В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
В современных условиях наряду со знанием основных производственных технологий от работника требуется знание специфических вопросов, связанных с обеспечением ИБ, что обусловлено не только требованиями законодательства Российской Федерации, международными и российскими стандартами и нормативными документами компании, но и элементарными требованиями безопасности и необходимостью сохранения конфиденциальной информации в тайне.
К сожалению, многие работники весьма далеки от вопросов защиты информации и поэтому значительное число инцидентов ИБ, связанных прежде всего с утечками конфиденциальной информации, вирусными заражениями или уничтожением/искажением информации, происходит по вине работников, которые сознательно или нет нарушают требования по обеспечению ИБ, либо попросту не знают этих требований. Большинство специалистов в области И Б сходятся во мнении, что более 80% инцидентов происходит по вине работников, причем значительная часть - в результате неумышленных действий: по халатности, по невнимательности или просто по незнанию.
Итак, одним из основных факторов, которые существенно влияют на состояние ИБ в компании, являются осведомленность пользователей в области ИБ и их умение применять полученные знания в повседневной деятельности, поэтому одна из важнейших задач, которую приходится решать службе ИБ, - организация обучения пользователей, причем всех, без исключений, по вопросам обеспечения ИБ в рамках построения системы повышения осведомленности пользователей в области ИБ.
Под повышением осведомленности работников компании в области ИБ понимается целенаправленный, организованный, планомерно и систематически осуществляемый процесс повышения уровня знаний работников и формирования необходимых навыков в области ИБ, создание корпоративной культуры в данной области и атмосферы осознания необходимости соблюдения требований ИБ.
В стандарте Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" эти требования конкретизированы: должна быть организована документально оформленная и утвержденная руководством работа с персоналом в данном направлении, включая разработку и реализацию планов и программ обучения и повышения осведомленности в области ИБ и контроля результатов выполнения указанных планов. Здесь же говорится о периодичности обучения и содержании программ:
В общем случае к системе повышения осведомленности работников компании предъявляются следующие требования:
Важным аспектом работы по повышению осведомленности персонала по вопросам ИБ является непрерывность этого процесса. Законодательство и требования регуляторов быстро меняются, появляются новые угрозы И Б, новые информационные системы - все это необходимо оперативно отражать в программах повышения осведомленности. Для работников компании непрерывность обучения заключается в повторении требований и правил ИБ (чтобы они не забывались). Также важно информировать всех работников о произошедших изменениях в политиках безопасности и процедурах обеспечения ИБ.
Конечной целью реализации вышеуказанных программ является снижение ущерба и потерь (материальных, моральных, репутационных) от угроз, связанных с человеческим фактором при работе с информационными ресурсами компании.
Как и всякая система обучения, система повышения осведомленности подразумевает использование определенных форм, видов и методов обучения. Выбор того или иного метода или формы зависит от целого ряда факторов, таких как: цели организации, кадровая политика, характеристики обучающегося персонала, его численность и финансирование.
В рамках повышения осведомленности в области ИБ обучение может проходить в следующих формах:
Рассматривать очное обучение как метод регулярного повышения осведомленности работников по вопросам ИБ не всегда выгодно и эффективно, так как отрыв от основной деятельности значительного количества работников негативно влияет на бизнес компании. Данная форма больше подходит для государственных структур и небольших компаний, где можно одновременно собрать всех работников с минимальным отрывом от основной деятельности.
Для крупных компаний, имеющих разветвленную региональную сеть, более подходящим является использование систем дистанционного обучения, которые позволяют одновременно обучать и контролировать обучение большого количества персонала.
Сегодня на рынке представлены разнообразные системы дистанционного обучения (российские и зарубежные: Digital Security E-Learning System, Web-Tutor, "Доцент", ELeaP LMS и пр.) Выбор системы зависит от требуемого количества обучаемых, необходимых ресурсов для разработки курсов и тестов, сроков внедрения, возможности приобретения готовых курсов, стоимости. Ряд производителей систем дистанционного обучения предлагают не только покупку своих систем, но и их аренду.
Дополнительно в процессе обучения могут использоваться так называемые нестандартные средства, позволяющие поддерживать атмосферу И Б, благодаря которым работник запоминает отдельные положения политики безопасности и понимает важность требований ИБ на эмоциональном и подсознательном уровне: скринсейверы, видеоролики, мультимедийные материалы, блоки новостей по ИБ, плакаты, офисные принадлежности с краткой информацией по обеспечению ИБ.
Наибольший эффект дает комплексное применение различных форм и методов обучения в рамках многоуровневой системы повышения осведомленности работников компании в области ИБ, с использованием:
Систему повышения осведомленности работников компании, как один из процессов системы менеджмента И Б, целесообразно организовывать в виде циклической модели Деминга "... планирование - реализация - проверка - совершенствование - планирование...", которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001:2005.
Этап "планирование"
На этом этапе осуществляется постановка целей обучения, закупка/разработка и ввод в эксплуатацию системы обучения, разработка учебных программ и необходимых учебных материалов, подготовка организационно-распорядительных документов по организации обучения.
Наиболее сложной и, пожалуй, самой ответственной задачей является разработка (или приобретение у специализированных компаний) учебных программ и учебных материалов, которые должны учитывать специфику деятельности компании и существующий уровень осведомленности персонала по вопросам ИБ. Для этого предварительно проводится анализ существующих политик безопасности, используемых защитных мер, количества, видов и последствий инцидентов ИБ с целью выявления проблемных областей и уровня осведомленности работников в области ИБ.
Содержание учебных программ обычно типовое, раскрывающее основные положения политики безопасности, правил использования информационных ресурсов, но с обязательным учетом специфики компании, особенностей обработки информации и других нюансов.
Работникам необходимо четко понимать, что такое ИБ и какие последствия могут быть для компании в случае несоблюдения ее требований. Для правильного формирования культуры ИБ работники компании должны понимать, почему важно защищать информацию, какие виды конфиденциальной информации используются в компании, какие существуют угрозы, и какие защитные меры необходимо использовать и каким образом.
Особое внимание необходимо акцентировать на рассмотрении понятия и основных видов инцидентов ИБ, их признаках и доведения информации о том, что необходимо делать в случае выявления инцидента ИБ и к кому обращаться в этом случае.
В разрабатываемых курсах до работников компании должны быть доведены требования законодательства РФ и локальных нормативных актов в области ИБ.
Так как повышение осведомленности в области И Б для большинства работников не является профильным обучением, средства и материалы, используемые в учебной программе и учебных материалах, должны быть простыми для восприятия, интересными и максимально понятными.
Этап "Реализация"
Здесь реализуется разработанная программа и осуществляется контроль усвоения знаний работниками компании.
Прежде чем использовать систему дистанционного обучения, производится инструктаж пользователей, обучение, как правильно ее использовать, установленным порядком выдаются учебные задания и производится контроль их выполнения.
Возможно выделение отдельных групп обучаемых в соответствии с выполняемым функционалом и уровнем осведомленности.
На данном этапе важнейшим элементом является контроль обучения работников: во-первых, необходимо иметь обратную связь, чтобы оценить эффективность проведения обучения, во-вторых, некоторые подходят к обучению несерьезно, либо совсем не проходя обучение либо не сдавая тесты. Таких работников надо выявлять и добиваться успешного прохождения ими курса обучения.
Для контроля могут использоваться различные формы: тестирование, опрос на знание политик безопасности.
Этап "Проверка"
Оценка эффективности реализации учебных программ, которая включает в себя оценку полученных работниками знаний и умений, оценку действенности проведенных мероприятий, а также анализ изменений статистики инцидентов ИБ, проводится на этапе проверки.
Возможно применение следующих способов оценки эффективности реализации программы:
Здесь необходимо ответить на вопрос: насколько программа соответствует требованиям политики безопасности компании и как ее можно оценить, измерить эффективность (можно, например, воспользоваться метрикой, данной А. Лукацким в своем блоге: lukatsky.blogspot.ru).
Этап "Совершенствование"
На данном этапе производится коррекция и улучшение работы, переработка программ и учебных материалов, их обновление.
Обычно переработка учебных программ производится после существенного изменения требований законодательства, нормативных документов, требований ИБ компании, правил обработки информации.
В компании должен быть определен перечень документов, являющихся свидетельством выполнения программ обучения и повышения осведомленности в области ИБ.
В частности, такими документами могут являться:
Повышение осведомленности персонала - это один из важнейших этапов внедрения системы обеспечения ИБ, который направлен на обучение персонала и поддержание его знаний в актуальном состоянии. Обучение персонала компании по вопросам ИБ - залог высокой эффективности всей системы безопасности в целом. Кроме того, большую часть инцидентов И Б можно не допустить, поскольку более половины всех инцидентов порождают работники компании просто по незнанию требований и правил ИБ.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2013