Всем нам хорошо известно, что наиболее уязвимый сегмент системы защиты информации в любой компании – это ее сотрудники. Как правило, именно из-за их необдуманных действий организация может понести наибольший ущерб, как технический, так и репутационный. Поэтому очень важно поддерживать осведомленность сотрудников в вопросах информационной безопасности (ИБ) и периодически устраивать проверку их знаний или тестирование реакции на подозрительные письма и файлы.
Основные угрозы, которые могут быть реализованы внутренним нарушителем
- Утечка корпоративных данных (конфиденциальной информации, БД).
- Несанкционированный доступ в информационную систему компании (передача пароля, учетной записи).
- Непреднамеренное удаление/искажение актива компании (доступ некомпетентного сотрудника к критичным данным).
- Заражение сети компании вирусом, приостановка основных процессов бизнеса.
Чтобы стабильно повышать информированность коллег в этой сфере, рекомендуется выстроить программу повышения осведомленности сотрудников в информационной безопасности на весь год, чтобы периодически напоминать о важных аспектах информационной безопасности в области их профессиональной деятельности.
Рекомендуемые основные мероприятия по повышению осведомленности сотрудников в ИБ
- Создание и распространение небольших дайджестов о критичных опасностях и наиболее актуальных уязвимостях в области информационной безопасности, а также о правилах цифровой гигиены, с акцентом на превентивных мерах.
- Проведение плановых фишинг-рассылок. Результаты анализируются и сводятся в отчет, далее делается корректировка мероприятий и рассылок. Рекомендуется делать это не более четырех в год.
- Рассылка сотрудникам, работающим в системах дистанционного банковского обслуживания с электронной подписью (ЭП), тематических материалов/действующих документов, инструкций и правил работы с ЭП.
- Ежегодная проверка уровня знаний работников в виде электронного тестирования (если итоги предыдущих проверок показывают, что знания не усвоены, необходимо увеличить количество проверок до двух в год).
- Проведение "работы над ошибками" после возникновения инцидента ИБ с ответственными лицами (для исключения повторения подобного).
В данном процессе очень важно не допустить слишком большого давления на сотрудников и перегрузки их информацией. Рекомендуется в месяц проводить для персонала не больше 1–2 мероприятий на тему информационной безопасности, а также рассылать соответствующие материалы новым работникам перед проведением теста.
На основе анализа статистики инцидентов и результатов тестирования можно выстроить грамотный подход для информирования групп сотрудников, работающих с наиболее критичными информацией и процессами. С учетом этого можно внести изменения в вашу программу повышения осведомленности сотрудников в области информационной безопасности, сделав акцент на наиболее актуальных проблемах, – это значительно повысит ее эффективность.
Денис Богданов
Независимый эксперт по информационной безопасности