Контакты
Подписка 2025
Статьи по информационной безопасности

SECURITY AWARENESS: разработка мероприятий по повышению осведомленности

Константин Саматов, 24/04/23

Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Что такое повышение осведомленности и для кого оно актуально?

Повышение осведомленности в вопросах информационной безопасности, часто называемое красивым термином Security Awareness, представляет собой комплекс мероприятий, направленных на повышение культуры информационной безопасности работников организации или группы организаций, а также сотрудников органов власти, местного самоуправления и государственных учреждений.

В текущих реалиях, связанных с увеличивающимся количеством компьютерных атак на информационные ресурсы с применением приемов социальной инженерии, вопросы повышения культуры информационной безопасности сотрудников организации являются особо актуальными. Кроме того, необходимость организации таких мероприятий предусмотрена действующей нормативной базой (см. табл. 1).

table1
Таблица 1. Нормативно-правовые акты, устанавливающие требования по повышению осведомленности работников

С точки зрения нормативно-правового регулирования обучение и повышение осведомленности в области информационной безопасности необходимо проводить всем организациям.

Для каких групп сотрудников следует проводить мероприятия по повышению осведомленности?

В целом мероприятия по повышению осведомленности необходимо проводить для всех работников организации. Однако их лучше дифференцировать для разных групп (см. табл. 2).

table2
Таблица 2. Система мероприятий по повышению осведомленности для разных групп работников

Как организовать мероприятия по повышению осведомленности?

Рассмотрим, что именно нужно делать в рамках перечисленных мероприятий.

Информирование о рисках, угрозах и их влиянии на бизнес

Речь идет о доведении до руководства информации о текущей ситуации в информационной безопасности, о существующих рисках, угрозах и о том, как они влияют на деятельность организации. Это можно делать:

  • в виде коротких справок (формата one page only);
  • в виде кратких презентаций на совещаниях (формата pitch deck).

Информационная рассылка

Подразумевается периодическая рассылка коротких информационных материалов по вопросам информационной безопасности по электронной почте, например раз в неделю.

Такую рассылку целесообразно делать дифференцированной для разных групп работников. Например, для основной массы сотрудников можно разослать информацию, направленную на повышение базовых навыков кибербезопасности в современных реалиях, а для сотрудников, обеспечивающих функционирование, – уже более специфический материал, относящийся к информационным ресурсам, находящимся в их поле зрения.

Изменение законодательства по информационной безопасности

Речь идет о периодическом ознакомлении сотрудников с изменениями законодательства. Обзор изменений можно делать как своими силами, так и взять готовые (например, в данном журнале).

В таких обзорах заинтересованы все структурные подразделения организации. В обзоры для руководства необходимо включать описание того, как изменения законодательства влияют на деятельность организации. Например, о введении новых штрафов за нарушение правил обработки персональных данных: теперь организация, нарушившая правила локализации баз данных при сборе ПДн, может быть оштрафована на ощутимую сумму в 6 млн руб., а при повторном нарушении – 18 млн руб.

Можно брать обзоры, публикуемые в этом журнале, и делать из них реферат для руководства с акцентированием внимания на актуальных для деятельности организации моментах.

Обучающие курсы, тренинги

Подразумеваются обучающие курсы по актуальным для организации направлениям информационной безопасности (безопасность персональных данных, безопасность критической информационной инфраструктуры). Удобным и эффективным вариантом будет наличие внутренних, разработанных под конкретную организацию, обучающих курсов, которые можно назначать при приеме на работу, а также с определенной периодичностью (раз в год) или при наступлении какого-либо события, например произошла актуализация курса или сотрудник стал источником инцидента и т.п.

Повышение квалификации

В данном случае речь идет прежде всего о плановом повышении квалификации сотрудников организации, занятых в обеспечении безопасности информационных ресурсов. Необходимость данного обучения предусмотрена, как правило, нормативно-правовыми актами, например, п. 12 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21.12.2017 № 235) установлена необходимость повышения квалификации по направлению "информационная безопасность" работников, занятых в обеспечении безопасности значимых объектов КИИ, не реже одного раза в пять лет.

Здесь следует обратить внимание на такие моменты, как:

  • минимальный срок освоения программы повышения квалификации в области информационной безопасности не может быть менее 40 часов [1];
  • согласование программы повышения квалификации с регулятором не является обязательным требованием [2], но такие программы есть, и в ряде случаев (обычно для служащих государственных органов) требуется повышение квалификации именно по согласованным программам;
  • при выборе программы лучше предварительно ознакомиться с ее ведущими (преподавателями) и их практическим опытом;
  • наиболее эффективно обучение, при котором есть возможность разобрать с ведущими проблемные вопросы (практические кейсы) обучающихся.

Киберучения. Антифишинговые тренировки. Red Teaming. Киберполигоны

Эти темы были подробно раскрыты мною в предыдущем номере журнала "Information Security/Информационная безопасность" № 6, 2022.

Митапы (Meetup)

Это добровольные мероприятия по повышению осведомленности среди персонала, основная цель которых – развитие интереса к информационной безопасности и информирование о ее важности. На митапы можно приглашать всех сотрудников организации в свободное от работы время (или частично с захватом рабочего/нерабочего времени). Темы, рассматриваемые на митапах, должны быть интересными и касаться широкого круга лиц. Например, личная кибергигиена: тематика хоть и не связана с безопасностью организации напрямую, но вовлечение большого числа сотрудников и привлечение внимания к угрозам в цифровом пространстве положительно скажется на отношении персонала к вопросам информационной безопасности. Можно проводить митапы в виде игр (деловых, настольных) по информационной безопасности.

Информационный материал, используемый в мероприятиях по повышению осведомленности, должен постоянно актуализироваться, а практическую отработку навыков следует проводить на максимально приближенной к реальной инфраструктуре организации (в идеале в реальной инфраструктуре с соблюдением необходимых предосторожностей).

  1. См. приказ Минобрнауки России от 19.10.2020 № 1316.
  2. См. приказ Минобрнауки России от 19.10.2020 № 1316.
Темы:УправлениеобучениеЖурнал "Информационная безопасность" №1, 2023Security Awareness

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Стратегия аудита информационной безопасности в пяти шагах
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В условиях стремительного развития технологий и увеличения числа угроз регулярный аудит становится необходимым инструментом для обеспечения надежной защиты данных, предотвращения утечек информации и обеспечения непрерывного функционирования информационных ресурсов.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"