Южно-Уральский государственный университет (национальный исследовательский университет) E-mail: lvastachova@mail.ru
ОТ КУЛЬТУРЫ - К КУЛЬТУРНОМУ КАПИТАЛУ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ1
Проблема культуры информационной безопасности (КИБ) организации очень актуальна в современной науке и практике за рубежом. Всеобщая цифровизация современной человеческой деятельности приводит к росту числа инцидентов информационной безопасности (ИБ) в организациях. Перспективы грядущей Индустрии 4.0 и Интернета вещей дают полное основание ждать их экспоненциального роста в ближайшем будущем и в России. Главный виновник этих инцидентов - человек. Поэтому специалисты признают важность КИБ в любой организации. Однако зачастую специалисты не учитывают специфики предприятий как экономических, хозяйствующих субъектов, ограничиваясь исключительно культурологическим подходом. Экономическая сущность организации как субъекта социально-экономических отношений диктует необходимость сосредоточиться не на культуре, а на культурном капитале информационной безопасности (ККИБ) организации. Цель этой статьи - обосновать подход к ККИБ организации как экономического субъекта: определить его понятие, структуру и принципы развития.
Ключевые слова: социология культуры, культура ИБ, корпоративный культурный капитал, человеческий фактор, организация
Для цитирования: Астахова, Л. В. От культуры - к культурному капиталу информационной безопасности организации /Л. В. Астахова //Вестник культуры и искусств. - 2018. - № 3 (55). - С. 85-101.
1. ВВЕДЕНИЕ
Банковские транзакции, онлайн-сервисы, телекоммуникационные услуги, железнодорожное сообщение, электроэнергетика, нефтедобыча и газотранспорт - ни одна индустрия не способна сегодня существовать без определенного уровня ИБ. В противном случае велики риски нарушения конфиденциальности, целостности и доступности информационных активов. В связи с всеобщей цифровизацией современной человеческой деятельности число инцидентов ИБ в организациях неуклонно растет. А перспективы грядущей Индустрии 4.0 и Интернета вещей обусловят их экспоненциальный рост уже в ближайшем будущем. Индустрия 4.0 (Четвертая индустриальная революция) предполагает массовое внедрение киберсистем в производство, обслуживание человеческих потребностей, включая быт, труд и досуг.
1 Статья выполнена при поддержке Правительства РФ (Постановление № 211 от 16.03.2013 г.), соглашение № 02. A03.21.0011.
Эти процессы будут сопровождаться развитой системой «коммуникации» вещей, которая предполагает способность вещей друг друга идентифицировать, характеризовать состояние, передавать друг другу данные и обрабатывать их. Человек постепенно будет исключаться из взаимодействия вещей и рутинного принятия решений, в связи с чем данное взаимодействие должно быть надежным, быстрым, системным и контролируемым. Это значит, что необходимо обеспечить минимизацию инцидентов ИБ этих систем.
Главным виновником инцидентов ИБ на протяжении всей истории развития компьютерных технологий является человек. На предприятии большинство утечек происходит по вине внутренних нарушителей. Этот факт подтверждает статистика. Так, по результатам проведенного компанией InfoWatch «Глобального исследования утечек конфиденциальной информации в 2017 году» в мире зарегистрирован 2 131 случай утечки информации. Это на
85
36,9 % больше, чем в 2016 г. Из них: 60,5 % утечек информации произошло по вине или по неосторожности внутреннего нарушителя: сотрудников, подрядчиков, руководителей, бывших сотрудников, системных администраторов. По сравнению с данными 2016 г., распределение утечек по типу организации не претерпело критических изменений: 75,7 % утечек произошло в бизнесе, 24,3 % - в органах государственной власти и подведомственных им организациях [5]. Это требует особого пристального внимания к КИБ организаций.
Анализ академической литературы по теме позволил нам обнаружить недостаток, который заключается в том, что при изучении КИБ организации не учитывается ее экономическая сущность как хозяйствующего субъекта, нацеленного на получение прибыли. В тени остаются сотрудники как капитал организации, т. е. социально-экономическая сущность сотрудников организации как экономических субъектов и одновременно как субъектов обеспечения ИБ организации. Это обусловило цель настоящей статьи - обосновать понятие, структуру и принципы культурного капитала ИБ организации, а также его отличие от КИБ организации.
II. МЕТОДОЛОГИЯ
На основе использования аналитико-синтетических методов представлен обзор российской и зарубежной литературы по источникам, относящимся к КИБ и ККИБ организации. С помощью культурологического подхода и теории культурного капитала, лежащей в основе культурно-капитального подхода, обосновано понятие культурный капитал ИБ, не изученное в современной науке. В результате применения сравнительного метода представлены аргументы и логические выводы, касающиеся отличий КИБ и ККИБ.
III. ПРЕДПОСЫЛКИ
A. КИБ организации
Концепция КИБ относительно новая: только в начале ХХ1 в. исследователи впервые начали понимать, что КИБ может быть важным
фактором в поддержании адекватного уровня безопасности информационных систем в организации. Так, Н. Мартинс, Дж. Елофф [27] поставили вопрос о важности развития и совершенствования КИБ посредством структурированной модели, которая учитывает поведение сотрудников. Социокультурные предпосылки КИБ исследовали Т. Шлингер, С. Тойфель [33]. Т. Хелокуннас и Р. Куусисто рассмотрели культуру ИБ как систему, состоящую из взаимодействующих структур (стандартизации, сертификации и измерения ИБ) и компонентов контента (отношение людей, мотивация, умственные модели знания об ИБ) [22]. К. Томсон и Р. Фон Солмз обратили внимание на высшее руководство и его большую роль в культивировании сознательной КИБ в организации [35]. О. Закария изложил понимание концепции базовых знаний в области безопасности, которые могут быть использованы для культивирования КИБ в организации [40]. Общий морфологический анализ (ОМА) применяется авторами для определения, структурирования и анализа национальной культуры кибербезо-пасности [21]. Вопросы управления человеческим фактором в ИБ были рассмотрены в книге Д. Лэйси [25]. А. Да Вейга, Н. Мартинс и др. обосновали наличие уникальных субкультур ИБ, отличающихся по географическим, этническим, возрастным признакам сотрудников, их ценностям и убеждениям относительно защиты информации, требующих разных подходов [14-19] и др.
Большое внимание уделяется проблеме измерения КИБ, сформулированной учеными, которые обсудили способы и методы анализа организационной культуры в контексте КИБ [17-19; 34]. Ч. Врум и Р. Фон Солмз продемонстрировали чрезвычайную сложность проведения аудита поведения людей, поэтому обосновали необходимость альтернативного метода поэтапного аудита, использующего вместо полицейской работы с сотрудником более мягкий, неформальный подход для измерения КИБ [39]. Дж. Ф. Ван Никерк, Р. Фон Солмз и др. изучили человеческие факторы
86
в ИБ в разных аспектах в последние годы: в теоретическом, организационном и методическом, в педагогическом, социологическом и экономическом и др. Они исследовали методы и алгоритмы оценки и измерений КИБ; проанализировали обширный личный практический опыт по повышению осведомленности о кибербезопасности среди различных категорий пользователей [35; 37].
Ученые также оценили эффективность различных инструментов и методов повышения КИБ на основе психологических теорий и моделей, предложили метод измерения осведомленности об ИБ в организации [24]. К. Парсонз привел результаты факторного анализа и других статистических методов, которые свидетельствуют о валидности вопросника гуманитарных аспектов ИБ НА18^ как эффективного инструмента измерения КИБ [29].
Однако, несмотря на большое число публикаций по этой проблеме [23], следует согласиться с экспертами в том, что существующие подходы к оценке КИБ не являются комплексными, всесторонне оценивающими все ее уровни [28]. По нашему мнению, неудовлетворенность экспертов связана с тем, что само понятие КИБ недостаточно обосновано с позиций комплексного подхода. Это теоретическая проблема, требующая решения. В данном вопросе мы согласны с авторами, которые в процессе анализа публикаций по КИБ сделали вывод о том, что необходимо уделять больше внимания генерированию теорий или теорий тестирования для повышения зрелости исследований ИБ [23].
В настоящей статье мы представляем новую концепцию, связанную с КИБ организации, - концепцию корпоративного культурного капитала ИБ.
Заметим, что поле зрения ученых в процессе изучения КИБ расширяется. Так, в последние годы акцент с изучения КИБ сместился на культуру кибербезопасности. Р. Фон Солмз, Ф. Ван Никерк и др. обосновывают различия между КИБ и культурой кибербезо-пасности. Они справедливо подчеркивают, что
кибербезопасность включает в себя не только защиту информационных ресурсов, но и человека: от угроз киберзапугивания, кибертерро-ризма, домашней автоматизации, незаконного совместного использования цифровых носителей информации в индустрии развлечений [14; 31; 38]. В более чем 50 странах мира разработаны и внедряются стратегии кибербезо-пасности, предпринимаются активные попытки образования по вопросам кибербезопасно-сти личности и организаций. Например, большой опыт развития культуры кибербезо-пасности в образовании накоплен ЮжноАфриканским академическим альянсом по кибербезопасности (SACSAA) [30] и др.
Расширение фокуса зрения от КИБ до культуры кибербезопасности - это, безусловно, важный шаг в развитии науки. Однако, по нашему мнению, кибербезопасность - это часть целого, т. е. ИБ. Мы утверждаем, что информационное пространство - более широкое понятие, чем киберпространство, поскольку в него включены не только электронные, но и бумажные носители информации, например, информации, составляющей государственную тайну организации. Поэтому субъектами информационных отношений в информационном пространстве выступают пользователи не только компьютерных систем, но и традиционных, бумажных информационно-поисковых.
В связи с изложенным сконцентрируем наше внимание на понятии ИБ.
Подробный анализ разных дефиниций КИБ представлен в статье А. Малюка, Н. Ми-лославской «Cybersecurity culture as an element of IT professional training» [26]. Назовем некоторые из них.
Одни определяют культуру ИБ как «совокупность человеческих атрибутов, таких как поведение, отношения и ценности, которые способствуют защите всех видов информации в данной организации» [20]. Другие - как отношения, предположения, убеждения, ценности и знания, которые сотрудники / заинтересованные стороны используют для взаимодействия систем и процедур в любой момент
87
времени. Взаимодействие приводит к приемлемому или неприемлемому поведению (т. е. инцидентам), оно очевидно в артефактах и деятельности [16]. Третьи предполагают, что КИБ - это то, как наши умы запрограммированы, что создает различные модели мышления, чувства и действия для обеспечения процесса безопасности [32]. Исходя из этого авторы обозначают культуру ИБ как совокупность восприятий, установок, ценностей, предположений и знаний, которые определяют, что делать в организации, чтобы соответствовать требованиям безопасности информации. Цель достижения этого соответствия - защита информационных активов и влияние на безопасное поведение сотрудников таким образом, чтобы сохранение ИБ становилось их второй натурой [Там же]. Ф. Ван Никерк и Р. Фон Солмз обосновали модель для интеграции таксономии обучения Блума и использования электронного обучения в качестве образовательного дизайна и среды изменения организационной культуры. Они взяли за основу уровни организационной культуры Шейна, но предложили в дополнение к ней еще один уровень КИБ - знания сотрудников в области ИБ. Различные взаимодействия между уровнями КИБ были ими представлены концептуально [37].
Несмотря на то, что в России накоплен большой опыт государственного регулирования защиты информации, КИБ в ней практически не изучена. Зарубежный опыт формирования в обществе КИБ описывают А. А. Малюк и др. [26]. Исследование теоретических аспектов понятия КИБ предпринято нами [7]. Авторское представление о КИБ мы обосновали с учетом современных междисциплинарных интерпретаций понятий культура, безопасность, информация. КИБ - это «специфический способ организации и развития информационной деятельности субъекта, представленный в ценностно ориентированных моделях его информационного взаимодействия как отправителя и получателя информации, при котором он определяет и контролирует единство существования и развития информационных объектов в их
когнитивных и коммуникационных проявлениях» [7]. В основу этого определения мы положили три концепции: 1) функциональную концепцию культуры, 2) концепцию защищенного развития как подход к безопасности и 3) концепцию идеально-материальной природы информации.
1. Функциональная концепция культуры. Ее суть - в культуре как необходимом способе организации функционирования субъекта в обществе. В отличие от других, функциональный подход к культуре наиболее ценен, поскольку современная культура отличается антропоморфностью, акцентами на человека и его потребности. Именно он позволяет увидеть высокую степень рационализации и гармонизации безопасной практической деятельности субъекта в информационной среде. Функциональная концепция культуры дает возможность подчеркнуть прагматический характер феномена КИБ.
2. Концепция защищенного развития как подход к безопасности. Органическое, сбалансированное единство двух парадигм ИБ (парадигмы защищенности и парадигмы информационного развития) - это парадигма современной ИБ. Она позволяет рассмотреть не только уровень защищенности субъекта от реальных угроз, но и степень его развития как силовой фактор и критерий обеспечения его защищенности от потенциальных угроз.
3. Концепция амбивалентности, идеально-материальной природы информации. Она позволяет увидеть в КИБ не только коммуникационный, но и когнитивный уровни, которые интегрируются в информационной деятельности субъекта как отправителя и получателя информации [Там же].
Мы оцениваем это определение КИБ как наиболее полное и многоаспектное. Оно отражает современные тенденции развития общества и науки, имеет комплексный характер, является универсальным, применимо к любому субъекту информационных отношений в современной культуре: личности, обществу и государству. Поэтому далее для обоснования
88
специфики КИБ организации как хозяйствующего субъекта мы будем оперировать именно этим определением.
В. Потребность в культурном капитале ИБ организации
Анализ литературы показал, что взаимосвязь КИБ организации с его экономической деятельностью изучена недостаточно. Обращает на себя внимание статья Ф. Ван Никерка и Р. Фон Солмза, в которой они обосновали культуру ИБ в контексте общей экономической теории эластичности, показали, как различные переменные в КИБ влияют друг на друга. По их мнению, с точки зрения управления «идеальная культура безопасности» должна быть полностью неэластичной. Только в этом случае она может быстро отражать малейшие изменения в элементах этой культуры [37]. Однако мы видим, что авторы используют теорию эластичности как средство аргументации жестких требований к КИБ, при этом, к сожалению, не рассматривают особенности КИБ организации как экономического субъекта.
Мы убеждены в том, что, говоря о предприятии как хозяйствующем субъекте, необходимо учитывать роль человека в производственном процессе организации. Эта роль никогда не была статичной. Известно, что в первой половине ХХ в. человек рассматривался как ресурс и оценивался через затраты. В 40-50-е гг. ХХ в. внимание было обращено на персонал, а в процессе его оценки акцент приходился в большей степени на мотивацию сотрудника организации. Начиная с 60-х гг. ХХ в. человек включен в структуру капитала и оценивается через производительную стоимость [6]. Человеческий капитал - это совокупность определенных характеристик человека, которые могут приносить предприятию доход. Зависимость дохода организации от ее сотрудников - это аксиома в настоящее время. Если управление человеческими ресурсами обеспечивает достижение бизнес-целей компании, то управление человеческим капиталом -
постоянный рост индивидуального, корпоративного и общественного богатства.
