Обучение ИБ: как часто проводить и в каких формах

Обучение ИБ: как часто проводить и в каких формах

Обучение ИБ: как часто проводить и в каких формах

Обучение информационной безопасности — тема, которая вызывает у специалистов немало вопросов. Насколько часто надо проводить обучение? В какой форме лучше делать это? Исследований на эту тему не так много, но мы нашли кое-что интересное.

 

 

 

 

 

 

  1. Введение
  2. Несколько вариантов построения ИБ-службы на предприятии
  3. Культура безопасности внутри компании
  4. Отношение к обучению основам ИБ со стороны сотрудников
  5. Темы для обучения
  6. Результаты исследования
  7. Выводы

Введение

Недавно мы сообщали об одном таком исследовании, проведённом компанией «СёрчИнформ». Оно было посвящено анализу подходов к обучению основам ИБ. Оказалось, что наиболее популярной формой до сих пор остаётся раздача отпечатанных методичек. Только в 12 % случаев проводятся вебинары, в 16 % — полномасштабные киберучения.

Исследование «СёрчИнформ» проводилось с сентября по ноябрь 2022 года и охватывало 25 городов России. В опросе приняли участие более 1000 специалистов и руководителей ИТ и ИБ, работающих в государственных, коммерческих и некоммерческих организациях во всех сферах экономики.

 

Рисунок 1. Варианты обучения сотрудников основам ИБ-грамотности («СёрчИнформ», 2023)

Варианты обучения сотрудников основам ИБ-грамотности («СёрчИнформ», 2023)

 

Проведённое исследование позволило получить общее представление о том, как сейчас организовывается процесс корпоративного обучения ИБ в России. Однако, по нашему мнению, оно не охватило ряд дополнительных существенных деталей, на которые мы обратим внимание далее: как часто следует проводить обучение, как контролировать результаты и пр.

Для этого мы будем использовать два дополнительных источника. Несмотря на свою относительную «старость» — исследования были проведены ещё в 2012 году, — полученные результаты не потеряли актуальности до сих пор. Первый из них — это классический учебник Э. Кнаппа по индустриальной безопасности, второй — докторская диссертация К. Квальяты «Impact of Security Awareness Training Components on Security Effectiveness».

Несколько вариантов построения ИБ-службы на предприятии

Классическая система безопасности на предприятии (рис. 2) строится на базе модели, где в первую очередь даётся определение «поверхности атаки» — внешнего контура, на границе которого могут осуществляться кибернападения. Для защиты периметра компании подбирают соответствующие инструменты, совместное использование которых обеспечивает безопасность.

 

Рисунок 2. Предприятие и «поверхность периметра», где ожидаются кибератаки

Предприятие и «поверхность периметра», где ожидаются кибератаки

 

При переходе на техническое описание ИТ-ландшафта картина изменяется и становится более сложной. При рассмотрении под этим углом зрения система защиты выглядит как набор инструментов, каждый из которых обеспечивает борьбу с угрозами по тому или иному каналу взаимодействия со внешним миром. Особенностью такого подхода является то, что необходимо выделять отдельные функциональные группы и формировать правила для работы системы безопасности. В то же время описание «поверхности атаки» становится в этом случае более детализированным.

 

Рисунок 3. Выделение функциональных ИТ-групп изменяет картину «поверхности атаки»

Выделение функциональных ИТ-групп изменяет картину «поверхности атаки»

 

Есть также и бизнес-подход (рис. 4) к выстраиванию защиты с опорой на организационную структуру компании. На наружном слое располагается всё относящееся к менеджменту, который формирует бизнес-задачи и отвечает за их исполнение. Следом идёт промежуточный слой, который относится к работе команды надзора: она осуществляет контроль за исполнением текущих задач, которыми заняты бизнес-подразделения, оценивая их с упором на технические знания, понимание текущего уровня защищённости предприятия в целом и оценку рисков для применяемых ИТ-систем. Наконец, внутренний уровень относится к функциональным единицам компании, которые обеспечивают работу самих ИТ-продуктов.

 

Рисунок 4. Топология бизнес-уровней для системы безопасности компании

Топология бизнес-уровней для системы безопасности компании

 

Наконец, существует ещё один подход (рис. 5) к оценке того, как выстраивается система ИБ внутри компании. Он связан с детальной проработкой имеющихся аппаратных и информационных активов. Каждому типу актива ставится в соответствие свой класс прикладных продуктов ИБ.

 

Рисунок 5. Активы компании и средства для их защиты

Активы компании и средства для их защиты

Культура безопасности внутри компании

Приведённый разбор моделей безопасности предприятий позволяет не только правильно выстроить киберзащиту внутри компании с учётом используемых средств и её организационной структуры, но и сформировать план обучения сотрудников основам ИБ. В совокупности это даёт возможность создать внутри компании единую культуру безопасности. Полученные во время тренингов знания обеспечивают устойчивость существующей ИТ-экосистемы предприятия вне зависимости от модели.

Планировать обучение потребуется с учётом реально существующих актуальных задач и рисков. Необходимо также помнить о контроле эффективности. План обучения должен предусматривать выбор наиболее уместных форм и частоты проведения мероприятий, наиболее подходящей платформы для обучения и т. д.

Отношение к обучению основам ИБ со стороны сотрудников

В 2012 году д-р К. Квальята представила на ежегодной конференции Национального института стандартов и технологий США (NIST) результаты своего исследования, целью которого было выявление основных принципов и условий, которых необходимо придерживаться при обучении основам ИБ для обеспечения наиболее эффективной защиты данных на предприятии. 

В исследовании приняли участие 133 респондента. В основном это были представители компаний из США и Индии, хотя также были охвачены организации из Коста-Рики, Австралии, Бельгии и Китая. Опрос проводился среди технических специалистов и администраторов, работа которых в той или иной степени была связана с ИТ. Такой охват позволял получить квалифицированную оценку качества обучения основам ИБ в различных компаниях.

Две трети опрошенных (42 % + 22 %) положительно оценили ту систему безопасности работы с данными, которая применялась в их компании. Пятая часть (20 %) отметили, что не придают этой теме большого значения. Оставшиеся респонденты (14 % и 2 %) заявили, что качество работы применяемой у них системы ИБ разочаровало их. 

 

Рисунок 6. Оценка эффективности системы безопасности, выстроенной в компании (Quagliata, 2012)

Оценка эффективности системы безопасности, выстроенной в компании (Quagliata, 2012)

 

Отвечая на вопрос о частотности проводимых тренировок, 50 % опрошенных заявили, что в их компаниях те проводятся один раз в год, 24 % — несколько раз в год. Заметим, что только в 5 % случаев обучение оказалось сугубо добровольным. Отсутствие потребности в подобных тренингах отметили 4 % опрошенных.

 

Рисунок 7. Оценка периодичности проведения ИБ-тренингов в компаниях (Quagliata, 2012)

Оценка периодичности проведения ИБ-тренингов в компаниях (Quagliata, 2012)

 

При выборе наиболее эффективной формы проведения тренингов подавляющее большинство опрошенных (70 %) заявили, что в их компаниях не ограничиваются только одним определённым форматом.

В то же время многие респонденты отметили, что на тренингах не следует слишком сильно углубляться в технические детали, связанные с ИБ. Оптимальный вариант — ограничиться обсуждением применяемых методик и правил безопасности.

 

Рисунок 8. Оценка оптимальной формы проведения тренингов (Quagliata, 2012)

Оценка оптимальной формы проведения тренингов (Quagliata, 2012)

 

В ходе исследования был поставлен вопрос о формах контроля качества полученных навыков. Треть участников (38 %) отметили, что в их компаниях контроль осуществляется через электронный опрос по типовым заданиям в программе тренингов.

Кроме электронной проверки применяются устный (3 %) или письменный (4 %) экзамен, письменный опрос (5 %). Велика (20 %) также доля компаний, где применяются сразу несколько вариантов проверки.

В то же время много (21 %) и таких организаций, где участие в тренингах не предусматривает проведения каких-либо завершающих проверок. В их число не вошли те 5 %, которые заявили, что не знают, предусмотрен в компании какой-либо контроль за результатами участия в тренингах или нет.

 

Рисунок 9. Виды контроля участия в тренингах по ИБ (Quagliata, 2012)

Виды контроля участия в тренингах по ИБ (Quagliata, 2012)

 

Темы для обучения

В исследовании К. Квальяты представлен список наиболее часто упоминаемых тем, по которым проводятся тренинги. Он имеет следующий вид (в порядке убывания частотности):

  • правила безопасной работы с электронной почтой (65 %);
  • выбор паролей (62 %);
  • правила работы в интернете (60 %);
  • блокировка доступа к компьютеру на время отсутствия пользователя на рабочем месте (56 %);
  • правила работы с персональными данными (54 %);
  • классификация данных по уровню их требуемой защиты (51 %);
  • противодействие методам социальной инженерии (50 %).

Около трети сотрудников проходят обучение также по темам сетевой безопасности и шифрования данных — 35 % и 26 % соответственно.

Почти половина опрошенных (40 %) отметили, что проходили обучение по всем перечисленным темам. 

 

Рисунок 10. Темы обучения сотрудников компаний (Quagliata, 2012)

Темы обучения сотрудников компаний (Quagliata, 2012)

 

По мнению исследователя, главной целью тренингов должно стать создание культуры безопасности в компании.

Результаты исследования

  • Тренинги по безопасности необходимо проводить не реже одного раза в год.
  • Нельзя обучать основам ИБ только новых сотрудников. Следует регулярно проводить тренинги для всего коллектива работников компании.
  • Обучение должно быть обязательным. Участие «по желанию» — это неправильный подход.
  • Обучение основам ИБ не следует ограничивать только изложением материала. Лучше сочетать его с разъяснениями и демонстрацией примеров из реальной практики. Простого изучения инструкций недостаточно.
  • График обучения необходимо прорабатывать заранее с учётом существующих условий, а не формировать спонтанно.
  • Необходимо доносить до руководства компании мысль о том, что обучение основам ИБ требует внимания также и с их стороны, поскольку способствует достижению долгосрочных бизнес-целей компании.

Выводы

Построение эффективной системы безопасности нельзя ограничивать только закупкой и внедрением технических средств защиты. Необходимо регулярно проводить обучение сотрудников для их ознакомления с тем, какие методы и формы защиты применяются в организации. Главная цель — выстраивание культуры безопасности внутри компании.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru