Во вчерашней
заметке про новые требования по безопасности SWIFT я упомянул, что отечественным регуляторам не хватает умения визуализировать свои требования и свои документы, что сильно затрудняет применение их на практике. Я уже писал про сложность восприятия документов ФСТЭК (
тут,
тут и
тут), но сегодня я решил чуть раскрыть эту тему. Правда, уже с другой точки зрения, а точнее с точки зрения формата представления документов.
Все мы знаем про три типа восприятия информации — аудиалы (восприятие на слух), визуалы (восприятие через глаза) и кинестетики (восприятие через ощущения и касания). На самом деле есть еще и очень редкий, четвертый тип — дискрет, воспринимающий информацию через цифры, четкие доводы и логическое осмысление. Но знание этих 4-х типов не сильно помогает нам ответить на вопрос, почему тексты российских регуляторов воспринимаются хуже, чем тех же американских. Ответ заключается в таком явлении как «эффект превосходства образа», то есть восприятии визуальных изображений на порядок лучше, чем восприятие текста и тем более устной речи. Даже таблицы, не говоря уже о цифрах или просто стене текста, сложны для восприятия и скучны; от них устаешь уже через пару страниц и смысл документа начинает ускользать от читателя. Спасением являются иллюстрации и изображения, поясняющие или раскрывающие смысл тех или иных положений, а также правильное использование типографики (шрифтов), цвета, визуального ряда и макета/дизайна.
Приведу несколько фактов:
- Изображения обрабатываются в 60 000 раз быстрее текста
- 80% людей охотнее читают текст, который сопровождается изображениями
- В тексте читается всего 28% слов и всего 20% прочитанного остается в памяти
- Согласно теории Саноки-Сульмана люди лучше запоминают палитры, содержащие сочетание только трех или менее цветов, чем те, в которых четыре и более цвета, а также цветовое различие между контекстом и фоном может повысить нашу способность концентрироваться на контексте. То есть черный текст на белом фоне воспринимается гораздо лучше такого же текста еще и с красным заголовком. А еще эта теория объясняют, почему большинство презентаций регуляторов такое унылое гуано — их авторы почему-то считают, что если использовать для заголовков, текста, подписей на слайде разные кислотные цвета, то так лучше будет восприниматься.
- Феномен бинокулярного соперничества глаз требует от нас для нормального восприятия не перегружать страницу/слайд (именно поэтому «стена текста» не читается), выделять ключевые моменты, а также использовать тематические иконки.
- Используемый шрифт влияет на восприятие контента и на принятие решений по результатам его чтения. Поэтому рекомендуется использовать удобочитаемые шрифты, отделять текст от изображений, не накладывать изображения на текст и оставлять достаточно свободного пространства между абзацами.
- Согласно теории Кастелано-Хендерсона восприятие контента улучшают подходящие иконки или картинки для представления данных, расположенный в правильной последовательности контент (списки и таблицы), а также использование привычных цветов для важных объектов.
Ну а дальше будет несколько примеров, по которым вы, сами для себя, может судить о том, насколько легко или тяжело воспринимать представленную информацию (возможно у меня глаз уже замылен и я привык к нашим НПА по ИБ, но российские документы бросаются в глаза мгновенно):
|
PCI DSS v3.0 |
|
ITU-T E.409 по реагированию на инциденты для организаций электросвязи |
|
Финнский стандарт по критериям аудита ИБ (KATAKRI) |
|
Канадский «ФЗ-152» (PIPEDA) |
|
Французский стандарт по анализу рисков (MEHARI) |
|
ISF SoGP |
|
NIST SP800-53 |
|
Указание Банка России по угрозам ПДн |
|
FFIEC IT Examination Handbook |
|
Приказ №17 ФСТЭК |
|
Приказ №470 Минэкономразвития |
|
Приказ ФСТЭК по КСИИ |
|
СТО БР ИББС 1.3 по сбору доказательств |
|
Проект ГОСТ с базовым набором защитных мер для финансовых организаций |
|
Концепция по ГосСОПКЕ |
|
Приказ №378 ФСБ |
|
NIST CSF v1.0 |
|
Стандарт Катара по безопасности критических инфраструктур |
Понятно, что рекомендация будет простой — учитывать особенности восприятия информации при оформлении документов. Для этого можно либо ориентироваться на мировой опыт (благо его полно) и попробовать сделать самостоятельно, не забыв проверимость на «читаемость» на коллегах, либо нанять дизайнера в штат (или найти любителя дизайнов и макетов среди сотрудников), либо заплатить (что, конечно, врядли) агентствам, специализирующимся на таких вопросах.
ЗЫ. Это же касается и многих корпоративных документов по ИБ, ориентированных вроде бы на рядовых пользователей, но совершенно ими не воспринимаемых. И причина тут может быть не в том, что контент плохой, а в том, что подача его неудовлетворительна.