SECURITY AWARENESS: разработка мероприятий по повышению осведомленности

Константин Саматов, 24/04/23

Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Что такое повышение осведомленности и для кого оно актуально?

Повышение осведомленности в вопросах информационной безопасности, часто называемое красивым термином Security Awareness, представляет собой комплекс мероприятий, направленных на повышение культуры информационной безопасности работников организации или группы организаций, а также сотрудников органов власти, местного самоуправления и государственных учреждений.

В текущих реалиях, связанных с увеличивающимся количеством компьютерных атак на информационные ресурсы с применением приемов социальной инженерии, вопросы повышения культуры информационной безопасности сотрудников организации являются особо актуальными. Кроме того, необходимость организации таких мероприятий предусмотрена действующей нормативной базой (см. табл. 1).

table1
Таблица 1. Нормативно-правовые акты, устанавливающие требования по повышению осведомленности работников

С точки зрения нормативно-правового регулирования обучение и повышение осведомленности в области информационной безопасности необходимо проводить всем организациям.

Для каких групп сотрудников следует проводить мероприятия по повышению осведомленности?

В целом мероприятия по повышению осведомленности необходимо проводить для всех работников организации. Однако их лучше дифференцировать для разных групп (см. табл. 2).

table2
Таблица 2. Система мероприятий по повышению осведомленности для разных групп работников

Как организовать мероприятия по повышению осведомленности?

Рассмотрим, что именно нужно делать в рамках перечисленных мероприятий.

Информирование о рисках, угрозах и их влиянии на бизнес

Речь идет о доведении до руководства информации о текущей ситуации в информационной безопасности, о существующих рисках, угрозах и о том, как они влияют на деятельность организации. Это можно делать:

в виде коротких справок (формата one page only);
в виде кратких презентаций на совещаниях (формата pitch deck).

Информационная рассылка

Подразумевается периодическая рассылка коротких информационных материалов по вопросам информационной безопасности по электронной почте, например раз в неделю.

Такую рассылку целесообразно делать дифференцированной для разных групп работников. Например, для основной массы сотрудников можно разослать информацию, направленную на повышение базовых навыков кибербезопасности в современных реалиях, а для сотрудников, обеспечивающих функционирование, – уже более специфический материал, относящийся к информационным ресурсам, находящимся в их поле зрения.

Изменение законодательства по информационной безопасности

Речь идет о периодическом ознакомлении сотрудников с изменениями законодательства. Обзор изменений можно делать как своими силами, так и взять готовые (например, в данном журнале).

В таких обзорах заинтересованы все структурные подразделения организации. В обзоры для руководства необходимо включать описание того, как изменения законодательства влияют на деятельность организации. Например, о введении новых штрафов за нарушение правил обработки персональных данных: теперь организация, нарушившая правила локализации баз данных при сборе ПДн, может быть оштрафована на ощутимую сумму в 6 млн руб., а при повторном нарушении – 18 млн руб.

Можно брать обзоры, публикуемые в этом журнале, и делать из них реферат для руководства с акцентированием внимания на актуальных для деятельности организации моментах.

Обучающие курсы, тренинги

Подразумеваются обучающие курсы по актуальным для организации направлениям информационной безопасности (безопасность персональных данных, безопасность критической информационной инфраструктуры). Удобным и эффективным вариантом будет наличие внутренних, разработанных под конкретную организацию, обучающих курсов, которые можно назначать при приеме на работу, а также с определенной периодичностью (раз в год) или при наступлении какого-либо события, например произошла актуализация курса или сотрудник стал источником инцидента и т.п.

Повышение квалификации

В данном случае речь идет прежде всего о плановом повышении квалификации сотрудников организации, занятых в обеспечении безопасности информационных ресурсов. Необходимость данного обучения предусмотрена, как правило, нормативно-правовыми актами, например, п. 12 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21.12.2017 № 235) установлена необходимость повышения квалификации по направлению "информационная безопасность" работников, занятых в обеспечении безопасности значимых объектов КИИ, не реже одного раза в пять лет.

Здесь следует обратить внимание на такие моменты, как:

минимальный срок освоения программы повышения квалификации в области информационной безопасности не может быть менее 40 часов [1];
согласование программы повышения квалификации с регулятором не является обязательным требованием [2], но такие программы есть, и в ряде случаев (обычно для служащих государственных органов) требуется повышение квалификации именно по согласованным программам;
при выборе программы лучше предварительно ознакомиться с ее ведущими (преподавателями) и их практическим опытом;
наиболее эффективно обучение, при котором есть возможность разобрать с ведущими проблемные вопросы (практические кейсы) обучающихся.

Киберучения. Антифишинговые тренировки. Red Teaming. Киберполигоны

Эти темы были подробно раскрыты мною в предыдущем номере журнала "Information Security/Информационная безопасность" № 6, 2022.

Митапы (Meetup)

Это добровольные мероприятия по повышению осведомленности среди персонала, основная цель которых – развитие интереса к информационной безопасности и информирование о ее важности. На митапы можно приглашать всех сотрудников организации в свободное от работы время (или частично с захватом рабочего/нерабочего времени). Темы, рассматриваемые на митапах, должны быть интересными и касаться широкого круга лиц. Например, личная кибергигиена: тематика хоть и не связана с безопасностью организации напрямую, но вовлечение большого числа сотрудников и привлечение внимания к угрозам в цифровом пространстве положительно скажется на отношении персонала к вопросам информационной безопасности. Можно проводить митапы в виде игр (деловых, настольных) по информационной безопасности.

Информационный материал, используемый в мероприятиях по повышению осведомленности, должен постоянно актуализироваться, а практическую отработку навыков следует проводить на максимально приближенной к реальной инфраструктуре организации (в идеале в реальной инфраструктуре с соблюдением необходимых предосторожностей).