Эволюция программы повышения осведомленности работников компании в области ИБ, от изучения нормативных документов до культуры ИБ

Кожанов М.А.

Выпускник группы MBA CSO-25

Школа IT-менеджмента

РАНХиГС при Президенте РФ

В настоящее время процессы автоматизированной обработки информации тесно связаны практически с любой отраслью. Эта информация может содержать конфиденциальные данные, раскрытие которых может привести к нежелательным последствиям. А в случае вывода из строя сервисов автоматизированной обработки информации может быть нанесен значительный ущерб финансовому положению компании, ее работоспособности или репутации.

Процессы обработки информации связаны с множеством источников угроз информационной безопасности и кибербезопасности в частности. А одним из значимых факторов, влияющих на безопасность, является персонал. Важно рассматривать антропогенный фактор как реально существующую уязвимость в информационной безопасности компании. По статистике социальная инженерия является наиболее весомой угрозой, направленной на данный фактор.

Целью работы является подготовка обоснованной методики повышения уровня осведомленности персонала компании в области информационной безопасности.

В качестве основы для реализации программы, а также с целью обеспечения оптимального и контролируемого процесса повышения осведомленности персонала был проработан вопрос формирования пакета документов, системно описывающих цели информационной безопасности и способов их достижения.

На верхнем уровне иерархической структуры документации компании по информационной безопасности находится концепция или стратегия информационной безопасности. Она должна отражать позицию руководства организации относительно обеспечения информационной безопасности и определять цели, общие принципы и задачи, в соответствии с которыми будет строиться комплексная система информационной безопасности. Стратегия информационной безопасности должна позволять компании консолидировать обеспечение и развитие информационной безопасности с бизнес-целями, создать и обеспечить целостный, последовательный подход с учетом всех аспектов ведения бизнеса.

На втором уровне иерархии находятся документы, определяющие требования, применяемые к отдельным областям информационной безопасности – частные политики и стандарты информационной безопасности.

Третий уровень иерархии строится на регламентах и инструкциях, описывающих процессы информационной безопасности и порядок их выполнения.

Указанные документы должны быть четко структурированы и связаны между собой, а их содержание должно обеспечить применение изложенного на практике. Фактически, повышение осведомленности, как минимум, на половину состоит из разъяснения информации, представленной в корпоративных нормативных документах. Оставшаяся часть делится между доведением до сведения сотрудников информации об актуальных угрозах и практического закрепления материала (тренировки, контроль).

В рамках данной работы были рассмотрены основные методы повышения осведомленности сотрудников в области информационной безопасности:

1. Очное ознакомление сотрудников с нормативной документацией по информационной безопасности и закрепление персональной ответственности за ними;
2. Тематические почтовые рассылки, благодаря которым сотрудники знакомятся с конкретными правилами и способами защиты, а также получают ответы на актуальные вопросы;
3. Электронные презентации на корпоративном портале, задачей которых является закрепление знаний сотрудников об основных методах и средствах обеспечения информационной безопасности в Компании, а также о современных угрозах;
4. Внутреннее обучение (очное, удаленное), проводимое сотрудниками подразделения информационной безопасности совместно с HR-подразделением;
5. Внешнее обучение, которое проводится с привлечением внешних обучающих организаций;
6. Корпоративные мероприятия (семинары, конференции, тренинги). Главным достоинством такого подхода является то, что работники могут получить быструю и эффективную обратную связь. Кроме того, такие мероприятия пораждают эффект «сарафанного радио».
7. Дополнительные источники информирования: буклеты, плакаты, скринсейверы;
8. Тестирование сотрудников (прямое, скрытое), целью которого является выявление степени усвоения информации по основным угрозам в сети Интернет. В ходе скрытого тестирования могут использоваться автоматизированные системы, которые отправляют поддельные письма (псевдофишинговые) и собирают статистику откликов;
9. Постотработка инцидентов - внеочередное очное повторение сотрудником конкретных пунктов нормативной документации и разбор ситуации в подразделении, где произошел инцидент.

Для более эффективного процесса повышения осведомленности персонала компании в области информационной безопасности необходимо создать партнерские отношения в коллективе. Также необходимо вовлекать в данный процесс кадровые подразделения. Очень важно заинтересовать руководителей прямого подчинения наиболее значимых с точки зрения обеспечения информационной безопасности. Их участие принесет значительную пользу в реализации программы. К таким службам относятся HR-подразделение, служба ИТ, бизнес-подразделения и другие. Без их участия и вовлеченности в процесс повышения осведомленности в области информационной безопасности данная методика может восприниматься как дополнительная и нецелевая трата времени. В итоге - за редким исключением программа не будет иметь должного эффекта.

В ходе выполнения поставленных в аттестационной работе задач были получены следующие практические результаты:

1. путем анализа нормативно-правовой базы и исследования существующих методов повышения осведомленности персонала в области информационной безопасности была подтверждена необходимость разработки понятной и эффективной методики управления осведомленностью;
2. сформирована методика повышения осведомленности персонала в области информационной безопасности, в которую вошли три составляющие:

2.1. подготовка нормативной базы к внедрению методов повышения осведомленности персонала;

2.2. практическое применение методики повышения осведомленности персонала;

2.3. оценка эффективности программы.

3. обоснована целесообразность разработанной методики повышения осведомленности персонала.

В рамках применения данной методики на практике в ПАО МГТС, получен высокий уровень «иммунитета» работников компании к наиболее распространенным методам социальной инженерии и как следствие значительное снижение количества инцидентов информационной безопасности.