В последнее время часто говорят об эволюции подхода к сотруднику организации: все больше внимание представителей экономической науки концентрируется не на человеческом, а на культурном капитале. Теоретические основы современной социально-экономической теории капитала разработал один из наиболее влиятельных социологов ХХ в. П. Бурдье [4]. Культурный капитал составляют все культурные ресурсы, которыми располагает субъект. По словам Д. Тросби, человеческий капитал под знаниями понимает формальную профессиональную компетенцию. Ядро культурного капитала составляют характеристики человека, приобретенные им вследствие принадлежности к определенной социальной группе (язык, стиль одежды, вкусы, хобби и т. п.). Культур -ный капитал дает возможность незнакомым между собой людям, принадлежащим к одной социальной группе, распознать друг друга, вступить в коммуникацию [36]. В результате производственные отношения выгодны не только предприятию, но и сотруднику. Логично предположить, что к таким культурным характеристикам относится и способность сотрудника выполнять установленные правила ИБ в процессе профессиональной деятельности.
Еще одна современная тенденция экономики предприятий - перевод внимания с культуры на культурный капитал. Так, например, чтобы подчеркнуть экономическую сущность своей концепции неформальных институтов в новой институциональной экономической теории, эксперты используют термин культурный капитал, а не культура. При этом они справедливо замечают: «чтобы социокультурные характеристики могли рассматриваться как капитал, они должны быть ярко выраженными у населения и разделяться большим числом респондентов» [3].
Указанные тенденции - переключение внимания с человеческого капитала на культурный капитал организации и с культуры на культурный капитал - позволяют нам утвер-
89
ждать, что в исследованиях КИБ организации требуются перемены. КИБ организации не должна рассматриваться вне контекста корпоративного культурного капитала. А это значит, что необходимо обратиться к понятию корпоративного ККИБ, обосновать его компоненты, принципы и выяснить отличия от корпоративной КИБ.
IV. КАК КУЛЬТУРНЫЙ КАПИТАЛ ИБ ОРГАНИЗАЦИИ ОТЛИЧАЕТСЯ ОТ КИБ?
А. Понятие культурного капитала ИБ организации
Проблема рисков ИБ, связанных с культурным капиталом персонала, и его измерения была поставлена нами ранее. Мы предложили определение корпоративного культурного капитала ИБ как составной части культурного капитала организации. Кроме того, была разработана методика оценки кадровых уязвимо-стей ИБ организации, основанная на индексе доверия как отношении культурных капиталов ИБ индивида и организации [9]. На основе онтологического, антропологического, методологического, аксиологического и мировоззренческого теоретических аспектов концепта ИБ и междисциплинарного подхода к доверию мы обосновали онтологический статус доверия в ИБ [11]. В контексте проблем доверия к безопасности информационной системы были смоделированы оценочные уровни доверия к кадровой безопасности [8]. Кроме этого мы представили требования использования «мягкой силы» в управлении информационной безопасностью, обусловленные неэффективностью «жесткой силы» по отношению к сотрудникам организации как специфическим субъектам защиты информации. В качестве требования были продемонстрированы капитально-технологический и когнитивно-коммуникативный подходы к «мягкой силе», приоритетное использование нарративных технологий в работе с сотрудниками [10].
Используя культурно-капитальный подход, мы рассматриваем корпоративный культурный капитал ИБ как составную часть куль-
турного капитала организации, содержащего и другие компоненты - культурный капитал других функциональных видов его деятельности: управленческой, производственной, маркетинговой, рекламной и др.
Для определения понятия корпоративного культурного капитала ИБ мы будем использовать две дефиниции: культурного капитала и КИБ, обоснованные выше.
Корпоративный культурный капитал ИБ -это все используемые предприятием культурные ресурсы для обеспечения его ИБ, которые накапливают и реализуют сотрудники организации в отдельности и предприятие в целом как отправители и получатели информации в процессе профессионального информационного взаимодействия. К культурным ресурсам относятся базовые ценности, нормы, принципы, интеллектуальные, морально-нравственные и социальные качества, ценностно ориентированные модели поведения, знания и др. Эти ресурсы: 1) определяют способность организации к безопасному развитию когнитивной и коммуникативной информационной деятельности; 2) позволяют предприятию получать дополнительные социально-экономические выгоды и легитимировать его статусы, роли и власть.
Мы выделяем два взаимообусловленных уровня культурного капитала ИБ организации: корпоративный (всей организации) и индивидуальный (отдельного сотрудника организации).
Ядром обоснованной интерпретации содержания корпоративного культурного капитала ИБ организации является вышеприведенная интерпретация КИБ. В ней мы учли способность организации: действовать согласно определенным, безопасным ценностным моделям поведения в информационном пространстве; не только защищаться от информационных угроз, но и развиваться с использованием многообразных информационных ресурсов и каналов; играть разные роли в производственном процессе - получателя и отправителя информации, создателя знаний, субъекта познания и коммуникации. Кроме
90
этого, определение учитывает также специфические особенности сотрудников организации как субъектов его социально-экономических взаимодействий:
1. Необходимость интеграции культурных ресурсов ИБ сотрудника и организации -конвертации КИБ сотрудника в его культурный капитал и далее - в корпоративный культурный капитал ИБ. Этот процесс требует сфокусировать внимание на процессе объективизации субъективных характеристик персонала организации.
2. Необходимость извлечения взаимных социально-экономических выгод сотрудником и предприятием от реализации культурного капитала ИБ как фактора экономического развития организации.
3. Необходимость управления процессами конвертации индивидуального культурного капитала ИБ организации в корпоративный культурный капитал ИБ этой организации. Этот процесс составляет основу организационного управления защитой информации. Чтобы определить отличия культурного капитала ИБ от КИБ организации, следует разобраться в том, чем культурный капитал отличается от культуры.
Ответ на этот вопрос дает Д. Тросби: «только при определенных условиях деятельного использования культурные ценности, воплощенные в человеке, изменяют его профессиональный статус, превращаются в культурный капитал» [36]. Главным условием является «социальное действие, в результате которого индивид становится субъектом труда и занимает соответствующую своему культурному уровню профессиональную нишу, позволяющую получить не только социальный профессиональный статус, но и доступ к дополнительным доходам, превышающим затраты, связанные с простым воспроизводством работника и его семьи» [Там же].
Иными словами, суть отличия культурного капитала от культуры заключена в следующем: о культурном капитале индивида мы можем говорить только в том случае, если он
91
становится субъектом труда и получает выгоду от своей культуры. Логично предположить, что сотрудник организации - это как раз субъект производственного, трудового процесса, который реализует свои культурные навыки и ценности, благодаря чему способен получить дополнительные доходы. Реализация культуры сотрудника на предприятии - это уже вопрос не культуры, а культурного капитала. Реализация корпоративной культуры организации в целом - это тоже вопрос его культурного капитала на рынке.
Поэтому логичен вывод: отличительное свойство культурного капитала ИБ организации, по сравнению с КИБ, - это его деятельно-стная сущность: способность к развитию, перманентное развитие и конвертация КИБ отдельных сотрудников и организации в целом в дополнительные социально-экономические выгоды. Мало обладать культурными ресурсами ИБ. Необходимо эти ресурсы эффективно использовать в практике, перевести их в плоскость деятельности и получить от этого социально-экономические выгоды.
Поэтому, если мы исследуем информационную безопасность организации в культурном аспекте, то логично предположить, что необходимо сфокусировать внимание не на культуре, а на культурном капитале. Чем выше уровень развития культурного капитала ИБ организации, тем ниже риски его ИБ и экономической безопасности в целом.
Далее рассмотрим, в чем заключено отличие компонентов культурного капитала ИБ от компонентов КИБ.
В. Компоненты
Для конкретизации содержания культурного капитала ИБ обратим внимание на его компоненты. Согласно П. Бурдье, культурные ресурсы, которыми располагает субъект, могут быть трех видов: институализированные (дипломы, звания, титулы), объективированные (владение культурными объектами) и инкорпорированные (знания и опыт, навыки, представления об этике, эстетике, произно-
шение и др.) [4]. Основываясь на этих классических теоретических положениях, мы включаем в структуру корпоративного и индивидуального культурного капитала ИБ аналогичные компоненты: инкорпорированный, объективированный и институционализированный. Каждый из компонентов предполагает гуманистическую и интеллектуальную составляющие.
Инкорпорированный культурный капитал ИБ
Гуманистический капитал определяется информационным мировоззрением. Информационное мировоззрение современного общества - это динамичная система знаний о законах виртуального информационного общества, роли и месте человека в нем, а также обусловленные этими знаниями эмоции, ценности и нормы, убеждения и поступки людей в ходе информационной деятельности, определяющие их способность к адекватному информационному поведению как отправителей и получателей информации для обеспечения защищенности и развития в безопасной информационной среде [1].
Интеллектуальный капитал в свою очередь состоит из человеческого и структурного. Человеческий капитал предполагает осведомленность сотрудников в области ИБ, их способность к пониманию смыслов в области ИБ, к развитию и адаптации в сфере ИБ, к специфической языковой коммуникации в области ИБ, репутацию в сфере ИБ (отсутствие инцидентов ИБ).
Структурный капитал (организационный и рыночный) - это профессиональная компетенция руководителя отдела защиты информации в области ИБ, совокупная осведомленность сотрудников организации в области ИБ, затраты (финансовые и временные) на обучение, переподготовку, повышение квалификации, в том числе повышение осведомленности в области ИБ, текучесть персонала, связи с клиентами и партнерами в области ИБ, репутация в области ИБ, удовлетворенность сотрудников собой, своей работой в организа-
ции, организационной культурой организации, в том числе его КИБ и др.
Объективированный культурный капитал ИБ
Гуманистический капитал включает персональные и корпоративные ценности, идеалы, принципы, критерии добра и зла, реализуемые в процессе информационного взаимодействия и обеспечения ИБ.
Интеллектуальный капитал предполагает наличие человеческого капитала (персональных патентов, программ, публикаций в области ИБ) и структурного капитала (организационного и рыночного): корпоративных патентов, программ, публикаций, технологий в области ИБ.
Институциональный культурный капитал ИБ
Гуманистический капитал требует соблюдения профессиональных и корпоративных кодексов чести в области ИБ.
Интеллектуальный капитал также включает человеческий и структурный. Человеческий капитал - это наличие индивидуальных сертификатов сотрудников в области ИБ (дипломы, удостоверения, сертификаты), типы образовательных учреждений и общая продолжительность обучения по ИБ каждого сотрудника и др. Структурный капитал (организационный и рыночный) предполагает наличие корпоративных сертификатов организации в области ИБ (дипломов, удостоверений, сертификатов), типы образовательных учреждений и общую продолжительность обучения по ИБ всех сотрудников, членство организации в профессиональных сообществах по ИБ.
В чем заключается отличие компонентов культурного капитала ИБ организации от культуры ее ИБ?
Мы уже упоминали о том, что Ф. Ван Ни-керк и Р. Фон Солмз представили концептуальную модель КИБ. В числе ее компонентов они назвали: Artefacts, Espoused Values, Shared Tacit Assumptions и Knowledge. Artefacts - это видимые процессы и механизмы безопасности компании, а также политика и процедуры
92
политики ИБ. Espoused Values - руководящие принципы для разработки политики ИБ и КИБ, которые составляют суть стратегии, цели и философии ИБ. Shared Tacit Assumptions - убеждения и ценности отдельных и коллективных сотрудников. Knowledge - необходимый и требуемый уровень знаний, связанных с информационной безопасностью, необходимых для безопасного выполнения ежедневных бизнес-задач [37]. Сегодня это наиболее признанная в науке концепция структуры КИБ.
Мы сравнили названные выше компоненты культуры и культурного капитала ИБ организации и увидели как сходства, так и различия между ними.
Общее - наличие философии, ценностей, знаний и норм поведения в области ИБ. По своей сути философия, ценности и нормы поведения в области ИБ - это часть гуманистических ресурсов, наличие которых мы обосновали в структуре культурного капитала ИБ организации. Знания в области ИБ - это часть человеческого капитала (осведомленность в области ИБ) в структуре интеллектуального культурного капитала на инкорпорированном уровне.
Однако различий между культурным капиталом и КИБ организации гораздо больше. В содержание корпоративного культурного капитала ИБ включены деятельностные компоненты, которых нет среди компонентов КИБ: человеческий и структурный капитал на инкорпорированном, объективированном и институциональном уровнях культурного капитала ИБ, т. е. способность к развитию и результаты развития и конвертации индивидуального культурного капитала ИБ сотрудников в корпоративный культурный капитал: результаты развития мотивации сотрудников к обеспечению собственной ИБ и ИБ организации; учет институционально-организационного культурного «багажа» сотрудников в процессе обеспечения ИБ организации; документированные результаты создания нового знания в области ИБ отдельными сотрудниками и организацией в целом, позволяющие им получить дополнительную прибыль; результаты их ИБ-коммуникаций
в профессиональном сообществе, повышающих рейтинг на рынке и др.
Даже примерная структура и содержание ККИБ показывает его отличие от КИБ. ККИБ -это гораздо более широкое, многокомпонентное и деятельностное понятие, чем КИБ, оно экономическое. Самый общий подход к методике оценки ККИБ мы обосновали в одной из наших публикаций [9]. Эти отличия очень важны для определения критериев оценки культурного капитала.
С. Принципы развития корпоративного культурного капитала ИБ и пути их реализации
Любая концепция корпоративного культурного капитала ИБ обусловливает принципы его развития. Мы предлагаем пять интеграционных принципов сбалансированного развития корпоративного культурного капитала ИБ, соответствующих обоснованной в этой статье концепции.
1. Принцип баланса культурологического и экономического подходов к человеческому фактору ИБ организации. Реализация этого принципа предполагает не только мониторинг морально-психологического состояния коллектива организации, но и его экономического культурно-капитального профиля (расчет ущерба от кадровых рисков, выгод от развития культурного капитала каждого из сотрудников). Методика измерения и оценки ККИБ зависит от концепции этого понятия и его компонентов. Так, мы разработали методику оценки кадровых уязвимостей ИБ организации, основанную на индексе доверия как отношении культурных капиталов ИБ индивида и организации [9]. Поэтому компоненты корпоративного ККИБ требуют в дальнейшем более детального исследования в контексте решения проблемы его оценки.
2. Принцип баланса защиты организации от информационных угроз и ее информационного развития («защищенного развития»). Реализация этого принципа предполагает не только защиту информации организации, но и информационное развитие и стремление к до-
93
минированию организации в информационном пространстве.
Одним из перспективных направлений развития систем ИБ компании является сегодня 8есБеуОр8. Ее идея состоит в том, что меры по обеспечению ИБ должны автоматизироваться, как и другие процессы. Автоматизированные проверки позволяют поднять уверенность в безопасности. Безусловно, это должно способствовать повышению общей КИБ организации и развитию корпоративного ККИБ. Однако следует заметить, что процессы 8есБеуОр8 предполагают сотрудничество между ИТ-специалистами и командами безопасности. Цель - разработать безопасное программное обеспечение при использовании процессов БеуОр8. Другие сотрудники организации - рядовые пользователи корпоративных информационных систем - принимают в этом процессе косвенное участие. Они обязаны выполнять все правила ИБ организации, зафиксированные в Политике ИБ, даже если эти правила не основаны на 8есБеуОр8. Мы в нашей статье, посвященной ККИБ, делаем акцент на развитии всех сотрудников организации, включая тех, которые не являются работниками подразделений информационных технологий или ИБ. Будучи пользователями корпоративной информационной системы, они субъекты обеспечения ИБ.
Кроме того, с сожалением следует констатировать наличие проблемы эффективности методологии 8есБеуОр8 в организациях всего мира. Исследование 2017 г. показало, что только один из пяти опрошенных (2 200 ИТ-руководителей и специалистов) полагает, что БеуОр8 оказывает стратегическое влияние на их организацию, несмотря на рост использования. В том же исследовании было установлено, что только 17 % определили БеуОр8 как ключевой инструмент деятельности [12]. Еще одним недостатком методологии 8есБеуОр8 для развития ККИБ является ее недостаточное распространение в мире. Например, для практики защиты информации развивающихся стран 8есБеуОр8 сегодня - это экзотика. Тем
не менее 8есБеуОр8 как инструмент развития культурного капитала ИБ организации может стать предметом специального исследования в будущем.
3. Принцип баланса информационных компетенций организации для безопасного выполнения ею различных функциональных ролей в информационном пространстве как отправителя и получателя информации. Реализация этого принципа предполагает способность каждого сотрудника и организации в целом: 1) создавать информацию, адекватную реальности, и безопасно для других пользователей информационного пространства передавать ее; 2) адекватно понимать и интерпретировать получаемую информацию на основе баланса доверия и недоверия к другим участникам информационного взаимодействия [11].
Культура доверия личности - это способ организации человеческой жизнедеятельности в цифровом обществе, при котором субъекты информационных отношений, в зависимости от их личностных качеств, персонального (коллективного) капитала, макросоциальных обстоятельств, способны достигать сбалансированности доверия и недоверия в процессе взаимодействия.
Полагаем, что предприятие должно заботиться о культуре доверия сотрудников:
- включать учебные модули, нацеленные на освоение знаний об уровнях культуры доверия, о достижении сбалансированности доверия и недоверия в образовательные программы повышения квалификации сотрудников;
- организовывать самодиагностику культуры доверия сотрудников в процессе повышения их квалификации на рабочих местах. Самодиагностические умения помогут сотруднику противодействовать угрозам социального инжиниринга;
- развивать критическое мышление сотрудников с помощью анализа критически насыщенных текстов. Следует предлагать сотрудникам для анализа и обсуждения такие электронные ресурсы из глобальной сети, которые содержат смысло-поисковый контент.
94
Это позволит находить в текстах объективное и субъективное, а в конечном итоге формировать критически-рефлексивный стиль мышления сотрудников, достигать баланса доверия-недоверия к предмету анализа и обсуждения.
4. Принцип баланса когнитивной и коммуникативной составляющих в процессе информационного взаимодействия организации в информационном пространстве. Реализация этого принципа предполагает развитие способности сотрудников и организации в целом не только к передаче и получению уже созданного знания об ИБ с помощью различных коммуникационных каналов, но и к развитию познавательных способностей, к созданию нового знания об ИБ для повышения эффективности этой деятельности. Этот принцип подразумевает использование технологий управления знаниями в ИБ. В последние годы эксперты обращают внимание на этот аспект. Так, Х. Чанг утверждает, что организации должны идти в ногу со знаниями и тенденциями в области ИБ и кибербезопасности для защиты своих информационных активов. При этом картирование знаний поможет в управлении ими [13]. По нашему мнению, корпоративная система управления знаниями об ИБ (угрозах, инцидентах, технологиях обеспечения и др.) предполагает все этапы жизненного цикла знания:
- сбор, получение и анализ информации о текущем состоянии ИБ организации, стандартных и инновационных методах ее обеспечения;
- создание нового знания об ИБ организации, инновационных технологий ее обеспечения;
- формализация полученных знаний об ИБ;
- организация корпоративного обмена знаниями об ИБ;
- использование нового знания в практике защиты информации организации;
- распространение нового, созданного знания в науке и на рынке защиты информации.
Мы убеждены, что в настоящее время развитие знаний организации об ИБ нельзя не рассматривать в контексте именно этой концепции - концепции управления знаниями.
Если на предприятии создана система управления знаниями об ИБ, то знания каждого сотрудника развиваются целенаправленно в тех областях, в каких это необходимо предприятию. Это способствует повышению результативности процессов обеспечения его ИБ.
5. Принцип баланса индивидуального и корпоративного культурного капиталов ИБ. Реализация этого принципа предполагает развитие способности сотрудника (не-собственника) и работодателя (собственника бизнеса) соотносить свои разнонаправленные социально-культурные цели и задачи. Сегодня противоречие их культурных доминант является источником перманентной проблемы неудовлетворенности друг другом, текучести кадров, низкой эффективности деятельности организации, претензий к вузам относительно качества образования выпускников и т. д. [2]. Целеобразова-ние - это сфера сознания человека, поэтому быстрая трансформации целей невозможна, на это требуется определенное время. В связи с этим мы утверждаем, что балансировка целей будущих сотрудников и работодателей должна начинаться на этапе профессионального образования.
Обратим внимание, что именно термин баланс, а не приоритет или паритет мы рассматриваем в качестве ключевого слова в формулировках указанных принципов. Сотрудники организации отличаются уникальными системами компетенций и личных качеств, которые по своей сути являются субъективными, а потому неопределенными и динамическими системами. Они также имеют различный уровень конвертированности индивидуального культурного капитала ИБ в корпоративный культурный капитал. Это требует использования «мягких» терминов (например, баланса, предполагающего стремление к идеалу, а не сам идеал).
Обоснованные интеграционные принципы сбалансированного развития корпоративного ККИБ подчеркивают системность, меж-дисциплинарность и многомерность его концепции. Каждый из принципов показывает
95
неизбежность решения проблем ИБ организации на стыке с другими направлениями его деятельности. Первый принцип отражает тесную взаимосвязь КИБ с экономикой ИБ, второй - с информационным развитием организации, третий - с культурой доверия-недоверия, четвертый - с управлением знаниями об ИБ, пятый - с гармонизацией отношений сотрудников и работодателя. Поэтому, в отличие от КИБ, развитие корпоративного ККИБ требует интеграции с управлением ИБ, знаниями, персоналом, кадровыми рисками, предприятием в целом и др. Реализация названных принципов выходит за пределы воспитания культуры ИБ как ценностей, знаний и норм поведения в этой области. Эти принципы органически включены в процесс системного управления прибылью и другими социально-экономическими выгодами организации, поэтому они гораздо шире, чем пути развития КИБ. Каждый из обоснованных принципов должен стать отдельным предметом будущих исследований.
