Тренинги, семинары и учебные курсы подразделяются на две группы: для специалистов информационной безопасности и для неспециалистов.
Именно эту характеристику нужно учитывать при формировании учебной группы для обучения основам информационной безопасности (ИБ).
Программу тренинга и набор учебных модулей определяют в зависимости от уровня защиты внедряемой (или внедрённой) в компании системы безопасности. Некоторые руководители организаций малого бизнеса ошибочно полагают, что в их фирме нет системы безопасности, если они не внедряли её специально.
Система коммерческой информационной безопасности существует в любой организации, она присутствует даже у одиночного уличного торговца-нелегала. Любую информационную систему можно классифицировать и присвоить ей соответствующий уровень безопасности.
В зависимости от уровня системы безопасности компании-заказчика специалисты определяют эффективное содержание тренинга (семинара, учебного курса). Зная такие особенности формирования учебных групп, руководитель коммерческой организации может избежать тренингов шарлатанов или неподготовленных на должном уровне преподавателей.
Для проверки компетентности будущего тренера (ИБ-инструктора) можно спросить его о том, по какому уровню информационной защиты подготовлена программа обучения и подходит ли она для подготовки конкретных сотрудников.
На тренингах сообщаются краткие инфо-модули для классификации информационных объектов, информационных процессов и методов их защиты. На практических частях занятий строятся модели угроз безопасности и отрабатываются схемы реагирования.
Целью таких тренингов является наработка сотрудниками микро-навыков информационной защиты. Поскольку модели угроз безопасности содержат множество вариантов, пред началом тренинга может быть произведено тестирование учебной группы. По результатам тестирования определяется оптимальный набор тренировочных модулей, который становится индивидуальной программой для учебной группы.
Проведение тестирования в процессе обучения и отсутствие согласованной программы тренингов до начала занятий может свидетельствовать о низком уровне подготовки обучающей стороны (тренера).
На уровне основ информационной безопасности коллектив обучается:
- основам понимания политики безопасности организации;
- навыкам определения неформализованных документально правил безопасности;
- навыкам определения защищённых контуров организации и навыкам работы внутри этих контуров;
- основам противодействия вредоносному влиянию злоумышленников внутри контура организации и во внешней информационной среде.
Тренинги и учебные курсы могут быть обязательными при внедрении специалистами системы безопасности организации или дополнительно инициированы руководителем компании, осознающим потребность в повышении у своих сотрудников уровня осведомлённости о кибербезопасности.
Одним из популярных навыков сотрудников организаций является навык автономной работы. При построении систем "удалённых офисов" сотрудники могут выходить из защищённого контура компании. Это нежелательное явление в системах "удалённого офиса" и специалисты по безопасности устраняют такие угрозы, но иногда сотрудники компании представляют собой распределённую человеко-машинную систему, в которой каждый сотрудник автономно обеспечивает собственную коммерческую безопасность.
Под руководством опытных ИБ-инструкторов на практических моделях тренируются:
- навыки безопасного поведения в коммерческой деятельности;
- навыки распознавания сотрудниками вредоносных воздействий;
- навыки оперативного реагирования сотрудников в случае возникновения информационных инцидентов.
Руководителю компании нужно подбирать для своих сотрудников наборы тренингов или учебных курсов, в которых уделяется внимание:
- тренировкам укрепления психологического комфорта коллектива;
- защиты от ошибок работы сотрудников с автоматизированными системами;
- защиты от поведенческих ошибок сотрудников при осуществлении ими трудовых функций;
- созданию системы распределённого мониторинга (проверки) действий дистанционных сотрудников.
В целях экономии денежных средств компании иногда вместо заказа тренингов информационной безопасности для большого количества неспециалистов подготавливается несколько ИБ-специалистов с навыками проведения тренингов в своём коллективе.
Повышение уровня информационной безопасности всех сотрудников компании может существенно повысить приносимую прибыль от выполнения этими сотрудниками их обычных функций, потому что сотрудники начинают работать климате психологического комфорта и полноценно защищённых технически бизнес-процессов.
Другие интересные статьи этого канала:
29 ноября 2020 года.
Автор: Демешин Сергей Владимирович (юрист).
Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).