Термин Security Awareness Program совсем недавно появился в России и еще не имеет адекватного аналога в русском языке; речь идет о программе повышения квалификации сотрудников компании в области информационной безопасности.

Под повышением квалификации в области информационной безопасности обычно понимается обучение сотрудников компании приемам обеспечения безопасности, повышение осведомленности об актуальных угрозах, мерах и способах реализации атак и средствах защиты, фокусировка внимания сотрудников на важности обеспечения этих проблем и т.п. Ежегодно многие компании теряют огромные деньги в результате инцидентов в области безопасности, причем половина потерь происходит по вине сотрудников компании.

Действия сотрудников могут иметь умышленный или неумышленный характер. В первом случае человек осознанно всеми возможными способами пытается нарушить конфиденциальность, целостность или доступность информации. Для различных представлений информации и возможных способов нарушения безопасности существуют соответствующие средства защиты — системы контекстных анализаторов, системы блокировки устройств и системы контроля доступа. Неумышленные же действия сотрудников могут быть вызваны их невнимательностью к правилам обеспечения безопасности, нежеланием выполнять требования, принятые в компании, или же их незнанием. В последнем случае следует обращать внимание сотрудников на важность этих требований, расширять их кругозор в соответствующей области, рассказывать о существующих техниках атак и методах защиты от них, что является основными задачами программы по повышению квалификации сотрудников компании.

Основные отличия профессионального обучения от повышения квалификации в области информационной безопасности таковы:

  • сотрудники изначально не заинтересованы в получении неспециализированных знаний;
  • руководители часто не понимают, какую выгоду может принести обучение сотрудников неспециализированным знаниям;
  • низкая техническая грамотность сотрудников компании, которые часто не понимают, как происходит взаимосвязь компьютеров по сети, как хранится, обрабатывается и передается информация.

Создание Security Awareness Program

Итак, руководство решило, что в компании следует внедрить программу повышения осведомленности пользователей в области информационной безопасности. С чего начать?

Определение целей, задач и основных требований. Пока данный шаг не будет сделан, очень трудно определить общую стратегию проектируемой программы, распланировать действия, не говоря уже о выборе тем и материалов для программы.

Определение ответственных лиц и их обязанностей.

Планирование и подготовка документов. На данной стадии следует определить цели всех составных частей программы повышения квалификации, а также тактику для достижения поставленных целей, разработать все требуемые документы для функционирования программы (например, методики оценки эффективности программы, обязанности ответственных лиц по функционированию программы и др.), разработать подробный план действий для реализации программы. Также следует определить основные темы в области информационной безопасности, которым должны обучаться пользователи.

Разработка и приобретение материалов. Разработанные самостоятельно решения учитывают все особенности компании и позволяют акцентировать внимание на наиболее актуальных проблемах. Недостатком самостоятельной разработки является то, что требуются большие ресурсы на продумывание и разработку. Преимущества готовых решений в том, что требуются меньшие денежные затраты, решения разрабатываются экспертами в области безопасности и смежных областях, однако приобретенные решения и обучающие материалы могут не учитывать специфику отдельных компаний.

Работа программы. Security Awareness Program работает, когда сотрудники проходят регулярное обучение, налажена процедура оценки эффективности и внесения изменений.

Оценка эффективности. Задача оценки эффективности — определить, какая часть знаний курсов была усвоена сотрудниками и как они применяют свои знания на практике.

Внесение изменений. После того как оценка эффективности работы программы закончена, найдены все слабые места программы, с учетом пожеланий и замечаний консультантов, аудиторов и пользователей следует произвести изменения в программе.

Процесс создания и внедрения программы обучения и повышения осведомленности сотрудников в области информационной безопасности проходит в четыре стадии: планирование; реализация; пересмотр; совершенствование.

Целевая аудитория Security Awareness Program

Для большей эффективности работы программы повышения квалификации следует различать три категории сотрудников:

  • технические специалисты — специалисты отдела информационных технологий и информационной безопасности, разработчики программного обеспечения, служба технической поддержки и другие технические специалисты;
  • топ-менеджеры — руководство компании, начальники отделов, руководители проектов;
  • основная группа — сотрудники, партнеры и консультанты компании, которые имеют доступ к активам компании.

Для каждой из категорий сотрудников следует разработать отдельный перечень тем, по которым их следует обучать.

Цель обучения основной группы сотрудников состоит в информировании о правилах и требованиях обеспечения информационной безопасности в компании, об обязанностях сотрудников и ответственности за обеспечение безопасности, а также о базовых понятиях: вирус, социальная инженерия, атаки и т.п. Чаще всего курс о включает в себя такие темы, как: защита от вредоносных программ; парольная политика; политика «чистого стола» и «чистого экрана»; политики, правила, требования и инструкции, принятые в компании; соблюдение авторских и лицензионных прав; спам, фишинг и т.п.; действия в нештатных ситуациях; хранение, обработка и защита конфиденциальной информации; шифрование. Обучение топ-менеджеров должно охватывать вопросы управления информационной безопасностью: анализ и управление информационными рисками; инвентаризация активов; категорирование активов; непрерывность ведения бизнеса; управление инцидентами.

Программа должна включать в себя следующие разделы: аудит защищенности информационной системы; внесение изменений в информационную систему; контроль доступа; современные средства защиты информации; международные и национальные стандарты в области информационной безопасности; метрики оценки эффективности и оценка эффективности; процессный подход в области информационной безопасности.

Выбор материалов для обучения сотрудников

Российский рынок продуктов для повышения квалификации сотрудников еще слабо развит. Так или иначе в нем можно выделить несколько групп решений.

  • Курсы, тренинги, семинары, системы дистанционного обучения и т.п.
  • Специализированные ленты новостей по информационной безопасности, предназначенные для основной группы сотрудников компании.
  • Специализированные плакаты, основные задачи которых — сфокусировать внимание сотрудников на важности соблюдения информационной безопасности, регулярно напоминать о правилах и требованиях обеспечения информационной безопасности.
  • Различные офисные принадлежности со специализированными слоганами и обращениями, мотивирующими обеспечивать информационную безопасность (например, чтобы выполнить требование международного стандарта ISO-IEC 17799:2005 и проинформировать всех сотрудников о том, куда и к кому обращаться в случае возникновения инцидента, можно нанести контактную информацию на обычную шариковую ручку).
  • Экранные заставки, помогающие в простой и ненавязчивой форме закрепить у сотрудников знание основных правил в области информационной безопасности;
  • Буклеты, памятки и другие печатные материалы, которые будут полезны как для первичного инструктажа сотрудников при принятии на работу, так и для регулярного напоминания о требованиях, принятых в компании.
  • Видеоматериалы, рассказывающие пользователям о том, к чему может привести несоблюдение требований по обеспечению информационной безопасности.

Оценка эффективности Security Awareness Program

Способами оценки эффективности, в основном, являются различные проверки, которые могут быть как скрытыми, так и открытыми. Скрытыми проверками могут быть электронные письма с использованием методов социальной инженерии или мониторинг действий пользователей; открытыми — проведение тестирования, внешнего или внутреннего аудита.

Леонид Крымский (leonid.krimsky@dsec.ru) — аналитик по информационной безопасности компании Digital Security (Санкт-Петербург).