На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Современные методы обучения сотрудников компании по вопросам информационной безопасности

 

Леонид Крымский,

аналитик по информационной безопасности Digital Security

Itsec.Ru

 

Программа повышения осведомленности

В последнее время организации все чаще сталкиваются с проблемой неправомерных действий сотрудников компании, причем большинство инцидентов происходит в результате неумышленных действий. Перед специалистами отдела ИБ возникает непростая задача: как добиться того, чтобы сотрудники более внимательно относились к И Б, выполняли необходимые правила и требования, не вызывая у них при этом негативного отношения. Решением данной задачи является внедрение в компании программы повышения осведомленности сотрудников в области ИБ. Эта программа представляет собой процесс регулярного повышения их уровня знаний, создание корпоративной атмосферы и культуры в области ИБ.

Следует обратить внимание на основные требования, которым все рассматриваемые решения должны удовлетворять:

  • предоставление возможности регулярного обучения любого количества сотрудников вне зависимости от их территориального местонахождения и без отрыва от рабочего процесса;
  • подача материала пользователям в простой и понятной форме;
  • адекватная стоимость всех внедряемых решений вне зависимости от количества обучающихся.

 

Исходя из перечисленных выше требований понятно, что рассматривать очное обучение как метод регулярного повышения осведомленности сотрудников в области ИБ с экономической точки зрения нецелесообразно. Значительно лучше для решения данной задачи подходят различные системы корпоративного дистанционного обучения либо те или иные "нестандартные" решения, особенности использования которых будут рассмотрены в этой статье.

 

Системы дистанционного обучения

Основным средством обучения большого количества сотрудников являются различные системы дистанционного обучения (СДО). Но СДО - это не обучающая программа, а средство доставки до конечного пользователя информации (учебных материалов), которая в нее заложена. Поэтому при ее выборе, как правило, следует обращать внимание на два параметра: основной функционал (управление процессом обучения сотрудников, гибкость формирования отчетов и т.п.) и набор учебных материалов, которые предоставляются вместе с системой. К последним предъявляют специфичные требования:

  • материалы должны быть понятны любому сотруднику, даже не обладающему никакими знаниями в области ИТ и ИБ;

  • они должны обучать и пояснять, почему то или иное правило так важно для безопасности компании;

  • материалы должны быть увлекательными и интересными.

Таким образом, в первую очередь необходимо обращать внимание на содержание учебных материалов. Следует отметить, что некоторые консалтинговые компании как продают уже готовые учебные материалы, так и предоставляют услуги по разработке курсов для сотрудников, которые в дальнейшем интегрируются в уже внедренную СДО.

"Нестандартные" средства

Под "нестандартными" средствами повышения квалификации сотрудников компании в области ИБ понимаются различные методы, благодаря которым на эмоциональном и подсознательном уровне сотрудник запоминает учебный материал и понимает важность требований И Б. Рассмотрим подробнее некоторые примеры.

Скринсэйверы - это экранные программы-заставки, которые включаются, когда пользователь блокирует свою рабочую станцию. Идея применения скринсэйверов успела себя зарекомендовать и оказалась эффективной. Сотрудники подсознательно обращают внимание на увлекающие их вещи: достаточно 2-3 с, чтобы понять смысл хотя бы одного из слайдов скрин-сэйвера. Поэтому слайды должны быть красочными, понятными с первых мгновений и привлекающими к себе внимание.

Фильмы, мультфильмы, ролики. Основная ценность материалов, которые представлены в мультимедийных форматах, заключается в том, что они позволяют визуально и в игровой форме показать пользователям ситуации, в которых из-за невнимательности или небрежности сотрудника происходит инцидент, а также к каким последствиям это может привести. Кроме того, такие учебные материалы значительно повышают степень запоминания основных правил, а также формируют на начальном этапе положительное отношение сотрудника к ИБ. Их удобно применять для проведения периодических тренингов персонала.

Новости по ИБ. Новости для сотрудников также часто используются в качестве средства обучения. Лента новостей составляется с учетом следующих требований:

  • новости должны быть понятны любому сотруднику с нулевыми знаниями в области ИТ и ИБ;

  • они должны быть интересными и легко воспринимаемыми;

  • их содержание должно способствовать повышению уровня осведомленности сотрудников в области ИБ.

Таким образом, здесь целесообразно освещать следующие события: инциденты И Б (особенно случившиеся по вине сотрудников компании), появление новых атак, направленных на сотрудников, различные судебные процессы, связанные с нарушением ИБ, интересные рейтинги и номинации (например, рейтинг самых нелепых вирусов) и т.п.

Офисные принадлежности. Любая компания периодически производит закупки различных офисных принадлежностей. Сотрудники на протяжении всего рабочего дня используют эти материалы или, по крайней мере, находятся в непосредственной близости от них. Чтобы обычная шариковая ручка кроме своей основной функциональности превратилась в том числе и в так называемый обучающий материал, достаточно нанести на нее надпись - например, "Не предназначена для записи паролей".

Существует еще множество "нестандартных" средств, чтобы обратить внимание сотрудников на проблемы ИБ: плакаты и буклеты, памятки, которые выдаются при приеме на работу, брелоки и т.п. Главное - не бояться их использовать, и тогда все сотрудники и клиенты компании оценят серьезное отношение руководства к обеспечению ИБ.

Оценка квалификации сотрудников

Обзор методов обучения сотрудников вопросам ИБ нельзя было бы назвать полным без рассмотрения возможных методов оценки эффективности внедренной в компании программы обучения. Эффективность программы определяется исходя из осведомленности сотрудников компании в области ИБ. Безусловно, основ ным средством оценки знаний является тестирование. Однако недостаток данного метода состоит в том, что он предполагает оценку лишь теоретических знаний.

Чтобы проверить сотрудников на практике, имитируются ситуации, в которых действия неграмотного пользователя могут привести к нарушению ИБ. Например, почтовая рассылка от имени потенциального злоумышленника с просьбой запустить ПО или изменить настройки безопасности. Более того, данная проверка позволяет узнать реакцию сотрудников отдела ИБ и ИТ, а также оказать на них психологическое воздействие, показав, что все их действия контролируются.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2007

 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru