 |
Введение
Термин Security Awareness Program только начал приживаться в России, и на данный момент ещё нет устоявшегося адекватного аналога на русском языке, хотя сам термин означает повышение квалификации сотрудников компании в области информационной безопасности (ИБ). Под повышением квалификации в области ИБ обычно понимается обучение сотрудников компании вопросам обеспечения ИБ, повышение осведомленности об актуальных угрозах ИБ, мерах и способах реализации атак и средствах защиты, фокусировка внимания сотрудников на важности обеспечения ИБ и т.п.
Данная статья обращает внимание на следующие вопросы: что такое, зачем и кому нужна программа повышения квалификации сотрудников, кого учить вопросам ИБ, как разработать план внедрения обучения и на какие важные моменты следует обратить особое внимание.
Что такое Security Awareness Program и зачем она нужна?
Ежегодно многие компании теряют огромное количество денежных средств в результате возникновения инцидентов в области ИБ, и около половины потерь происходят по вине сотрудников компании. В подтверждение данного факта можно обратиться к статистике. Наибольшая статистическая база по инцидентам в области ИБ накоплена в США. В соответствии с исследованием ФБР в 2006 году CSI/FBI Computer Crime And Security Survey среди крупных американских компаний (в исследовании приняли участие 34% компаний-респондентов с годовым оборотом более 1 миллиарда долларов) потери от действий инсайдеров составили более 20 миллионов долларов США, что составляет около 40% от общих потерь. Очевидно, что данную проблему следует решать. Для этого надо разобраться в причинах такого поведения сотрудников.
Действия сотрудников могут иметь умышленный или неумышленный характер. В случае действий умышленного характера злоумышленник осознано всеми возможными способами пытается нарушить конфиденциальность, целостность или доступность информации. Для различных представлений информации (текстовая, графическая, звуковая и т.п.) и возможных способах нарушения безопасности существуют соответствующие средства защиты – системы контекстных анализаторов, системы блокировки устройств и системы контроля доступа.
Неумышленные же действия сотрудников могут быть вызваны следующими причинами:
невнимательность сотрудников к правилам и требованиям обеспечения ИБ или нежелание выполнять требования, принятые в компании;
незнание сотрудниками правил и требований обеспечения ИБ в компании;
Для решения данной задачи следует обучать сотрудников компании правилам и требованиям, принятым в компании, обращать внимание сотрудников на важность этих требований, повышать их квалификацию в области ИБ, рассказывать о существующих техниках атак и методах защиты от них, что является основными задачами программы по повышению квалификации сотрудников компании. Таким образом, основные материалы и средства программы повышения квалификации сотрудников в области ИБ представляют собой различные обучающие материалы и нестандартные техники повышения осведомленности сотрудников.
Так как повышение квалификации в области ИБ для большинства сотрудников не является профессиональным обучением, оно связано с некоторыми трудностями, поэтому средства и материалы, используемые в программе, должны быть легкими для восприятия, интересными и понятными. Основными отличиями профессионального обучения от повышения квалификации в области ИБ являются следующие:
Сотрудники изначально не заинтересованы в получении неспециализированных знаний.
Руководители компании часто не понимают, какую выгоду может принести обучение сотрудников неспециализированным знаниям.
Низкая техническая грамотность сотрудников компании. Для многих сотрудников компьютер – это лишь «черный ящик», который выполняет то, что ему скажешь. Сотрудники не понимают, как происходит взаимосвязь компьютеров по сети, как хранится, обрабатывается и передается информация.
Таким образом, основной целью Security Awareness Program является обучение и повышение грамотности сотрудников в вопросах обеспечения ИБ и фокусировка внимания сотрудников на важности обеспечения ИБ.
Создание Security Awareness Program
Итак, вы решили, что в вашей компании следует внедрить процесс повышения осведомленности пользователей в области ИБ. С чего начать?
1.Определение целей, задач и основных требований.
Первым шагом проектирования и создания Awareness Program является определение основных целей, задач и требований к создаваемой вами программе повышения осведомленности пользователей. Пока данный шаг (легкий, но одновременно и важный) не будет выполнен, очень трудно определить общую стратегию проектируемой вами программы, распланировать действия, не говоря уже о выборе тем и материалов для программы. Ведь все материалы должны быть качественными, актуальными и эффективными именно для вашей компании. Действительно, если после прохождения обучения сотрудник компании даже и приобретает знания, но не может их использовать на практике, такую программу трудно назвать эффективной. Цель внедрения в компании Security Awareness Program – повысить квалификацию сотрудников компании в области ИБ до требуемого уровня. Квалификация сотрудника определяется его поведением, знаниями, умениями и практическими навыками, которые должен продемонстрировать сотрудник в штатной и нештатной ситуациях. Следует отметить, что ясное и четкое определение целей играет ключевую роль при определении содержания и методов обучения и оценке эффективности программы.
2.Определение ответственных лиц и их обязанностей.
После определения целей и задач программы следует определить лиц, которые будут отвечать за разработку и внедрение программы, а также координацию всех действий сотрудников и согласовать выделение бюджета на создание программы. Следует заручиться поддержкой руководства компании; очень важно, чтобы руководство компании понимало важность внедряемой программы и все сотрудники, участвующие в процессе, понимали, что требования к выполнению процедуры исходят от руководства компании.
3.Планирование и подготовка документов.
На данной стадии следует определить цели всех составных частей программы повышения квалификации, а также тактику для реализации поставленных целей, разработать все требуемые документы для функционирования программы (например, методики оценки эффективности программы, обязанности ответственных лиц по функционированию программы и другие), разработать и подробный план действий для реализации программы. Также следует определить и основные темы в области ИБ, которым должны обучаться пользователи.
4.Разработка и приобретение материалов.
После того, как вы определили перечень тем, которым должны обучаться сотрудники, следует разработать или приобрести готовые решения и услуги для обучения и повышения внимания пользователей. Разрабатывать самим или приобрести готовые продукты – решать, конечно же, вам; у обоих подходов есть как преимущества, так и недостатки. Основным преимуществом самостоятельной разработки обучающих материалов является то, что разработанные решения учитывают все особенности компании и позволяют акцентировать внимание именно на тех слабых местах, которые наиболее актуальны. Недостатком самостоятельной разработки является то, что требуются большие денежные затраты, а также временные, человеческие и другие ресурсы на продумывание и разработку. Преимуществами приобретения готовых решений является то, что требуются меньшие денежные затраты, решения разрабатываются внешними специалистами – экспертами в области ИБ и смежных областях. Кроме того, как правило, вместе с приобретенными решениями предоставляются консультации и поддержка специалистов. Недостатком приобретенных решений можно назвать тот факт, что обучающие материалы являются более общими и не учитывают специфику отдельных компаний.
Основные решения для повышения квалификации сотрудников, которые представлены на рынке, описаны ниже.
5.Внедрение процедуры в действие.
Можно считать процедуру повышения квалификации сотрудников в области ИБ внедренной в компании, когда сотрудники будут проходить регулярное обучение, будет налажена процедура оценка эффективности и внесения изменений.
6.Оценка эффективности.
Как любой процесс, повышение квалификации требует оценки эффективности. Задача оценки эффективности – определить, какой процент знаний курсов был усвоен сотрудниками и, самое главное, как они применяют свои знания на практике. По разработанным критериям эффективности самостоятельно или при помощи аудиторов-консультантов следует оценить эффективность внедренной программы повышения квалификации сотрудников. Некоторые способы оценки эффективности описаны ниже.
7.Внесение изменений.
После того как оценка эффективности работы программы закончена, найдены все слабые места программы, с учетом пожеланий и замечаний консультантов, аудиторов и пользователей следует разработать и внедрить изменения в программе.
Как любой процесс в компании, создание и внедрение программы обучения и повышения осведомленности сотрудников компании в области ИБ может и должен подчиняться PDCA-модели и проходить в 4 стадии:
Планирование (соответствует стадиям 1-4, описанным выше);
Реализация (соответствует стадии 5, описанной выше);
Пересмотр (соответствует стадии 6, описанной выше);
Совершенствование (соответствует стадии 7, описанной выше).
Целевая аудитория Security Awareness Program
Обеспечение ИБ является обязанностью каждого сотрудника компании. Проходить обучение в области ИБ должны все сотрудники компании, работающие с активами компании, независимо от занимаемой должности. Так как на сотрудников возложены разные обязанности по обеспечению безопасности, для большей эффективности работы программы повышения квалификации следует различать три категории сотрудников компании:
Технические специалисты – специалисты отдела информационных технологий и ИБ, разработчики программного обеспечения, служба технической поддержки и другие технические специалисты.
Топ-менеджеры – руководство компании, начальники отделов, руководители проектов.
Основная группа – сотрудники, партнеры и консультанты компании, которые имеют доступ к активам компании.
Для каждой из перечисленных категорий сотрудников следует разработать свой перечень тем, которым их следует обучать. Например, курс по анализу информационных рисков не будет интересен основной группе сотрудников компании, тогда как курс по обеспечению ИБ сотрудниками компании не является достаточным для технических специалистов.
Выбор тем для обучения сотрудников
Как было сказано выше, выбор тем и материалов для повышения квалификации сотрудников компании следует основывать на категории сотрудников. Целью обучения основной группы сотрудников является информирование о правилах и требованиях обеспечения ИБ в компании, об обязанностях сотрудников и ответственности за обеспечение ИБ, а также о базовых понятиях в области ИБ (что такое вирус, что такое социальная инженерия, примеры атак социальной инженерии и т.п.). Для основной группы сотрудников знания в области ИБ не являются специализированными, поэтому очень важно, чтобы обучение проходило в легкой и доступной форме, и пользователи были заинтересованы предлагаемыми им обучающими материалами. Чаще всего, обучение пользователей включает следующие обязательные темы:
- защита от вредоносного программного обеспечения;
- использование Интернет;
- использование мобильных устройств;
- использование электронной почты;
- парольная политика;
- политика «чистого стола» и «чистого экрана»;
- политики, правила, требования и инструкции, принятые в компании;
- соблюдение авторских и лицензионных прав;
- социальная инженерия;
- спам, фишинг и т.п.;
- действия в нештатных ситуациях;
- хранение, обработка и защита конфиденциальной информации;
- шифрование информации.
Топ-менеджеры, как правило, должны не только выполнять все требования, правила, инструкции, принятые в компании в области ИБ, но и принимать активное участие в управлении ИБ (ставить цели и задачи, разрабатывать общую стратегию обеспечения ИБ, инициировать действия по обеспечению ИБ, выделять бюджет, быть осведомленными об информационных рисках компании). Обучение топ-менеджеров должно охватывать вопросы управления ИБ:
- анализ и управление информационными рисками;
- инвентаризация активов;
- категорирование активов;
- непрерывность ведения бизнеса;
- повышение квалификации сотрудников компании;
- управление инцидентами.
Обучение технических специалистов должно быть одновременно и более расширенным, и более специализированным. Оно должно включать в себя как рассмотренные выше темы для топ-менеджмента и основной группы пользователей, так и обучение техническим темам. Обучение технических специалистов следует проводить на регулярной основе. Темы, которым следует обучать технических специалистов, включают в себя:
- аудит защищенности информационной системы (технологический и организационный);
- внесение изменений в информационную систему;
- контроль доступа (физический и логический);
- средства защиты информации, новые методы атак и защиты;
- международные и национальные стандарты в области ИБ;
- метрики оценки эффективность и оценка эффективности;
- процессный подход в области ИБ.
Материалы для повышения квалификации пользователей, будь то системы дистанционного обучения, курсы или просто специализированные плакаты, могут раскрывать одну или сразу несколько тем. Так, например, обычная ручка с надписью «Не предназначена для записи паролей!» раскрывает лишь часть темы парольной политики компании, тогда как скринсэйвер (программа-заставка) с несколькими интересными для сотрудников слайдами может раскрывать сразу несколько важных тем.
Выбор материалов для обучения сотрудников
Сегодня российский рынок продуктов повышения квалификации сотрудников ещё слабо развит и в основном представлен следующими решениями:
Курсы, тренинги, семинары, системы дистанционного обучения и т.п. У данных средств присутствуют как достоинства, так и недостатки. Поэтому в зависимости от особенностей компании и условий ее функционирования следует выбирать наиболее приемлемое средство обучения сотрудников.
Специализированные ленты новостей по ИБ, предназначенные для основной группы сотрудников компании. К ним предъявляются особые требования: новости должны быть понятны любому сотруднику с нулевыми знаниями в области ИБ; должны быть интересными и легко воспринимаемыми; содержание новостей должно способствовать повышению уровня осведомленности пользователей в области ИБ. Таким образом, в ленте новостей целесообразно освещать следующие события: инциденты ИБ (особенно случившиеся по вине сотрудников компании), появление новых атак, направленных на сотрудников (социальная инженерия, вирусные эпидемии, «письма-счастья» и т.п.), различные судебные процессы, связанные с кибертерроризмом, интересные рейтинги и номинации (например, рейтинг самых нелепых вирусов) и т.п.
Специализированные плакаты с мотивирующими обеспечивать ИБ слоганами, основные задачи которых – сфокусировать внимание сотрудников на важности обеспечения ИБ, проинформировать и регулярно напоминать о правилах и требованиях обеспечения ИБ, принятых в компании, информировать об обязанностях сотрудников и ответственности за обеспечение ИБ.
Различные офисные принадлежности (ручки, блокноты, post-it-notes и т.п.) со специализированными слоганами и обращениями, мотивирующими обеспечивать ИБ. Идеальным вариантом для нанесения специализированных слоганов являются предметы, которые постоянно находятся под руками сотрудников. Например, чтобы выполнить требование международного стандарта ISO-IEC 17799:2005 и проинформировать всех сотрудников о том, куда и к кому обращаться в случае возникновения инцидента, можно нанести контактную информацию на обычную шариковую ручку, которая есть у каждого сотрудника.
Скринсэйверы (программы-заставки), помогающие в простой и ненавязчивой форме закрепить у сотрудников основные правила в области ИБ.
Буклеты, памятки и другие печатные материалы. Такие материалы будут полезны как для первичного инструктажа сотрудников при принятии на работу, так и для регулярного напоминания о требованиях, принятых в компании.
Видеоматериалы, рассказывающие пользователям о том, к чему может привести несоблюдение требований к обеспечению ИБ – это возможность в простой и ненавязчивой форме донести до сотрудников требования, принятые в компании.
Следует заметить, что все материалы должны быть не только информативными, но и интересными и притягивать к себе внимание. Хорошо, если обучение проходит в легкой и даже игровой форме.
Способы оценки эффективности Security Awareness Program
Для оценки эффективности Security Awareness Program компания может прибегнуть к услугам аудиторов-консультантов или оценить эффективность самостоятельно. Способами оценки эффективности, в основном, являются различные проверки, которые могут быть как скрытыми, так и открытыми. Скрытые проверки – это проверки, о которых сотрудники компании, подвергающиеся проверке, ничего не знают, например, имитация возникновения инцидента ИБ. Открытые проверки – это проверки, о проведении которых сотрудники предупреждены заранее, и могут подготовиться к ним.
Скрытыми проверками для оценки эффективности работы программы могут быть:
телефонные звонки или электронные письма с использованием социальной инженерии;
мониторинг действий пользователей;
контроль выполнения требований политик, стандартов, инструкций и правил по обеспечению ИБ;
внешний или внутренний аудит.
Открытыми проверками могут быть:
проведение тестов, зачетов и экзаменов;
проведение различных опросов, интервью;
внешний или внутренний аудит.
Заключение
В заключении хотелось бы отметить, что повышение квалификации сотрудников компании является мировой практикой и требованием международных стандартов в области ИБ, однако, услуги и продукты по повышению квалификации в России только начали появляться. Преимущества обучения сотрудников очевидны, т.к. обучение снижает вероятность нарушения ИБ, тем самым повышая эффективность работы компании.
наверх
|
|
