Термин Security Awareness Program совсем недавно появился в России и еще не имеет адекватного аналога в русском языке; речь идет о программе повышения квалификации сотрудников компании в области информационной безопасности.
Термин Security Awareness Program совсем недавно появился в России и еще не имеет адекватного аналога в русском языке; речь идет о программе повышения квалификации сотрудников компании в области информационной безопасности.
Под повышением квалификации в области информационной безопасности обычно понимается обучение сотрудников компании приемам обеспечения безопасности, повышение осведомленности об актуальных угрозах, мерах и способах реализации атак и средствах защиты, фокусировка внимания сотрудников на важности обеспечения этих проблем и т.п. Ежегодно многие компании теряют огромные деньги в результате инцидентов в области безопасности, причем половина потерь происходит по вине сотрудников компании.
Действия сотрудников могут иметь умышленный или неумышленный характер. В первом случае человек осознанно всеми возможными способами пытается нарушить конфиденциальность, целостность или доступность информации. Для различных представлений информации и возможных способов нарушения безопасности существуют соответствующие средства защиты — системы контекстных анализаторов, системы блокировки устройств и системы контроля доступа. Неумышленные же действия сотрудников могут быть вызваны их невнимательностью к правилам обеспечения безопасности, нежеланием выполнять требования, принятые в компании, или же их незнанием. В последнем случае следует обращать внимание сотрудников на важность этих требований, расширять их кругозор в соответствующей области, рассказывать о существующих техниках атак и методах защиты от них, что является основными задачами программы по повышению квалификации сотрудников компании.
Основные отличия профессионального обучения от курсов повышения квалификации информационная безопасность таковы:
- сотрудники изначально не заинтересованы в получении неспециализированных знаний;
- руководители часто не понимают, какую выгоду может принести обучение сотрудников неспециализированным знаниям;
- низкая техническая грамотность сотрудников компании, которые часто не понимают, как происходит взаимосвязь компьютеров по сети, как хранится, обрабатывается и передается информация.
Создание Security Awareness Program
Итак, руководство решило, что в компании следует внедрить программу повышения осведомленности пользователей в области информационной безопасности. С чего начать?
Определение целей, задач и основных требований. Пока данный шаг не будет сделан, очень трудно определить общую стратегию проектируемой программы, распланировать действия, не говоря уже о выборе тем и материалов для программы.
Определение ответственных лиц и их обязанностей.
Планирование и подготовка документов. На данной стадии следует определить цели всех составных частей программы повышения квалификации, а также тактику для достижения поставленных целей, разработать все требуемые документы для функционирования программы (например, методики оценки эффективности программы, обязанности ответственных лиц по функционированию программы и др.), разработать подробный план действий для реализации программы. Также следует определить основные темы в области информационной безопасности, которым должны обучаться пользователи.
Разработка и приобретение материалов. Разработанные самостоятельно решения учитывают все особенности компании и позволяют акцентировать внимание на наиболее актуальных проблемах. Недостатком самостоятельной разработки является то, что требуются большие ресурсы на продумывание и разработку. Преимущества готовых решений в том, что требуются меньшие денежные затраты, решения разрабатываются экспертами в области безопасности и смежных областях, однако приобретенные решения и обучающие материалы могут не учитывать специфику отдельных компаний.
Работа программы. Security Awareness Program работает, когда сотрудники проходят регулярное обучение, налажена процедура оценки эффективности и внесения изменений.
Оценка эффективности. Задача оценки эффективности — определить, какая часть знаний курсов была усвоена сотрудниками и как они применяют свои знания на практике.
Внесение изменений. После того как оценка эффективности работы программы закончена, найдены все слабые места программы, с учетом пожеланий и замечаний консультантов, аудиторов и пользователей следует произвести изменения в программе.
Процесс создания и внедрения программы обучения и повышения осведомленности сотрудников в области информационной безопасности проходит в четыре стадии: планирование; реализация; пересмотр; совершенствование.
Целевая аудитория Security Awareness Program
Для большей эффективности работы программы повышения квалификации следует различать три категории сотрудников:
- технические специалисты — специалисты отдела информационных технологий и информационной безопасности, разработчики программного обеспечения, служба технической поддержки и другие технические специалисты;
- топ-менеджеры — руководство компании, начальники отделов, руководители проектов;
- основная группа — сотрудники, партнеры и консультанты компании, которые имеют доступ к активам компании.
Для каждой из категорий сотрудников следует разработать отдельный перечень тем, по которым их следует обучать.