V. Выводы
Рост числа инцидентов ИБ по вине человека на предприятии во всем мире повышает актуальность исследования человеческого фактора и КИБ. Однако социально-культурные
подходы к их изучению не позволяют увидеть влияние экономической сущности организации на вопросы КИБ. В статье мы привели аргументы в пользу того, что экономическая сущность организации как субъекта социально-экономических отношений диктует необходимость сосредоточиться не на культуре, а на культурном капитале ИБ организации. В науке такой подход до сих пор не использовался. Мы определили сущность понятия ККИБ организации, обосновали его структуру, принципы баланса в процессе его развития и направления их реализации. Особое внимание мы уделили отличительным свойствам культурного капитала ИБ организации по сравнению с КИБ.
Эта статья - обоснование концептуальной модели корпоративного культурного капитала ИБ. Корпоративный ККИБ и КИБ отличаются тем, что отражают разные подходы к человеческому фактору в ИБ: корпоративный ККИБ -экономический подход, КИБ - социально-культурный. Обоснованная концепция может помочь в развитии представлений о человеческом факторе в ИБ, о КИБ, о современной культуре в целом. Представленная работа может рассматриваться как попытка заложить фундамент для будущих междисциплинарных исследований ККИБ как культурного феномена цифровой эпохи.
1. Астахова, Л. В. Инфомационное мировоззрение: понятие и уровни / Л. В. Астахова // Вестник Челябинской государственной академии культуры и искусств. - 2014. - № 4 (40). - С. 9-16.
2. Астахова, Л. В. Развитие культурной компетентности студента в постиндустриальном обществе: императивы капитального подхода / Л. В. Астахова // Интеграция образования. - 2017. - Т. 21. - № 1. - С. 35-45.
3. Аузан, А. А. Долгосрочная экономическая динамика: роль неформальных институтов / А. А. Аузан, Е. Н. Никишина // Журнал экономической теории. - 2013. - № 4. - С. 48-57.
4. Бурдье, П. Формы капитала / П. Бурдье ; пер. М. С. Добряковой ; науч. ред. В. В. Радаев // Экономическая социология. - 2002. - Т. 3. - № 5. - С. 60-74.
5. Глобальное исследование утечек конфиденциальной информации в 2017 году [аналит. отчет] [Электронный ресурс] / Аналит. центр Info Watch. - Режим доступа : https://www.infowatch.ru/report2017. -Опубликовано : 23.04.2017.
6. Тихомирова, О. Г. Организационная культура: формирование, становление, развитие и оценка / О. Г. Тихомирова. - Санкт-Петербург : СПбГУ ИТМО, 2008. - 156 с.
7. Astakhova L. 2014. The concept of the information-security culture. Scientific and Technical Information Processing. No 41 (1) : 22-28. DOI: 10.3103/S0147688214010067.
8. Astakhova L. 2015. Evaluation assurance levels for human resource security of an information system. Procedia Engineering. No 129 : 635-639.
96
9. Astakhova L. 2015. Information security: risks related to the cultural capital of personnel (Review). Scientific and Technical Information Processing. No 42 (2) : 41-52. DOI: 10.3103/S0147688215020021.
10. Astakhova L. 2016. Soft-power requirements in information-security management. Scientific and Technical Information Processing. No 43 (3) : 162-165. DOI: 10.3103/s0147688216030060.
11. Astakhova L. 2016. The ontological status of trust in information security. Scientific and Technical Information Processing. No 43 (1) : 58-65. DOI: 10.3103/s0147688216010123.
12. Bourne J. 2017. New research questions strategic importance of DevOps despite rise in usage [Electronic resource]. CloudTech. Available from : https://www.cloudcomputing-news.net/news/2017/jan/23/devops-usage-continues-rise-strategic-importance-needs-more-working-out/.
13. Chang Hsia-Ching. 2016. The synergy of scientometric analysis and knowledge mapping with topic models: modelling the development trajectories of information security and cyber-security research. Journal of Information & Knowledge Management. No 15 (4). DOI: 10.1142/s0219649216500441.
14. Da Veiga A. 2016. A Cybersecurity Culture Research Philosophy and Approach to Develop a Valid and Reliable Measuring Instrument. Proceedings of the 2016 SAI Computing Conference (SAI). London. Copyright : IEEE. P. 1006-1015.
15. Da Veiga A. 2016. Comparing the information security culture of employees who had read the information security policy and those who had not illustrated through an empirical study. Information and Computer Security. No 24 (2) : 139-151. DOI : 10.1108/ics-12-2015-0048.
16. Da Veiga A., Eloff J. H. P. 2010. A framework and assessment instrument for information security culture. Computers & Security. No 29 (2) : 196-207. DOI: 10.1016/j.cose.2009.09.002.
17. Da Veiga A., Martins N. 2015. Information security culture and information protection culture: a validated assessment instrument [Electronic resource]. Computer Law & Security Review. No 31 (2) : 243-256. DOI: 10.1016/j.clsr.2015.01.005.
18. Da Veiga A., Martins N. 2017. Defining and identifying dominant information security cultures and subcultures [Electronic resource]. Computers & Security. No 70 : 72-94. Available from : https://doi.org/10.1016/ j.cose.2017.05.002.
19. Da Veiga A., and Martins N. 2014. Information security culture: a comparative analysis of four assessments. Proceedings of the 8th European Conference on IS Management and Evaluation: ECIME 2014. University of Ghent Belgium. 11-12 September 2014. Edited by J. Devos Ghent University and S. DeHaes University of Antwerp and Antwerp Management School Belgium. P. 49-57.
20. Dhillon G., Syed R., Pedron C. 2016. Interpreting information security culture: an organizational transformation case study. Computers & Security. No 56 : 63-69. DOI: 10.1016/j.cose.2015.10.001.
21. Gcaza N., Von Solms R., Grobler M., Van Vuuren J. J. 2017. A general morphological analysis: delineating a cyber-security culture. Information and Computer Security. No 25 (3) : 259-278.
22. Helokunnas T., Kuusisto R. 2003. Information security culture in a value net. IEMC'03 Proceedings. Managing Technologically Driven Organizations: the Human Side of Innovation and Change. Albany, NY, USA (2-4 Nov. 2003). Chichester : J. Wiley and sons LTD. P. 190-194.
23. Karlsson F., Äström J., Karlsson M. 2015. Information security culture - state-of-the-art review between 2000 and 2013. Information and Computer Security. No 23 (3) : 246-285. DOI: 10.1108/ics-05-2014-0033.
24. Khan B., Alghathbar K. S., Nabi S. I., Khan M. K. 2011. Effectiveness of information security awareness methods based on psychological theories. African Journal of Business Management. No 5 (26) : 10862-10868. DOI: 10.5897/ajbm11.067.
25. Lacey D. 2009. Managing the human factor in information security: how to win over staff and influence business managers. Chichester : John Wiley & Sons Ltd. 401 p.
97
26. Malyuk A., Miloslavskaya N. 2016. Cybersecurity culture as an element of IT professional training. 2016 Third International Conference on Digital Information Processing, Data Mining, and Wireless Communications (DIPDMWC). P. 205-210.
27. Martins A., Eloff J. 2002. Information security culture. Security in the Information Society: Visions and Perspectives. IFIP TC11 17th International Conference on Information Security (SEC2002), May 7-9, 2002, Cairo, Egypt. Edited by M. A. Ghonaimy, M. T. El-Hadidi and H. K. Aslan. Boston; Dordrecht; London : Kluwer academic publishers. P. 203-214.
28. Okere I., Carroll M., Van Niekerk J. 2012. Assessing Information Security Culture: A Critical Analysis of Current Approaches. 2012 Information Security for South Africa (ISSA). P. 84-91.
29. Parsons K., Calic D., Pattinson M., Butavicius M., McCormac A. and Zwaans T. 2017. The human aspects of information security questionnaire (HAIS-Q): two further validation studies. Computers & Security. No 66 : 40-51. DOI: 10.1016/j.cose.2017.01.004.
30. Rayne R., Van Niekerk J. 2015. A cyber security culture fostering campaign through the lens of active audience. Theory. Proceedings of the Ninth International Symposium on Human Aspects of Information Security & Assurance (HAISA 2015).
31. Rayne R., Van Niekerk J., Renaud K. 2014. Information security culture: a general living systems theory perspective. 2014 Information Security for South Africa (ISSA). P. 1-8.
32. Sabbagh B., Ameen M., Watterstam T., Kowalski S. 2012. A prototype for HI(2)Ping information security culture and awareness training. 2012 International Conference on E-Learning and E-Technologies in Education (ICEEE 2012). P. 32-36.
33. Schlienger T., Teufel S. 2002. Information security culture - The socio-cultural dimension in information security management. Security in the Information Society: Visions and Perspectives. Edited by M. A. Ghonaimy, M. T. El-Hadidi and H. K. Aslan. Boston; Dordrecht; London : Kluwer academic publishers. P. 191-201.
34. Schlienger T., Teufel S. 2003. Analyzing information security culture: increased trust by an appropriate information security culture. Proceedings of the International Workshop on Trust and Privacy in Digital Business (TrustBus'03) in conjunction with 14th International Conference on Database and Expert Systems Applications (DEXA 2003), September 1-5 2003, Prague, Czech Republic, IEEE Computer Society.
35. Thomson K. L., and von Solms R. 2005. Information security obedience: a definition. Computers & Security. No 24 (1) : 69-75. DOI: 10.1016/j.cose.2004.10.005.
36. Throsby D. 1999. Cultural capital. Journal of Cultural Economics. No 23 (1-2) : 3-12.
37. Van Niekerk J., Von Solms R. 2010. Information security culture: a management perspective. Computers & Security. No 29 (4) : 476-486. DOI: 10.1016/j.cose.2009.10.005.
38. Von Solms R., Van Niekerk J. 2013. From information security to cyber security. Computers & Security. No 38 : 97-102. DOI: 10.1016/j.cose.2013.04.004.
39. Vroom C., Von Solms R. 2004. Towards information security behavioural compliance. Computers & Security. No 23 (3) : 191-198. DOI: 10.1016/j.cose.2004.01.012.
40. Zakaria O. 2006. Internalisation of information security culture amongst employees through basic security knowledge. Security and Privacy in Dynamic Environments. Proceedings of the IFIP TC-11 21st International Information Security Conference (SEC 2006), 22-24 May 2006, Karlstad, Sweden. Edited by S. FischerHubner, K. Rannenberg, L. Yngstrom and S. Lindskog. Boston, MA : Springer US. P. 437-441.
Получено 19.06.2018
98
L. Astakhova
Doctor of Pedagogical Sciences, Professor, South Ural State University (national research university) E-mail: lvastachova@mail.ru
FROM CULTURE TO CULTURAL CAPITAL OF INFORMATION SECURITY
OF AN ORGANIZATION
Abstract. The problem of an organization information security culture (ISC) is especially urgent in modern science and practical activity abroad. Total digitization of modern human activity results in growth of incidents of information security (IS) in organizations. Prospects of the coming Industry 4.0 and the Internet of Things (IoT) give full grounds to wait for their exponential growth in the nearest future in Russia as well. The main culprit of these incidents is a human being, That's why experts acknowledge the importance of ISC in any organization. But very often experts don t take into consideration peculiarities of enterprises as economic subjects using exclusively culturological approach. Economic nature of an organization as a subject of social-economic relations requires the necessity to concentrate not on culture but on cultural capital of information security of an organization (ISCC). The aim of the article is to justify the approach to ISCC of an organization as economic subject: to define its notion, structure and development principles.
Keywords: sociology of culture, information security culture (ISC), corporate cultural capital, human factor, organization
For citing: Astakhova L. 2018. From culture to cultural capital of information security of an organization. Culture and Arts Herald. No 3 (55) : 85-101.
References
1. Astakhova L. 2014. Information outlook: The concept and levels. Herald of Chelyabinsk State Academy of Culture and Arts. No 4 (40) : 9-16. (In Russ.).
2. Astakhova L. 2017. The development of student's cultural competence in a post-industrial society: The imperatives of capital approach. Integration of Education. No 21 (1) : 35-45. (In Russ.).
3. Auzan A, Nikishina E. 2013. Long-term economic dynamics: the role of informal institutions. Journal of Economic Theory. No 4 : 48-57. (In Russ.).
4. Bourdieu P. 2002. Forms of Capital. Translated by M. Dobriakova. Radaev V., scientific ed. Economic Sociology. Vol. 3. No 5 : 60-74. (In Russ.).
5. Global'noye issledovaniye utechek konfidentsial'noy informatsii v 2017 godu [Global research on leakage of confidential information in 2017] [Electronic resource]. Available from : https://www.infowatch.ru/report2017. (accessed : 01.07.2018). (In Russ.).
6. Tikhomirova O. 2008. Organizatsionnaya kul'tura: formirovaniye, stanovleniye, razvitiye i otsenka [Organizational culture: formation, development and evaluation]. St. Petersburg : IТМО. 156 p. (In Russ.).
7. Astakhova L. 2014. The concept of the information-security culture. Scientific and Technical Information Processing. No 41 (1) : 22-28. DOI: 10.3103/S0147688214010067. (In Eng.).
8. Astakhova L. 2015. Evaluation assurance levels for human resource security of an information system. Procedia Engineering. No 129 : 635-639. (In Eng.).
9. Astakhova L. 2015. Information security: risks related to the cultural capital of personnel (Review). Scientific and Technical Information Processing. No 42 (2) : 41-52. DOI: 10.3103/S0147688215020021. (In Eng.).
10. Astakhova L. 2016. Soft-power requirements in information-security management. Scientific and Technical Information Processing. No 43 (3) : 162-165. DOI: 10.3103/s0147688216030060. (In Eng.).
11. Astakhova L. 2016. The ontological status of trust in information security. Scientific and Technical Information Processing. No 43 (1) : 58-65. DOI: 10.3103/s0147688216010123. (In Eng.).
12. Bourne J. 2017. New research questions strategic importance of DevOps despite rise in usage [Electronic resource]. CloudTech. Available from : https://www.cloudcomputing-news.net/news/2017/jan/23/devops-usage-continues-rise-strategic-importance-needs-more-working-out/. (In Eng.).
99
13. Chang Hsia-Ching. 2016. The synergy of scientometric analysis and knowledge mapping with topic models: modelling the development trajectories of information security and cyber-security research. Journal of Information & Knowledge Management. No 15 (4). DOI: 10.1142/s0219649216500441. (In Eng.).
14. Da Veiga A. 2016. A Cybersecurity Culture Research Philosophy and Approach to Develop a Valid and Reliable Measuring Instrument. Proceedings of the 2016 SAI Computing Conference (SAI). London. Copyright : IEEE. P. 1006-1015. (In Eng.).
15. Da Veiga A. 2016. Comparing the information security culture of employees who had read the information security policy and those who had not illustrated through an empirical study. Information and Computer Security. No 24 (2) : 139-151. DOI : 10.1108/ics-12-2015-0048. (In Eng.).
16. Da Veiga A., Eloff J. H. P. 2010. A framework and assessment instrument for information security culture. Computers & Security. No 29 (2) : 196-207. DOI: 10.1016/j.cose.2009.09.002. (In Eng.).
17. Da Veiga A., Martins N. 2015. Information security culture and information protection culture: a validated assessment instrument. Computer Law & Security Review. No 31 (2) : 243-256. DOI: 10.1016/j.clsr.2015.01.005. (In Eng.).
