На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Повышение осведомленности пользователей по вопросам ИБ

 

 

Игорь Писаренко
Отдел информационной безопасности
УОБ ВТБ24 (ЗАО), к.т.н., доцент, член АРСИБ
Itsec.Ru

 

Современный человек должен многое знать и уметь в области информационных технологий. Развитие технологий и внедрение новых средств обработки информации требуют уверенного владения компьютером (ноутбуком, планшетом, смартфоном и т.п.), знаний значительного числа программных продуктов и правил работы с электронной почтой, носителями информации, Интернетом и многое другое. В работе используется огромный объем информации, хранимой на различных ресурсах и представляющей значительную ценность для компании в целом или для кого-то лично. При этом не важно, где используется компьютер — в офисе или командировке, на отдыхе или дома: с развитием сетевых технологий уровень доступа к ресурсам растет, как и количество разнообразных атак на эти ресурсы.

В современных условиях наряду со знанием основных производственных технологий от работника требуется знание специфических вопросов, связанных с обеспечением ИБ, что обусловлено не только требованиями законодательства Российской Федерации, международными и российскими стандартами и нормативными документами компании, но и элементарными требованиями безопасности и необходимостью сохранения конфиденциальной информации в тайне.

Как и всякая система обучения, система повышения осведомленности подразумевает использование определенных форм, видов и методов обучения. Выбор того или иного метода или формы зависит от целого ряда факторов, таких как: цели организации, кадровая политика, характеристики обучающегося персонала, его численность и финансирование.

К сожалению, многие работники весьма далеки от вопросов защиты информации и поэтому значительное число инцидентов ИБ, связанных прежде всего с утечками конфиденциальной информации, вирусными заражениями или уничтожением/искажением информации, происходит по вине работников, которые сознательно или нет нарушают требования по обеспечению ИБ, либо попросту не знают этих требований. Большинство специалистов в области И Б сходятся во мнении, что более 80% инцидентов происходит по вине работников, причем значительная часть - в результате неумышленных действий: по халатности, по невнимательности или просто по незнанию.

Осведомленность работников компании

Итак, одним из основных факторов, которые существенно влияют на состояние ИБ в компании, являются осведомленность пользователей в области ИБ и их умение применять полученные знания в повседневной деятельности, поэтому одна из важнейших задач, которую приходится решать службе ИБ, - организация обучения пользователей, причем всех, без исключений, по вопросам обеспечения ИБ в рамках построения системы повышения осведомленности пользователей в области ИБ.

Под повышением осведомленности работников компании в области ИБ понимается целенаправленный, организованный, планомерно и систематически осуществляемый процесс повышения уровня знаний работников и формирования необходимых навыков в области ИБ, создание корпоративной культуры в данной области и атмосферы осознания необходимости соблюдения требований ИБ.

Цели и основные требования к повышению осведомленности

В стандарте Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" эти требования конкретизированы: должна быть организована документально оформленная и утвержденная руководством работа с персоналом в данном направлении, включая разработку и реализацию планов и программ обучения и повышения осведомленности в области ИБ и контроля результатов выполнения указанных планов. Здесь же говорится о периодичности обучения и содержании программ:

  • по существующим политикам ИБ;
  • по применяемым защитным мерам;
  • по правильному использованию защитных мер в соответствии с внутренними документами;
  • по значимости и важности деятельности работников для обеспечения ИБ.
Инциденты ИБ происходят в любой организации: государственной или коммерческой, большой или маленькой, а их количество напрямую зависит от осведомленности пользователей в вопросах ИБ, эффективности системы менеджмента инцидентов ИБ и системы обеспечения ИБ организации в целом, а также общей корпоративной культуры пользователей по вопросам ИБ.
Получить полную и достоверную картину по инцидентам ИБ практически и даже теоретически весьма сложно: естественно, что службы ИБ такой информацией делиться не будут, многие компании учет инцидентов ИБ не ведут, а где-то они попросту не выявляются, поэтому логично предположить, что количество инцидентов ИБ на самом деле больше, чем те единичные случаи, которые становятся достоянием гласности и попадают в официальную статистику. Те данные, которые публикуют компании, специализирующиеся в области ИБ, не отражают реальной ситуации и представляют собой не более чем верхушку некоего информационного айсберга по инцидентам ИБ.

В общем случае к системе повышения осведомленности работников компании предъявляются следующие требования:

  • возможность регулярного обучения любого количества работников, независимо от их территориального местонахождения и без отрыва от рабочего процесса;
  • простота и доступность учебных материалов для различных категорий работников;
  • возможность оперативного внесения изменений в программы повышения осведомленности и учебные материалы.

