"Компот из сухофруктов", илиМетоды формирования и поддержания культуры информационной безопасности в организации

Тогда представьте, что организация, в которой вы сейчас работаете, плавно эволюционировала и перешла на следующий уровень зрелости управления в соответствии с моделью CMMI, а для ваших коллег стали актуальны и близки вопросы обеспечения режима конфиденциальности внутренней информации. Не получается? Догадываюсь, почему это может быть трудно.

Метод эмпатии выбран мною лишь для того, чтобы проиллюстрировать актуальность вопроса низкой или порой полностью отсутствующей в большинстве современных коллективов культуры ИБ.

Культура информационной безопасности

Красивое и не особо длинное словосочетание. А что это вообще такое? Где определение или методическое описание для данного словосочетания? При подготовке материала я просматривал различные отечественные и иностранные источники в надежде найти формальное определение и привести ссылку на надежный источник, а в идеале – на утвержденный глоссарий из нормативного документа. Бесполезно. Строгого формального определения культуры ИБ в настоящее время в рунете нет. Каждый кулик свое болото хвалит. Каждый эксперт придерживается своей субъективной философии в данном вопросе. И я не исключение!

Кто-то из экспертов считает, что культура ИБ – это отношение большинства к процессу обеспечения защиты информации в организации. Как следствие, культурой ИБ можно назвать деятельность всех сотрудников организации по обеспечению уважения интересов заинтересованных сторон общего дела (владельцев, учредителей, клиентов, партнеров, руководителей, работников и пр.) в отношении совместно обрабатываемой информации. Важными факторами для возникновения и поддержания культуры ИБ в этом случае являются наличие менеджмента ИБ, представленного иерархией лидеров, стандартизация, внутреннее и внешнее регулирование, а также элементы доверия внутри организации (Аспект СПБ).

Любопытное определение культуры ИБ дано экспертами-теоретиками, опиравшимися на концепцию деятельного подхода. С точки зрения интереса в контексте понятия "общества", культура ИБ – это существующие в определенный период развития общества способы обеспечения интересов личности в информационной сфере, упрочнения демократии, создания правового социального государства, достижения и поддержания общественного согласия, духовного обновления государства, сохранения нравственных ценностей, утверждения в обществе идеалов высокой нравственности, патриотизма и гуманизма, развития многовековых духовных традиций государства, пропаганды национального культурного наследия, норм морали и общественной нравственности, предотвращения манипулирования массовым сознанием, а также развития современных телекоммуникационных технологий, сохранения и развития отечественного научного и производственного капитала (ЮУрГУ).

Иностранные эксперты склонны считать, что культура ИБ – это термин, используемый для подробного описания идеологии, обычаев и социального поведения работников организации (в оригинале – группы людей), способных оказать влияние на состояние защищенности информации, находящейся в их распоряжении. Понятие культуры ИБ вбирает в себя элементы кибербезопасности, политических и общественных наук, информатизации, философии и психологии (SECURIT).

В сильно упрощенном виде под термином "культура ИБ" некоторые представители экспертного сообщества понимают процесс самостоятельного освоения работниками знаний, умений и навыков в области информационной безопасности, а также собственно процесс применения этих навыков на практике с общей целью достигнуть более высокого уровня ИБ в организации в краткосрочной или долгосрочной перспективе.

Вне зависимости от того, какое из предложенных определений близко и понятно именно вам, необходимость выстраивания процессов по формированию у каждого работника своей собственной внутренней культуры ИБ, поддержание и регулярное совершенствование этой культуры – это важные составные части набора организационных методов защиты информации в любой современной организации.

Рассмотрим основные методы и подходы к формированию и поддержанию культуры ИБ. Базисом для составления данного перечня, помимо личного опыта автора, явились описанные в открытых источниках и по понятным причинам обезличенные кейсы и факты, имевшие место в ряде известных организаций РФ в 2015–2016 гг. Прошло то время, когда эти громкие истории гроздями висели на главных страницах популярных информационных изданий и собирали порой нелестные комментарии читателей. Да, факты достаточно стары, но для аналитика по ИБ даже сейчас, на момент написания материала, они не потеряли своей информационной привлекательности, поэтому их с уверенностью можно назвать "сухофруктами".

Глобально методы формирования культуры информационной безопасности в отдельно взятой организации можно разделить на следующие группы, находящиеся в тесной взаимосвязи между собой: информирование/ обучение, контроль/выявление нарушений, проведение внутренних проверок и расследований, дисциплинарное воздействие на нарушителей режима ИБ¹.

К основным методам, нацеленным на информирование и обучение работников организации культуры ИБ, относятся:

1. Проведение очных инструктажей (вводных, повторных, внеплановых, по факту выявления нарушения) для сотрудников организации под роспись в журнале инструктажей по вопросам ИБ (в т.ч. при выходе новых нормативно-правовых документов в России и в организации) на регулярной основе. В рамках таких инструктажей целесообразно не только доводить информацию в формате, но и отвечать на вопросы сотрудников, сформированные в процессе работы.

2. Регулярное дистанционное информирование сотрудников по каналам внутренней корпоративной электронной почты. Материалы с иллюстрациями и описаниями с флагом "срочно" и/или "важно", полученные по внутренней корпоративной почте от сотрудников службы защиты информации, будут рассмотрены сотрудниками организации с интересом и неподдельным любопытством только в тех случаях, когда это не является обыденностью, не содержит сухой технический текст или скан-копии плохого разрешения и не переходит за грань "внутреннего спама".

3. Обязательное дистанционное обучение сотрудников организации актуальным вопросам информационной безопасности в формате электронного курса (слайды, презентации, демонстрационные ролики, интерактивные упражнения, промежуточные и итоговые тестирования, практические работы и пр.), опубликованного на внутреннем и/или внешнем облачном портале.

4. Популяризация темы защиты информации во внутренней корпоративной среде путем повышения интереса у работников к вопросам информационной безопасности на рабочем месте, направление памяток/информационных брошюр с иллюстрацией и/или яркой инфографикой.

5. Создание внутреннего доступного для всех сотрудников внутри сети организации ресурса (Web-портал, файловый сервер, база данных с доступом через сервер приложений и пр.) для размещения внутренних и внешних нормативных документов по ИБ.

6. Участие представителей службы защиты информации во внутренних совещаниях и обучающих мероприятиях в организации и аргументированное рассмотрение (в устной и письменной форме) поступающих смежных вопросов с точки зрения обеспечения ИБ всеми работниками.

7. Электронная рассылка информационных бюллетеней, в т.ч. полученных извне, по актуальным угрозам ИБ и предложение комфортных для работников мер защиты, выбранных с учетом специфики организации.

8. …

Контрольные мероприятия, проводимые службой защиты информации, являются важным фактором, влияющим на уровень культуры ИБ в организации. В настоящее время применяются различные способы контроля за обеспечением режима ИБ в организации, в т.ч. подробно описанные в выпущенных регуляторами нормативно-методических документах. Наиболее эффективными, по мнению практиков, методами являются:

1. Внедрение инструментов (программных агентов, средств ограничения и блокировки избыточных прав и пр.) по контролю за действиями работников на автоматизированных рабочих местах, с периферийным оборудованием, с внешней электронной почтой, внедрение контроля доступа в Интернет и зоны с ограниченным доступом, а также контроля действий привилегированных пользователей.

2. Проведение внутренних тестов на проникновение. Реализация собственными силами сценариев, эмулирующих действия нарушителей, и мониторинг реакции работников организации на подобные ситуации.

3. Сбор организационными и техническими инструментами атомарных событий из внешних и внутренних информационных источников и формирование корреляционных цепочек по ранее созданным сигнатурам, позволяющих выявлять аномалии и несоответствия в действиях работников.

4. Создание сетки простых и понятных руководству метрик, позволяющих математически оценить количественные показатели культуры ИБ в организации (например, количество звонков в службу защиты информации в отчетные периоды по вопросам ИБ, количество оказанных работникам консультаций по электронной почте, количество выявленных подозрений на инциденты ИБ с участием работника организации, и пр.).

5. Оценка понимания работниками глубины и важности вопросов обеспечения ИБ в организации при согласовании внутренних нормативных или организационно-распорядительных документов, а также в рамках проведения совещаний по смежным вопросам.

6. Обязательное тестирование (в дистанционном, электронном и/или очно-бумажном формате) работников организации на знание теоретических основ информационной безопасности и основных положений внутренних нормативных документов организации.

7. Использование внешних аудитов на соответствие требованиям смежных с ИБ стандартов в качестве обязательных инструментов для формирования среза текущего уровня культуры ИБ в отдельных подразделениях или процессах в организации.

8. …

Экспертиза в части проведения внутренних проверок и комплексных расследований как элемент, позволяющий восстановить цепочку событий и выявить причинно-следственную связь в действиях работников, является обязательной частью цикла поддержания культуры ИБ и способствует развитию как рядовых работников, так и сотрудников службы защиты информации в организации, поскольку требует от экспертов высоких профессионализма и ответственности. Составными частями экспертизы, влияющими на уровень культуры ИБ в организации, можно назвать:

1. Определение соответствия между действиями нарушителей режима ИБ и требованиями внутренних нормативных документов организации и внешних правовых актов.

2. Сбор и анализ доказательной базы, чаще всего для внутреннего использования, при принятии решения в отношении сотрудника, допустившего нарушение.

3. Поиск актуальных источников для сбора атомарных событий, в т.ч. при отсутствии информации, необходимой для проведения комплексного анализа ситуации.

4. Налаживание взаимодействия со смежными подразделениями внутри и профильными структурами вовне организации и оперативный обмен значимой информацией в процессе расследования.

5. Накопление статистики и опыта для экспресс-оценки ситуации и выделения из потока событий и подозрений, подпадающих под критерии ошибок первого и второго рода.

6. Составление детальных отчетов как на техническом, так и на понятном рядовому сотруднику (не техническому специалисту) языке, после прочтения которых возникает осознание необходимости и важности соблюдения внутренних требований режима ИБ.

7. Оценка технической и экономической составляющих мошеннических действий, а также степени влияния этих действий на общий уровень защиты информации в организации.

8. …

Элементом модели, отвечающим за обратную связь в классическом процессном подходе, выступает функциональный блок "Дисциплинарное воздействие". Многим привычно под словосочетанием "дисциплинарное воздействие" понимать какое-либо негативное проявление. В контексте формирования и поддержания внутри организации культуры ИБ, помимо известных и понятных принципов "кнута и пряника", данный элемент включает в себя несколько скрытых, но при этом не менее важных аспектов:

1. При регулярной популяризации результатов экспертизы и разборе допущенных сотрудниками организации нарушений у коллег нарушителя происходит последовательное формирование четкого видения успешной работы по пресечению допущенных нарушений режима ИБ внутри их организации службой защиты информации. Затем приходит понимание наличия у экспертов достаточных инструментария и профессионализма для своевременного выявления и детального расследования инцидентов и, как следствие, представление собственной защищенности от внешних угроз при перманентном выполнении требований по ИБ.

2. Для экспертов по ИБ разбор организационных причин допущенных нарушений позволит улучшить действующие требования по ИБ, отладить критерии для выявления событий с признаками инцидентов ИБ, глубже понять схемы бизнес-процессов и с учетом вновь открывшихся обстоятельств адаптировать настройки технических средств мониторинга и контроля.

3. Участие экспертов по ИБ в оперативных мероприятиях, направленных на выявление умысла в действиях нарушителей режима ИБ, позволяет на реальных примерах понять требования и принципы работы сотрудников из подразделений корпоративной и физической безопасности внутри организации или силовых структур из правоохранительных органов, что, в свою очередь, может быть использовано для обучения сотрудников организации в будущем.

4. В процессе дисциплинарного воздействия на сотрудников с низким уровнем культуры ИБ чаще всего задействованы непосредственные руководители этих сотрудников. По завершении технических мероприятий и профилактических инструктажей руководители, самостоятельно осознав важность выполнения требования по ИБ, доносят позиции до других своих подчиненных, что положительно сказывается на поддержании уровня культуры ИБ в целом. Принцип "сарафанного радио" позволяет за минимальное время донести важную информацию в удобопонятном виде до всех сотрудников организации.

5. В некоторых случаях знание того, что в отношении коллег или целых подразделений проводится расследование по факту нарушения ими режима ИБ, дисциплинирует и мотивирует сотрудников гораздо больше, чем прохождение вводного дистанционного курса по ИБ. К сожалению, это только временный эффект, и его воздействие будет снижаться тем быстрее, чем реже в организации будут проводиться мероприятия, по результатам которых принимаются меры дисциплинарного и/или административного воздействия.

6. Еще один косвенный положительный эффект от применения методов дисциплинарного воздействия – это расширение неформального круга лиц, через которых внутри организации можно как передавать, так и получать информацию о выявленных или допущенных нарушениях режима ИБ. Известны случаи, когда своевременно и точечно доведенная до сведения отдельных сотрудников бухгалтерии информация о вирусной эпидемии в сторонней организации или о разрушительном воздействии "программ-шифровальщиков" позволила не допустить распространение данной угрозы в ранее подверженных подобным атакам организациях.

7. Любое дисциплинарное воздействие со стороны организации на сотрудника является внешней экспертной оценкой корректности его действий. Точно также это воспринимается работниками в процессе становления культуры ИБ в организации. Для нетехнических работников наличие профессиональной и понятной оценки от эксперта в области защиты информации становится дополнительно мотивирующим фактором к развитию.

8. …

Представленный выше перечень методов является открытым, он не претендует на полноту и побитовое соответствие требованиям аудиторов. Однако в случае его применения в комплексе с уже внедренными в организации мерами полученный синергетический эффект должен стать хорошим подспорьем для экспертов служб защиты информации при формировании и поддержании на приемлемом, по мнению многих регуляторов, уровне культуры ИБ в организации.