18. Da Veiga A., Martins N. 2017. Defining and identifying dominant information security cultures and subcultures [Electronic resource]. Computers & Security. No 70 : 72-94. DOI : https://doi.org/10.1016/j.cose.2017.05.002. (In Eng.).
19. Da Veiga A., Martins N. 2014. Information security culture: a comparative analysis of four assessments. Proceedings of the 8th European Conference on IS Management and Evaluation: ECIME 2014. University of Ghent Belgium. 11-12 September 2014. Edited by J. Devos Ghent University and S. DeHaes University of Antwerp and Antwerp Management School Belgium. P. 49-57. (In Eng.).
20. Dhillon G., Syed R., Pedron C. 2016. Interpreting information security culture: an organizational transformation case study. Computers & Security. No 56 : 63-69. DOI: 10.1016/j.cose.2015.10.001. (In Eng.).
21. Gcaza N., Von Solms R., Grobler M., Van Vuuren J. J. 2017. A general morphological analysis: delineating a cyber-security culture. Information and Computer Security. No 25 (3) : 259-278. (In Eng.).
22. Helokunnas T., Kuusisto R. 2003. Information security culture in a value net. IEMC'03 Proceedings. Managing Technologically Driven Organizations: the Human Side of Innovation and Change. Albany, NY, USA (2-4 Nov. 2003). Chichester : J. Wiley and sons LTD. P. 190-194. (In Eng.).
23. Karlsson F., Âstrom J., Karlsson M. 2015. Information security culture - state-of-the-art review between 2000 and 2013. Information and Computer Security. No 23 (3) : 246-285. DOI: 10.1108/ics-05-2014-0033. (In Eng.).
24. Khan B., Alghathbar K. S., Nabi S. I., Khan M. K. 2011. Effectiveness of information security awareness methods based on psychological theories. African Journal of Business Management. No 5 (26) : 10862-10868. DOI: 10.5897/ajbm11.067. (In Eng.).
25. Lacey D. 2009. Managing the human factor in information security: how to win over staff and influence business managers. Chichester : John Wiley & Sons Ltd. 401 p. (In Eng.).
26. Malyuk A., Miloslavskaya N. 2016. Cybersecurity culture as an element of IT professional training. 2016 Third International Conference on Digital Information Processing, Data Mining, and Wireless Communications (DIPDMWC). P. 205-210. (In Eng.).
27. Martins A., Eloff J. 2002. Information security culture. Security in the Information Society: Visions and Perspectives. IFIP TC11 17th International Conference on Information Security (SEC2002), May 7-9, 2002, Cairo, Egypt. Edited by M. A. Ghonaimy, M. T. El-Hadidi and H. K. Aslan. Boston; Dordrecht; London : Kluwer academic publishers. P. 203-214. (In Eng.).
28. Okere I., Carroll M., Van Niekerk J. 2012. Assessing Information Security Culture: A Critical Analysis of Current Approaches. 2012 Information Security for South Africa (ISSA). P. 84-91. (In Eng.).
29. Parsons K., Calic D., Pattinson M., Butavicius M., McCormac A. and Zwaans T. 2017. The human aspects of information security questionnaire (HAIS-Q): two further validation studies. Computers & Security. No 66 : 40-51. DOI: 10.1016/j.cose.2017.01.004. (In Eng.).
30. Rayne R., Van Niekerk J. 2015. A cyber security culture fostering campaign through the lens of active audience. Theory. Proceedings of the Ninth International Symposium on Human Aspects of Information Security & Assurance (HAISA 2015). (In Eng.).
100
31. Rayne R., Van Niekerk J., Renaud K. 2014. Information security culture: a general living systems theory perspective. 2014 Information Security for South Africa (ISSA). P. 1-8. (In Eng.).
32. Sabbagh B., Ameen M., Watterstam T., Kowalski S. 2012. A prototype for HI(2)Ping information security culture and awareness training. 2012 International Conference on E-Learning and E-Technologies in Education (ICEEE 2012). P. 32-36. (In Eng.).
33. Schlienger T., Teufel S. 2002. Information security culture - The socio-cultural dimension in information security management. Security in the Information Society: Visions and Perspectives. Edited by M. A. Ghonaimy, M. T. El-Hadidi and H. K. Aslan. Boston; Dordrecht; London : Kluwer academic publishers. P. 191-201. (In Eng.).
34. Schlienger T., Teufel S. 2003. Analyzing information security culture: increased trust by an appropriate information security culture. Proceedings of the International Workshop on Trust and Privacy in Digital Business (TrustBus '03) in conjunction with 14th International Conference on Database and Expert Systems Applications (DEXA 2003), September 1-5 2003, Prague, Czech Republic, IEEE Computer Society. (In Eng.).
35. Thomson K. L., and von Solms R. 2005. Information security obedience: a definition. Computers & Security. No 24 (1) : 69-75. DOI: 10.1016/j.cose.2004.10.005. (In Eng.).
36. Throsby D. 1999. Cultural capital. Journal of Cultural Economics. No 23 (1-2) : 3-12. (In Eng.).
37. Van Niekerk J., Von Solms R. 2010. Information security culture: a management perspective. Computers & Security. No 29 (4) : 476-486. DOI: 10.1016/j.cose.2009.10.005. (In Eng.).
38. Von Solms R., Van Niekerk J. 2013. From information security to cyber security. Computers & Security. No 38 : 97-102. DOI: 10.1016/j.cose.2013.04.004. (In Eng.).
39. Vroom C., Von Solms R. 2004. Towards information security behavioural compliance. Computers & Security. No 23 (3) : 191-198. DOI: 10.1016/j.cose.2004.01.012. (In Eng.).
40. Zakaria O. 2006. Internalisation of information security culture amongst employees through basic security knowledge. Security and Privacy in Dynamic Environments. Proceedings of the IFIP TC-11 21st International Information Security Conference (SEC 2006), 22-24 May 2006, Karlstad, Sweden. Edited by S. FischerHubner, K. Rannenberg, L. Yngstrom and S. Lindskog. Boston, MA : Springer US. P. 437-441. (In Eng.).
Received 19.06.2018
***ПИСЬМА В РЕДАКЦИЮ** *ПОЗД РАВЛЕНИЯ С ЮБИЛЕЕМ ЧГИК*** ПИСЬМА В РЕДАКЦИЮ***
Уважаемый Владимир Яковлевич, преподаватели, сотрудники, студенты, ветераны и выпускники Челябинского государственного института культуры!
Примите мои сердечные поздравления с Юбилеем!
Вы по праву можете гордиться яркими страницами истории института и именами тех, кто стоял у истоков его создания и развития, кто обеспечивает его высокий авторитет и востребованность сегодня. Ваши выпускники всегда находят успешное применение полученным в институте уникальным знаниям и умениям, способны адаптироваться в любой сфере деятельности не только в родном Отечестве, но и далеко за его пределами. Большая заслуга в этом принадлежит преподавателям института, обладающим высоким профессионализмом и преданностью благородному делу развития личности будущих специалистов.
В день юбилея - праздник сердечных слов и приятных воспоминаний - желаю вам доброго здоровья, дальнейшего движения вперед, творческих идей и смелых решений! Пусть в институте всегда хранится атмосфера дружной семьи, у которой есть теплый уютный дом и вера в будущее.
С уважением и благодарностью к Alma Mater -
Л. В. Астахова, доктор педагогических наук, профессор, профессор кафедры защиты информации ЮУрГУ Выпускница ЧГИК 1982 г.
101
