В рамках данной статьи поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим зачем они нужны, кто является их потребителем и как их организовать.
Что такое повышение осведомленности и для кого оно актуально?
Повышение осведомленности в вопросах информационной безопасности, часто называемое красивым термином Security Awareness, представляет собой комплекс мероприятий, направленных на повышение культуры информационной безопасности работников организации или группы организаций, а также сотрудников органов власти, местного самоуправления и государственных учреждений.
В текущих реалиях, связанных с увеличивающимся количеством компьютерных атак на информационные ресурсы с применением приемов социальной инженерии вопросы повышения культуры информационной безопасности сотрудников организации, являются особо актуальными. Кроме того, необходимость организации таких мероприятий явно предусмотрена и действующей нормативной базой.(см. Таблица 1).
Таблица 1. Нормативно правовые акты устанавливающие требования по повышению осведомленности работников
Таким образом, видно, что и с точки зрения нормативно-правового регулирования обучение и повышение осведомленности в области информационной безопасности необходимо проводить всем организациям.
Для каких групп работников проводить мероприятия по повышению осведомленности?
В целом, следует отметить, что мероприятия по повышению осведомленности необходимо проводить для всех работников организации. Однако такие мероприятия лучше дифференцировать для разных групп работников (см. Таблица 2).
Таблица 2. – Система мероприятий по повышению осведомленности для разных групп работников
Как организовать мероприятия по повышению осведомленности?
Теперь давайте рассмотрим, что нужно делать в рамках каждого из перечисленных в таблице 2 мероприятий.
1. Информирование о рисках и угрозах, их влиянии на бизнес. Речь идет о доведении до руководства информации о текущей ситуации в информационной безопасности, о существующих рисках, угрозах и как они влияют на деятельность организации. Как это делать:
- в виде коротких справок (формата one page only);
- краткие презентации на совещаниях (формата pitch deck).
2. Информационная рассылка
Периодическая рассылка коротких информационных материалов по вопросам информационной безопасности по электронной почте. Например, раз в неделю.
Данную рассылку целесообразно делать дифференцированной для разных групп работников. Например, для всех сотрудников рассылать материал, направленный на повышение базовых навыков кибербезопасности в современных реалиях, а для сотрудников, обеспечивающих функционирование уже более специфический, относящийся к информационным ресурсам, находящимся в их поле зрения.
3. Изменение законодательства по информационной безопасности
Речь идет о периодическом ознакомлении работников организации с изменениями законодательства. Обзор изменений можно делать как своими силами, так и взять готовые. В таких обзорах зачастую заинтересованы все структурные подразделения организации, включая руководство. В обзоры для руководства необходимо включать описание того, как изменения законодательства влияют на деятельность организации. Например, введены новые штрафы за нарушение правил обработки персональных данных, теперь организация, нарушившая правила локализации баз данных при сборе персональных данных, может быть оштрафована на ощутимую сумму 6 млн. рублей и 18 млн. рублей при повторном нарушении. С практической точки зрения это означает, что можно брать те же обзоры, публикуемые в данном журнале и делать из них реферат для руководства с акцентированием внимание на актуальных для деятельности организации моментах.
4. Обучающие курсы, тренинги.
Обучающие курсы по актуальным для организации направлениям информационной безопасности, например безопасность персональных данных, безопасность критической информационной инфраструктуры. Удобным и эффективным вариантом является наличие внутренних (разработанных под конкретную организацию) обучающих курсов, которые можно назначать при приеме на работу, а также с определенной периодичностью (раз в год) или при наступлении какого-либо события: произошла актуализация курса, сотрудник стал источником инцидента и т.п.
5. Повышение квалификации.
В данном случае речь идет прежде всего о плановом повышении квалификации работников организации занятых в обеспечении безопасности информационных ресурсов. Необходимость данного обучения предусмотрена, как правило, нормативно-правовыми актами. Например, пунктом 12 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21.12.2017 № 235) установлена необходимость повышения квалификации по направлению «Информационная безопасность» работников занятых в обеспечении безопасности значимых объектов КИИ не реже одного раза в 5 лет.
На какие моменты, здесь следует обратить внимание:
- минимальный срок освоения программы повышения квалификации в области информационной безопасности не может быть менее 40 часов;
- согласование программы повышения квалификации с регулятором не является обязательным требованием, однако такие программы есть и в ряде случаев (обычно для служащих государственных органов) требуется повышение квалификации именно по согласованным программам;
- при выборе программы лучше предварительно ознакомиться с ее ведущими (преподавателями) и их практическим опытом;
- наиболее эффективно обучение, при котором есть возможность разобрать с ведущими проблемные вопросы (практические кейсы) обучающихся.
6. Киберучения. Антифишинговые тренировки. Red Teaming. Киберполигоны. Данные вопросы были подробно раскрыт автором в предыдущем номере журнала «InformationSecurity/Информационная безопасность» № 6, 2022».
7. Митапы (Meetup). Это добровольные мероприятия по повышению осведомленности среди персонала. Основная цель подобных мероприятий развитие интереса у персонала к информационной безопасности и информирование о важности этих вопросов. На митапы можно приглашать всех сотрудников организации в свободное от работы время (или частично с захватом рабочего/не рабочего времени). Темы, рассматриваемые на митапах, должны быть интересными и касаться широкого круга лиц. Например, личная кибергигиена. Данная тематика хоть и не связана с безопасностью организации напрямую, но вовлечение большого числа сотрудников и привлечение внимания к угрозам в цифровом пространстве положительно скажется на отношении персонала к вопросам информационной безопасности. Также, можно проводить митапы в форме игр (деловых, настольных) по информационной безопасности.
В заключении, хотелось бы обратить внимание еще и на то, что информационный материал, используемый в мероприятиях по повышению осведомленности должен постоянно актуализироваться, а практическую отработку навыков следует проводить на максимально приближенной к реальной инфраструктуре организации (в идеале в реальной инфраструктуре с соблюдением необходимых предосторожностей).
Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.
Сайт: https://ksamatov.ru
Источник: