Ярослав Ясенков, Security Vision
Построение результативной системы информационной безопасности в организации невозможно без внедрения процесса повышения осведомленности сотрудников. Мы в рамках компании Security Vision уже применяем инструменты повышения осведомленности сотрудников, и хотим поделиться методикой внедрения этого процесса, которую можно применить в организации любого размера и сферы деятельности.
Зачем учить?
Некоторые организации недооценивают важность процесса обучения и повышения осведомленности работников по вопросам информационной безопасности. Однако высокая важность этого процесса объясняется следующими причинами:
-
Ошибочные или злонамеренные действия работников являются одним из основных методов реализации кибератак;
-
Обучение работников компаний из некоторых отраслей является обязательным для обеспечения соответствия компании требованиям нормативных документов;
-
Грамотные действия работников позволят минимизировать как материальный, так и репутационный ущерб компании, возникающий при кибератаках.
В подтверждение первого аргумента можно обратиться к публичным отчетам известных компаний в области информационной безопасности. Согласно отчёту компании Positive Technologies за 4 квартал 2023 года, 56% успешных атак на организации, использовали методы социальной инженерии. Компания IBM в своём отчете Cost of Data Breach Report 2023 указывает, что фишинг и скомпрометированные учетные записи стали самыми распространёнными начальными векторами атак. Лидерство этих методов не изменилось с 2022 года, однако фишинг вышел на первое место по популярности с долей 16%, а доля скомпрометированных учетных записей снизилась до 15%. Также IBM в своем отчете приводит финансовую оценку ущерба для разных векторов атак, и для фишинга такая оценка достигла 4,76 миллиона долларов США, а самыми «дорогими» стали атаки, инициированные злоумышленниками инсайдерами. Оценка ущерба от последних достигла 4,90 млн долларов США.
Если говорить о нормативно-правовых актах, то требования по внедрению процесса повышения осведомленности приведены в целом ряде таких документов. Меры о необходимости повышения осведомленности работников устанавливаются, как в верхнеуровневых стандартах по информационной безопасности, так и в отраслевых нормативно-правовых актах. Примером стандарта верхнего уровня здесь может послужить ГОСТ Р ИСО/МЭК 27001-2021, который устанавливает следующие меры:
-
Регулярное обучение и доведение до работников политик и процедур обеспечения информационной безопасности;
-
Реализация процесса принятия мер в отношении работников, совершивших нарушение правил информационной безопасности.
Финансовые организации также обязаны обеспечивать осведомленность работников в области информационной безопасности в соответствии с ГОСТ 57580.1-2017. Этот стандарт накладывает на финансовую организацию следующие требования:
-
Обучение, практическую подготовку (переподготовку) работников финансовой организации, ответственных за применение мер защиты информации;
-
Повышение осведомленности (инструктаж) работников финансовой организации в области защиты информации.
Меры в области обучения работников устанавливают также нормативные документы в области персональных данных. Следующее требование содержит текст Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»:
- Ознакомление или обучение работников требованиям к защите персональных данных, политике оператора в отношении обработке персональных данных, а также локальными актами по вопросам обработки персональных данных.
Как учить?
Внедрение процесса повышения осведомленности можно разделить на несколько ключевых этапов:
-
Определение целей;
-
Выделение персонала, который будет ответственным за процесс;
-
Определение и группировка целевой аудитории;
-
Выбор инструментов;
-
Проработка календарного плана;
-
Внедрение процесса;
-
Оценка результатов внедрения.
Определение целей
При определении целей внедрения повышения осведомленности отталкивайтесь от целей, которые стоят перед вашей организацией или структурным подразделением. Целью может быть снижение рисков информационной безопасности или соответствие требованиям нормативно правовых актов, о которых мы рассказали в первом разделе статьи. При постановке целей для получения измеримых результатов процесса повышения осведомленности следует принять во внимание методологию SMART (specific, measurable, achievable, relevant and time-bound). Приведем некоторые примеры таких целей:
-
Доведение до всего персонала требований локальных нормативных актов в области информационной безопасности, принятых в организации;
-
Повышение знаний персонала о терминах ИБ, методах работы ИБ подразделения для объединения усилий по предотвращению инцидентов;
-
Доведение до персонала порядка действий в случае инцидента ИБ, с учетом их роли и структуры организации.
Выделение персонала, который будет ответственным за процесс
Следующие роли являются ключевыми для внедрения процесса повышения осведомленности. Все они важны и задействованы на разных этапах жизненного цикла процесса, и нет никаких ограничений на то, чтобы сразу несколько ролей совмещал один человек.
Специалист ИБ подразделения – это тот, кто сможет сформулировать цели, определить целевую аудиторию и выбрать темы обучения, исходя из потребностей и угроз, которым подвергается организация. Сотрудник по кибербезопасности может помочь в разработке контента или взять на себя общий надзор, чтобы лучше контролировать разработку учебных материалов и адаптировать его к потребностям организации.
Специалист ИТ подразделения. Без участия такого специалиста не получиться создать актуальные учебные материалы, поскольку задачи по разработке документации, инструкций по работе с информационными системами организации зачастую находятся в руках работников ИТ подразделения. Кроме того, служба ИТ поддержки также является частью ИТ подразделения, а важной частью учебных материалов будет информация о коммуникации с этой службой.
HR специалист. Эти специалисты непосредственно участвуют в процессах обучения на всех этапах работы сотрудника в компании.
Специалист юридического отдела. Такой специалист позволит точнее раскрыть вопросы законодательства, а также вопросы ответственности работников за совершаемые действия.
Определение и группировка целевой аудитории
Идентификация и группировка сотрудников целевой аудитории имеет первостепенное значение при разработке процесса повышения осведомленности. Разные группы работников используют разные инструменты, разные информационные системы в своей работе, а также обладают разными компетенциями. Поэтому, не зная своей целевой группы, невозможно подготовить релевантные учебные материалы. Пример возможной первоначальной группировки работников приведен в таблице 1:
Таблица 1 - группировка работников
Подразделение | Группа ЦА работников |
Линейный персонал | Линейный персонал |
HR | |
Маркетинг и публичные коммуникации | |
Юридический отдел | |
Финансовый отдел | Лица, принимающие решения и распределяющие финансовые ресурсы |
Руководители подразделений | |
ИТ подразделение | Профессиональные ИТ и ИБ специалисты |
ИБ подразделение |
После группировки работников в соответствии с их должностными обязанностями и компетенциями можно приступить к разделению учебных материалов. Пример такого возможного разделения приведен в таблице 2:
Таблица 2 - Матрица групп целевых аудиторий и темы обучения
Тема/метод обучения | Группа ЦА работников | ||
Линейный персонал | ИТ и ИБ специалисты | ||
Безопасное использование сети Интернет | + | ||
Защита ПДн | + | ||
Финансовое мошенничество | + | ||
Атаки на пароли | + | ||
Физическая безопасность устройств | + | ||
Спам | + | ||
Социальная инженерия | + | + | + |
Фишинг | + | + | |
Вредоносное программное обеспечение | + | + | + |
Коммуникации с внешними организациями | + | + | |
Кибертерроризм | + | + | |
Сертификация и курсы повышения квалификации | + |
Выбор инструментов
Успех процесса повышения осведомленности во многом зависит от того каким способом материал предоставляется сотрудникам. Способ обучения не должен сводиться только к стандартному вводному инструктажу с подписью в журнале ознакомления. Следует учитывать масштаб, целевую аудиторию и цели повышения осведомленности. Но в любом случае способ обучения должен быть интересным для целевой аудитории.
Плакаты и рассылки. В этот способ включаются следующие учебные материалы: плакаты, бумажные раздаточные материалы, информационные рассылки. Преимуществами такого способа является то, что в небольшой материал можно включить ключевые моменты сразу из разных направлений ИБ, а также этот способ удобно использовать для напоминания работникам о срочных вопросах (например, о необходимости пройти обязательное обучение) и об изменениях в требованиях и процессах информационной безопасности организации. Основным недостатком данного способа является то, что сотрудники со временем теряют чувствительность к таким материалам и невозможно гарантировать, что все работники ознакомлены с информационным материалом.