Важным аспектом работы по повышению осведомленности персонала по вопросам ИБ является непрерывность этого процесса. Законодательство и требования регуляторов быстро меняются, появляются новые угрозы И Б, новые информационные системы - все это необходимо оперативно отражать в программах повышения осведомленности. Для работников компании непрерывность обучения заключается в повторении требований и правил ИБ (чтобы они не забывались). Также важно информировать всех работников о произошедших изменениях в политиках безопасности и процедурах обеспечения ИБ.

Конечной целью реализации вышеуказанных программ является снижение ущерба и потерь (материальных, моральных, репутационных) от угроз, связанных с человеческим фактором при работе с информационными ресурсами компании.

Как и всякая система обучения, система повышения осведомленности подразумевает использование определенных форм, видов и методов обучения. Выбор того или иного метода или формы зависит от целого ряда факторов, таких как: цели организации, кадровая политика, характеристики обучающегося персонала, его численность и финансирование.

Корпоративное обучение

В рамках повышения осведомленности в области ИБ обучение может проходить в следующих формах:

  • очного обучения (в своей компании или в специализированных организациях);
  • дистанционного обучения (электронные курсы, в форме тестирования, вебинаров, онлайн-конференций и т.п.);
  • самостоятельного изучения учебных материалов.

Рассматривать очное обучение как метод регулярного повышения осведомленности работников по вопросам ИБ не всегда выгодно и эффективно, так как отрыв от основной деятельности значительного количества работников негативно влияет на бизнес компании. Данная форма больше подходит для государственных структур и небольших компаний, где можно одновременно собрать всех работников с минимальным отрывом от основной деятельности.

Цели и основные требования к процессам повышения осведомленности и обучению работников в области информационной безопасности определены во многих международных и российских стандартах: ГОСТ Р ИСО/МЭК ТО 13335-3:2007; ГОСТ Р ИСО/МЭК 27001:2006; ГОСТ Р ИСО/МЭК ТО 18044:2007; СТО БР ИББС -1.0-2010 и др.

Для крупных компаний, имеющих разветвленную региональную сеть, более подходящим является использование систем дистанционного обучения, которые позволяют одновременно обучать и контролировать обучение большого количества персонала.

Сегодня на рынке представлены разнообразные системы дистанционного обучения (российские и зарубежные: Digital Security E-Learning System, Web-Tutor, "Доцент", ELeaP LMS и пр.) Выбор системы зависит от требуемого количества обучаемых, необходимых ресурсов для разработки курсов и тестов, сроков внедрения, возможности приобретения готовых курсов, стоимости. Ряд производителей систем дистанционного обучения предлагают не только покупку своих систем, но и их аренду.

Дополнительно в процессе обучения могут использоваться так называемые нестандартные средства, позволяющие поддерживать атмосферу И Б, благодаря которым работник запоминает отдельные положения политики безопасности и понимает важность требований ИБ на эмоциональном и подсознательном уровне: скринсейверы, видеоролики, мультимедийные материалы, блоки новостей по ИБ, плакаты, офисные принадлежности с краткой информацией по обеспечению ИБ.

Наибольший эффект дает комплексное применение различных форм и методов обучения в рамках многоуровневой системы повышения осведомленности работников компании в области ИБ, с использованием:

  • очного обучения в виде инструктажа по обеспечению ИБ, который проводят специалисты службы ИБ с вновь принятыми работниками, а также специализированных курсов для отдельных категорий работников;
  • дистанционного обучения, проводимого периодически, по нескольким программам различного уровня;
  • разовых рассылок, доведения информации по изменениям в законодательстве РФ в области ИБ, политике ИБ компании, по выявленным нарушениям и другим актуальным вопросам;
  • самостоятельной работы с нормативными документами;
  • консультаций и проведения совещаний по отдельным вопросам обеспечения ИБ.

Систему повышения осведомленности работников компании, как один из процессов системы менеджмента И Б, целесообразно организовывать в виде циклической модели Деминга "... планирование - реализация - проверка - совершенствование - планирование...", которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001:2005.

Особенности этапов циклической модели Деминга

Этап "планирование"
На этом этапе осуществляется постановка целей обучения, закупка/разработка и ввод в эксплуатацию системы обучения, разработка учебных программ и необходимых учебных материалов, подготовка организационно-распорядительных документов по организации обучения.

