Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Повышение осведомленности в вопросах информационной безопасности, часто называемое красивым термином Security Awareness, представляет собой комплекс мероприятий, направленных на повышение культуры информационной безопасности работников организации или группы организаций, а также сотрудников органов власти, местного самоуправления и государственных учреждений.
В текущих реалиях, связанных с увеличивающимся количеством компьютерных атак на информационные ресурсы с применением приемов социальной инженерии, вопросы повышения культуры информационной безопасности сотрудников организации являются особо актуальными. Кроме того, необходимость организации таких мероприятий предусмотрена действующей нормативной базой (см. табл. 1).
Таблица 1. Нормативно-правовые акты, устанавливающие требования по повышению осведомленности работников
С точки зрения нормативно-правового регулирования обучение и повышение осведомленности в области информационной безопасности необходимо проводить всем организациям.
В целом мероприятия по повышению осведомленности необходимо проводить для всех работников организации. Однако их лучше дифференцировать для разных групп (см. табл. 2).
Таблица 2. Система мероприятий по повышению осведомленности для разных групп работников
Рассмотрим, что именно нужно делать в рамках перечисленных мероприятий.
Речь идет о доведении до руководства информации о текущей ситуации в информационной безопасности, о существующих рисках, угрозах и о том, как они влияют на деятельность организации. Это можно делать:
Подразумевается периодическая рассылка коротких информационных материалов по вопросам информационной безопасности по электронной почте, например раз в неделю.
Такую рассылку целесообразно делать дифференцированной для разных групп работников. Например, для основной массы сотрудников можно разослать информацию, направленную на повышение базовых навыков кибербезопасности в современных реалиях, а для сотрудников, обеспечивающих функционирование, – уже более специфический материал, относящийся к информационным ресурсам, находящимся в их поле зрения.
Речь идет о периодическом ознакомлении сотрудников с изменениями законодательства. Обзор изменений можно делать как своими силами, так и взять готовые (например, в данном журнале).
В таких обзорах заинтересованы все структурные подразделения организации. В обзоры для руководства необходимо включать описание того, как изменения законодательства влияют на деятельность организации. Например, о введении новых штрафов за нарушение правил обработки персональных данных: теперь организация, нарушившая правила локализации баз данных при сборе ПДн, может быть оштрафована на ощутимую сумму в 6 млн руб., а при повторном нарушении – 18 млн руб.
Можно брать обзоры, публикуемые в этом журнале, и делать из них реферат для руководства с акцентированием внимания на актуальных для деятельности организации моментах.
Подразумеваются обучающие курсы по актуальным для организации направлениям информационной безопасности (безопасность персональных данных, безопасность критической информационной инфраструктуры). Удобным и эффективным вариантом будет наличие внутренних, разработанных под конкретную организацию, обучающих курсов, которые можно назначать при приеме на работу, а также с определенной периодичностью (раз в год) или при наступлении какого-либо события, например произошла актуализация курса или сотрудник стал источником инцидента и т.п.
В данном случае речь идет прежде всего о плановом повышении квалификации сотрудников организации, занятых в обеспечении безопасности информационных ресурсов. Необходимость данного обучения предусмотрена, как правило, нормативно-правовыми актами, например, п. 12 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21.12.2017 № 235) установлена необходимость повышения квалификации по направлению "информационная безопасность" работников, занятых в обеспечении безопасности значимых объектов КИИ, не реже одного раза в пять лет.
Здесь следует обратить внимание на такие моменты, как:
Эти темы были подробно раскрыты мною в предыдущем номере журнала "Information Security/Информационная безопасность" № 6, 2022.
Это добровольные мероприятия по повышению осведомленности среди персонала, основная цель которых – развитие интереса к информационной безопасности и информирование о ее важности. На митапы можно приглашать всех сотрудников организации в свободное от работы время (или частично с захватом рабочего/нерабочего времени). Темы, рассматриваемые на митапах, должны быть интересными и касаться широкого круга лиц. Например, личная кибергигиена: тематика хоть и не связана с безопасностью организации напрямую, но вовлечение большого числа сотрудников и привлечение внимания к угрозам в цифровом пространстве положительно скажется на отношении персонала к вопросам информационной безопасности. Можно проводить митапы в виде игр (деловых, настольных) по информационной безопасности.
Информационный материал, используемый в мероприятиях по повышению осведомленности, должен постоянно актуализироваться, а практическую отработку навыков следует проводить на максимально приближенной к реальной инфраструктуре организации (в идеале в реальной инфраструктуре с соблюдением необходимых предосторожностей).