Инструктаж. Этот способ может быть проведен в формате семинара или мастер-класса, в роли инструктора здесь лично выступает ИБ специалист. Преимущество преподавания под руководством ИБ специалиста заключается в том, что инструктор способен воспринимать сигналы от участников и определить, каким образом лучше изменить инструкцию, вживую ответить на вопросы. Но такой способ плохо масштабируется на большое количество обучаемых, без существенного увеличения количества инструкторов.
Видео-инструкции. Заранее записанное видео может использоваться как способ обучения. Такой способ позволяет минимизировать нагрузку на инструкторов, помогает работнику ознакомиться с материалом в своем собственном темпе. Однако такой способ не позволяет качественно оценить результаты обучения, и также, как и первый способ не гарантирует качественного ознакомления обучающихся с учебными материалами.
Обучение на основе геймификации. Такие способы более интерактивны и являются более эффективной альтернативой описанным выше традиционным способам обучения. В таком способе не требуется постоянное участие инструктора, а также работники могут проходить обучение в удобном темпе. Такой способ сочетает в себе графические способы показа учебных материалов, а также возможность сразу оценить качество усвоения материала путем проведения интерактивных опросов или тестов. Этот способ обучения наиболее удобно реализовывать на основе систем класса LMS (Learning Management System) или, другими словами, систем управления обучением. LMS позволяют: полностью выстроить управление процессом повышения осведомленности, настроить доступ к обучающему контенту в нужном порядке, проверять и отслеживать знания учеников, создавать критерии для оценивания результатов, получать полную аналитику по образовательному процессу. Широкие возможности по кастомизации платформы Security Vision также могут быть здесь использованы для реализации на её основе LMS системы и автоматизации процесса повышения осведомленности.
Проработка календарного плана
Планирование календарного плана процесса повышение осведомленности должно учитывать деловую активность, и рабочую нагрузку подразделений, и по возможности должно быть согласовано со всеми участвующими подразделениями. Например, не следует запускать сложные обучающие материалы для финансового отдела в то время, когда заканчивается финансовый год. Также необходимо заложить время на корректирующие мероприятия, так как необходимо регулярное приведение материалов в соответствие с последними изменениями нормативных требований и исправление выявленных ошибок.
Внедрение процесса повышения осведомленности
Следует уделить внимание тому, что обучение работников по вопросам ИБ осуществляется, как минимум в следующие моменты времени:
-
Прием сотрудника на работу;
-
На этапе Пост-инцидентных действий;
-
Регулярно в течение года.
Когда сотрудник поступает на работу, необходимо ввести его в культуру кибербезопасности, которая выстроена в организации. По результатам такого вводного обучения сотрудник должен получить контактные данные лиц, к которым он может обратиться по вопросам ИБ, основные инструкции по правильной работе с доступными ему информационными системами и средствами защиты информации. А также сведения об ответственности за совершение злоумышленных действий.
В случае возникновения инцидента информационной безопасности, следует проанализировать причины его возникновения и подумать о том, как избежать повторения подобного события в будущем. Следует выяснить, какой информации не было у ответственного лица, каким образом вы можете улучшить обучающие материалы. Результаты такого анализа следует учесть на этапе реализации корректирующих мероприятий процесса повышения осведомленности.
Обучение должно осуществляться регулярно, поскольку со временем состав компании неизбежно обновляется, а осветить все вопросы ИБ в рамках одного только вводного инструктажа невозможно. А также не стоит забывать и про народную мудрость: «Повторение – мать учения».
Оценка результатов внедрения
После внедрения процесса повышения осведомленности необходимо регулярно оценивать его эффективность путем анализа того, что полученные на этапах внедрения результаты не потеряли свою актуальность. При необходимости внести изменения. Циклически повторять процесс, чтобы устремиться к 100% выполнению поставленных целей.