Наиболее сложной и, пожалуй, самой ответственной задачей является разработка (или приобретение у специализированных компаний) учебных программ и учебных материалов, которые должны учитывать специфику деятельности компании и существующий уровень осведомленности персонала по вопросам ИБ. Для этого предварительно проводится анализ существующих политик безопасности, используемых защитных мер, количества, видов и последствий инцидентов ИБ с целью выявления проблемных областей и уровня осведомленности работников в области ИБ.

Содержание учебных программ обычно типовое, раскрывающее основные положения политики безопасности, правил использования информационных ресурсов, но с обязательным учетом специфики компании, особенностей обработки информации и других нюансов.

Работникам необходимо четко понимать, что такое ИБ и какие последствия могут быть для компании в случае несоблюдения ее требований. Для правильного формирования культуры ИБ работники компании должны понимать, почему важно защищать информацию, какие виды конфиденциальной информации используются в компании, какие существуют угрозы, и какие защитные меры необходимо использовать и каким образом.

Особое внимание необходимо акцентировать на рассмотрении понятия и основных видов инцидентов ИБ, их признаках и доведения информации о том, что необходимо делать в случае выявления инцидента ИБ и к кому обращаться в этом случае.

В разрабатываемых курсах до работников компании должны быть доведены требования законодательства РФ и локальных нормативных актов в области ИБ.

Так как повышение осведомленности в области И Б для большинства работников не является профильным обучением, средства и материалы, используемые в учебной программе и учебных материалах, должны быть простыми для восприятия, интересными и максимально понятными.

Этап "Реализация"
Здесь реализуется разработанная программа и осуществляется контроль усвоения знаний работниками компании.

Прежде чем использовать систему дистанционного обучения, производится инструктаж пользователей, обучение, как правильно ее использовать, установленным порядком выдаются учебные задания и производится контроль их выполнения.

Толковый словарь Д.Н. Ушакова дает следующее определение: Осведомленность - это наличие сведений и знаний о чем-нибудь.
Можно сказать по-другому: Осведомленность - это когда работник ясно осознает, что и зачем он делает и почему именно так, а не иначе.

Возможно выделение отдельных групп обучаемых в соответствии с выполняемым функционалом и уровнем осведомленности.

На данном этапе важнейшим элементом является контроль обучения работников: во-первых, необходимо иметь обратную связь, чтобы оценить эффективность проведения обучения, во-вторых, некоторые подходят к обучению несерьезно, либо совсем не проходя обучение либо не сдавая тесты. Таких работников надо выявлять и добиваться успешного прохождения ими курса обучения.

Для контроля могут использоваться различные формы: тестирование, опрос на знание политик безопасности.

Этап "Проверка"
Оценка эффективности реализации учебных программ, которая включает в себя оценку полученных работниками знаний и умений, оценку действенности проведенных мероприятий, а также анализ изменений статистики инцидентов ИБ, проводится на этапе проверки.

Возможно применение следующих способов оценки эффективности реализации программы:

  • сбор и анализ статистики инцидентов ИБ в компании;
  • открытые проверки (тесты, опросы,интервью, анкетирование, внешний или внутренний аудит);
  • скрытые проверки (телефонные звонки и электронные письма провокационного характера с использованием приемов социальной инженерии, мониторинг действий пользователей, внешний или внутренний аудит).

Здесь необходимо ответить на вопрос: насколько программа соответствует требованиям политики безопасности компании и как ее можно оценить, измерить эффективность (можно, например, воспользоваться метрикой, данной А. Лукацким в своем блоге: lukatsky.blogspot.ru ).

Этап "Совершенствование"
На данном этапе производится коррекция и улучшение работы, переработка программ и учебных материалов, их обновление.

Обычно переработка учебных программ производится после существенного изменения требований законодательства, нормативных документов, требований ИБ компании, правил обработки информации.

В компании должен быть определен перечень документов, являющихся свидетельством выполнения программ обучения и повышения осведомленности в области ИБ.

В частности, такими документами могут являться:

  • документы (журналы), подтверждающие прохождение работниками обучения в области ИБ с указанием уровня образования, навыков, опыта и квалификации обучаемых;
  • документы, содержащие результаты проверок обучения работников;
  • документы, содержащие результаты проверок осведомленности в области ИБ.

Вывод

Повышение осведомленности персонала - это один из важнейших этапов внедрения системы обеспечения ИБ, который направлен на обучение персонала и поддержание его знаний в актуальном состоянии. Обучение персонала компании по вопросам ИБ - залог высокой эффективности всей системы безопасности в целом. Кроме того, большую часть инцидентов И Б можно не допустить, поскольку более половины всех инцидентов порождают работники компании просто по незнанию требований и правил ИБ.

 

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2013

 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru