Повышение осведомленности пользователей по вопросам ИБ
В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Повышение осведомленности пользователей по вопросам ИБ
Современный человек должен многое знать и уметь в области информационных технологий. Развитие технологий и внедрение новых средств обработки информации требуют уверенного владения компьютером (ноутбуком, планшетом, смартфоном и т.п.), знаний значительного числа программных продуктов и правил работы с электронной почтой, носителями информации, Интернетом и многое другое. В работе используется огромный объем информации, хранимой на различных ресурсах и представляющей значительную ценность для компании в целом или для кого-то лично. При этом не важно, где используется компьютер — в офисе или командировке, на отдыхе или дома: с развитием сетевых технологий уровень доступа к ресурсам растет, как и количество разнообразных атак на эти ресурсы.
Игорь Писаренко
Отдел информационной безопасности
УОБ ВТБ24 (ЗАО), к.т.н., доцент, член АРСИБ
Отдел информационной безопасности
УОБ ВТБ24 (ЗАО), к.т.н., доцент, член АРСИБ
Как и всякая система обучения, система повышения осведомленности подразумевает использование определенных форм, видов и методов обучения. Выбор того или иного метода или формы зависит от целого ряда факторов, таких как: цели организации, кадровая политика, характеристики обучающегося персонала, его численность и финансирование.
В современных условиях наряду со знанием основных производственных технологий от работника требуется знание специфических вопросов, связанных с обеспечением ИБ, что обусловлено не только требованиями законодательства Российской Федерации, международными и российскими стандартами и нормативными документами компании, но и элементарными требованиями безопасности и необходимостью сохранения конфиденциальной информации в тайне.
К сожалению, многие работники весьма далеки от вопросов защиты информации и поэтому значительное число инцидентов ИБ, связанных прежде всего с утечками конфиденциальной информации, вирусными заражениями или уничтожением/искажением информации, происходит по вине работников, которые сознательно или нет нарушают требования по обеспечению ИБ, либо попросту не знают этих требований. Большинство специалистов в области И Б сходятся во мнении, что более 80% инцидентов происходит по вине работников, причем значительная часть - в результате неумышленных действий: по халатности, по невнимательности или просто по незнанию.
Осведомленность работников компании
Итак, одним из основных факторов, которые существенно влияют на состояние ИБ в компании, являются осведомленность пользователей в области ИБ и их умение применять полученные знания в повседневной деятельности, поэтому одна из важнейших задач, которую приходится решать службе ИБ, - организация обучения пользователей, причем всех, без исключений, по вопросам обеспечения ИБ в рамках построения системы повышения осведомленности пользователей в области ИБ.
Под повышением осведомленности работников компании в области ИБ понимается целенаправленный, организованный, планомерно и систематически осуществляемый процесс повышения уровня знаний работников и формирования необходимых навыков в области ИБ, создание корпоративной культуры в данной области и атмосферы осознания необходимости соблюдения требований ИБ.
Цели и основные требования к повышению осведомленности
В стандарте Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" эти требования конкретизированы: должна быть организована документально оформленная и утвержденная руководством работа с персоналом в данном направлении, включая разработку и реализацию планов и программ обучения и повышения осведомленности в области ИБ и контроля результатов выполнения указанных планов. Здесь же говорится о периодичности обучения и содержании программ:
Инциденты ИБ происходят в любой организации: государственной или коммерческой, большой или маленькой, а их количество напрямую зависит от осведомленности пользователей в вопросах ИБ, эффективности системы менеджмента инцидентов ИБ и системы обеспечения ИБ организации в целом, а также общей корпоративной культуры пользователей по вопросам ИБ.
Получить полную и достоверную картину по инцидентам ИБ практически и даже теоретически весьма сложно: естественно, что службы ИБ такой информацией делиться не будут, многие компании учет инцидентов ИБ не ведут, а где-то они попросту не выявляются, поэтому логично предположить, что количество инцидентов ИБ на самом деле больше, чем те единичные случаи, которые становятся достоянием гласности и попадают в официальную статистику. Те данные, которые публикуют компании, специализирующиеся в области ИБ, не отражают реальной ситуации и представляют собой не более чем верхушку некоего информационного айсберга по инцидентам ИБ.
Получить полную и достоверную картину по инцидентам ИБ практически и даже теоретически весьма сложно: естественно, что службы ИБ такой информацией делиться не будут, многие компании учет инцидентов ИБ не ведут, а где-то они попросту не выявляются, поэтому логично предположить, что количество инцидентов ИБ на самом деле больше, чем те единичные случаи, которые становятся достоянием гласности и попадают в официальную статистику. Те данные, которые публикуют компании, специализирующиеся в области ИБ, не отражают реальной ситуации и представляют собой не более чем верхушку некоего информационного айсберга по инцидентам ИБ.
- по существующим политикам ИБ;
- по применяемым защитным мерам;
- по правильному использованию защитных мер в соответствии с внутренними документами;
- по значимости и важности деятельности работников для обеспечения ИБ.
В общем случае к системе повышения осведомленности работников компании предъявляются следующие требования:
- возможность регулярного обучения любого количества работников, независимо от их территориального местонахождения и без отрыва от рабочего процесса;
- простота и доступность учебных материалов для различных категорий работников;
- возможность оперативного внесения изменений в программы повышения осведомленности и учебные материалы.
Важным аспектом работы по повышению осведомленности персонала по вопросам ИБ является непрерывность этого процесса. Законодательство и требования регуляторов быстро меняются, появляются новые угрозы И Б, новые информационные системы - все это необходимо оперативно отражать в программах повышения осведомленности. Для работников компании непрерывность обучения заключается в повторении требований и правил ИБ (чтобы они не забывались). Также важно информировать всех работников о произошедших изменениях в политиках безопасности и процедурах обеспечения ИБ.
Конечной целью реализации вышеуказанных программ является снижение ущерба и потерь (материальных, моральных, репутационных) от угроз, связанных с человеческим фактором при работе с информационными ресурсами компании.
Как и всякая система обучения, система повышения осведомленности подразумевает использование определенных форм, видов и методов обучения. Выбор того или иного метода или формы зависит от целого ряда факторов, таких как: цели организации, кадровая политика, характеристики обучающегося персонала, его численность и финансирование.
Корпоративное обучение
В рамках повышения осведомленности в области ИБ обучение может проходить в следующих формах:
- очного обучения (в своей компании или в специализированных организациях);
- дистанционного обучения (электронные курсы, в форме тестирования, вебинаров, онлайн-конференций и т.п.);
- самостоятельного изучения учебных материалов.
Рассматривать очное обучение как метод регулярного повышения осведомленности работников по вопросам ИБ не всегда выгодно и эффективно, так как отрыв от основной деятельности значительного количества работников негативно влияет на бизнес компании. Данная форма больше подходит для государственных структур и небольших компаний, где можно одновременно собрать всех работников с минимальным отрывом от основной деятельности.
Цели и основные требования к процессам повышения осведомленности и обучению работников в области информационной безопасности определены во многих международных и российских стандартах: ГОСТ Р ИСО/МЭК ТО 13335-3:2007; ГОСТ Р ИСО/МЭК 27001:2006; ГОСТ Р ИСО/МЭК ТО 18044:2007;
СТО БР ИББС -1.0-2010 и др.
Для крупных компаний, имеющих разветвленную региональную сеть, более подходящим является использование систем дистанционного обучения, которые позволяют одновременно обучать и контролировать обучение большого количества персонала.
Сегодня на рынке представлены разнообразные системы дистанционного обучения (российские и зарубежные: Digital Security E-Learning System, Web-Tutor, "Доцент", ELeaP LMS и пр.) Выбор системы зависит от требуемого количества обучаемых, необходимых ресурсов для разработки курсов и тестов, сроков внедрения, возможности приобретения готовых курсов, стоимости. Ряд производителей систем дистанционного обучения предлагают не только покупку своих систем, но и их аренду.
Дополнительно в процессе обучения могут использоваться так называемые нестандартные средства, позволяющие поддерживать атмосферу И Б, благодаря которым работник запоминает отдельные положения политики безопасности и понимает важность требований ИБ на эмоциональном и подсознательном уровне: скринсейверы, видеоролики, мультимедийные материалы, блоки новостей по ИБ, плакаты, офисные принадлежности с краткой информацией по обеспечению ИБ.
Наибольший эффект дает комплексное применение различных форм и методов обучения в рамках многоуровневой системы повышения осведомленности работников компании в области ИБ, с использованием:
- очного обучения в виде инструктажа по обеспечению ИБ, который проводят специалисты службы ИБ с вновь принятыми работниками, а также специализированных курсов для отдельных категорий работников;
- дистанционного обучения, проводимого периодически, по нескольким программам различного уровня;
- разовых рассылок, доведения информации по изменениям в законодательстве РФ в области ИБ, политике ИБ компании, по выявленным нарушениям и другим актуальным вопросам;
- самостоятельной работы с нормативными документами;
- консультаций и проведения совещаний по отдельным вопросам обеспечения ИБ.
Систему повышения осведомленности работников компании, как один из процессов системы менеджмента И Б, целесообразно организовывать в виде циклической модели Деминга "... планирование - реализация - проверка - совершенствование - планирование...", которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001:2005.
Особенности этапов циклической модели Деминга
Этап "планирование"
На этом этапе осуществляется постановка целей обучения, закупка/разработка и ввод в эксплуатацию системы обучения, разработка учебных программ и необходимых учебных материалов, подготовка организационно-распорядительных документов по организации обучения.
Наиболее сложной и, пожалуй, самой ответственной задачей является разработка (или приобретение у специализированных компаний) учебных программ и учебных материалов, которые должны учитывать специфику деятельности компании и существующий уровень осведомленности персонала по вопросам ИБ. Для этого предварительно проводится анализ существующих политик безопасности, используемых защитных мер, количества, видов и последствий инцидентов ИБ с целью выявления проблемных областей и уровня осведомленности работников в области ИБ.
Содержание учебных программ обычно типовое, раскрывающее основные положения политики безопасности, правил использования информационных ресурсов, но с обязательным учетом специфики компании, особенностей обработки информации и других нюансов.
Работникам необходимо четко понимать, что такое ИБ и какие последствия могут быть для компании в случае несоблюдения ее требований. Для правильного формирования культуры ИБ работники компании должны понимать, почему важно защищать информацию, какие виды конфиденциальной информации используются в компании, какие существуют угрозы, и какие защитные меры необходимо использовать и каким образом.
Особое внимание необходимо акцентировать на рассмотрении понятия и основных видов инцидентов ИБ, их признаках и доведения информации о том, что необходимо делать в случае выявления инцидента ИБ и к кому обращаться в этом случае.
В разрабатываемых курсах до работников компании должны быть доведены требования законодательства РФ и локальных нормативных актов в области ИБ.
Так как повышение осведомленности в области И Б для большинства работников не является профильным обучением, средства и материалы, используемые в учебной программе и учебных материалах, должны быть простыми для восприятия, интересными и максимально понятными.
Этап "Реализация"
Здесь реализуется разработанная программа и осуществляется контроль усвоения знаний работниками компании.
Прежде чем использовать систему дистанционного обучения, производится инструктаж пользователей, обучение, как правильно ее использовать, установленным порядком выдаются учебные задания и производится контроль их выполнения.
Толковый словарь Д.Н. Ушакова дает следующее определение: Осведомленность - это наличие сведений и знаний о чем-нибудь.
Можно сказать по-другому: Осведомленность - это когда работник ясно осознает, что и зачем он делает и почему именно так, а не иначе.
Можно сказать по-другому: Осведомленность - это когда работник ясно осознает, что и зачем он делает и почему именно так, а не иначе.
Возможно выделение отдельных групп обучаемых в соответствии с выполняемым функционалом и уровнем осведомленности.
На данном этапе важнейшим элементом является контроль обучения работников: во-первых, необходимо иметь обратную связь, чтобы оценить эффективность проведения обучения, во-вторых, некоторые подходят к обучению несерьезно, либо совсем не проходя обучение либо не сдавая тесты. Таких работников надо выявлять и добиваться успешного прохождения ими курса обучения.
Для контроля могут использоваться различные формы: тестирование, опрос на знание политик безопасности.
Этап "Проверка"
Оценка эффективности реализации учебных программ, которая включает в себя оценку полученных работниками знаний и умений, оценку действенности проведенных мероприятий, а также анализ изменений статистики инцидентов ИБ, проводится на этапе проверки.
Возможно применение следующих способов оценки эффективности реализации программы:
- сбор и анализ статистики инцидентов ИБ в компании;
- открытые проверки (тесты, опросы,интервью, анкетирование, внешний или внутренний аудит);
- скрытые проверки (телефонные звонки и электронные письма провокационного характера с использованием приемов социальной инженерии, мониторинг действий пользователей, внешний или внутренний аудит).
Здесь необходимо ответить на вопрос: насколько программа соответствует требованиям политики безопасности компании и как ее можно оценить, измерить эффективность (можно, например, воспользоваться метрикой, данной А. Лукацким в своем блоге: lukatsky.blogspot.ru).
Этап "Совершенствование"
На данном этапе производится коррекция и улучшение работы, переработка программ и учебных материалов, их обновление.
Обычно переработка учебных программ производится после существенного изменения требований законодательства, нормативных документов, требований ИБ компании, правил обработки информации.
В компании должен быть определен перечень документов, являющихся свидетельством выполнения программ обучения и повышения осведомленности в области ИБ.
В частности, такими документами могут являться:
- документы (журналы), подтверждающие прохождение работниками обучения в области ИБ с указанием уровня образования, навыков, опыта и квалификации обучаемых;
- документы, содержащие результаты проверок обучения работников;
- документы, содержащие результаты проверок осведомленности в области ИБ.
Вывод
Повышение осведомленности персонала - это один из важнейших этапов внедрения системы обеспечения ИБ, который направлен на обучение персонала и поддержание его знаний в актуальном состоянии. Обучение персонала компании по вопросам ИБ - залог высокой эффективности всей системы безопасности в целом. Кроме того, большую часть инцидентов И Б можно не допустить, поскольку более половины всех инцидентов порождают работники компании просто по незнанию требований и правил ИБ.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2013
