Обучение информационной безопасности — тема, которая вызывает у специалистов немало вопросов. Насколько часто надо проводить обучение? В какой форме лучше делать это? Исследований на эту тему не так много, но мы нашли кое-что интересное.
- Введение
- Несколько вариантов построения ИБ-службы на предприятии
- Культура безопасности внутри компании
- Отношение к обучению основам ИБ со стороны сотрудников
- Темы для обучения
- Результаты исследования
- Выводы
Введение
Недавно мы сообщали об одном таком исследовании, проведённом компанией «СёрчИнформ». Оно было посвящено анализу подходов к обучению основам ИБ. Оказалось, что наиболее популярной формой до сих пор остаётся раздача отпечатанных методичек. Только в 12 % случаев проводятся вебинары, в 16 % — полномасштабные киберучения.
Исследование «СёрчИнформ» проводилось с сентября по ноябрь 2022 года и охватывало 25 городов России. В опросе приняли участие более 1000 специалистов и руководителей ИТ и ИБ, работающих в государственных, коммерческих и некоммерческих организациях во всех сферах экономики.
Рисунок 1. Варианты обучения сотрудников основам ИБ-грамотности («СёрчИнформ», 2023)
Проведённое исследование позволило получить общее представление о том, как сейчас организовывается процесс корпоративного обучения ИБ в России. Однако, по нашему мнению, оно не охватило ряд дополнительных существенных деталей, на которые мы обратим внимание далее: как часто следует проводить обучение, как контролировать результаты и пр.
Для этого мы будем использовать два дополнительных источника. Несмотря на свою относительную «старость» — исследования были проведены ещё в 2012 году, — полученные результаты не потеряли актуальности до сих пор. Первый из них — это классический учебник Э. Кнаппа по индустриальной безопасности, второй — докторская диссертация К. Квальяты «Impact of Security Awareness Training Components on Security Effectiveness».
Несколько вариантов построения ИБ-службы на предприятии
Классическая система безопасности на предприятии (рис. 2) строится на базе модели, где в первую очередь даётся определение «поверхности атаки» — внешнего контура, на границе которого могут осуществляться кибернападения. Для защиты периметра компании подбирают соответствующие инструменты, совместное использование которых обеспечивает безопасность.
Рисунок 2. Предприятие и «поверхность периметра», где ожидаются кибератаки
При переходе на техническое описание ИТ-ландшафта картина изменяется и становится более сложной. При рассмотрении под этим углом зрения система защиты выглядит как набор инструментов, каждый из которых обеспечивает борьбу с угрозами по тому или иному каналу взаимодействия со внешним миром. Особенностью такого подхода является то, что необходимо выделять отдельные функциональные группы и формировать правила для работы системы безопасности. В то же время описание «поверхности атаки» становится в этом случае более детализированным.
Рисунок 3. Выделение функциональных ИТ-групп изменяет картину «поверхности атаки»
Есть также и бизнес-подход (рис. 4) к выстраиванию защиты с опорой на организационную структуру компании. На наружном слое располагается всё относящееся к менеджменту, который формирует бизнес-задачи и отвечает за их исполнение. Следом идёт промежуточный слой, который относится к работе команды надзора: она осуществляет контроль за исполнением текущих задач, которыми заняты бизнес-подразделения, оценивая их с упором на технические знания, понимание текущего уровня защищённости предприятия в целом и оценку рисков для применяемых ИТ-систем. Наконец, внутренний уровень относится к функциональным единицам компании, которые обеспечивают работу самих ИТ-продуктов.
Рисунок 4. Топология бизнес-уровней для системы безопасности компании
Наконец, существует ещё один подход (рис. 5) к оценке того, как выстраивается система ИБ внутри компании. Он связан с детальной проработкой имеющихся аппаратных и информационных активов. Каждому типу актива ставится в соответствие свой класс прикладных продуктов ИБ.
Рисунок 5. Активы компании и средства для их защиты
Культура безопасности внутри компании
Приведённый разбор моделей безопасности предприятий позволяет не только правильно выстроить киберзащиту внутри компании с учётом используемых средств и её организационной структуры, но и сформировать план обучения сотрудников основам ИБ. В совокупности это даёт возможность создать внутри компании единую культуру безопасности. Полученные во время тренингов знания обеспечивают устойчивость существующей ИТ-экосистемы предприятия вне зависимости от модели.
Планировать обучение потребуется с учётом реально существующих актуальных задач и рисков. Необходимо также помнить о контроле эффективности. План обучения должен предусматривать выбор наиболее уместных форм и частоты проведения мероприятий, наиболее подходящей платформы для обучения и т. д.
Отношение к обучению основам ИБ со стороны сотрудников
В 2012 году д-р К. Квальята представила на ежегодной конференции Национального института стандартов и технологий США (NIST) результаты своего исследования, целью которого было выявление основных принципов и условий, которых необходимо придерживаться при обучении основам ИБ для обеспечения наиболее эффективной защиты данных на предприятии.
В исследовании приняли участие 133 респондента. В основном это были представители компаний из США и Индии, хотя также были охвачены организации из Коста-Рики, Австралии, Бельгии и Китая. Опрос проводился среди технических специалистов и администраторов, работа которых в той или иной степени была связана с ИТ. Такой охват позволял получить квалифицированную оценку качества обучения основам ИБ в различных компаниях.
Две трети опрошенных (42 % + 22 %) положительно оценили ту систему безопасности работы с данными, которая применялась в их компании. Пятая часть (20 %) отметили, что не придают этой теме большого значения. Оставшиеся респонденты (14 % и 2 %) заявили, что качество работы применяемой у них системы ИБ разочаровало их.
Рисунок 6. Оценка эффективности системы безопасности, выстроенной в компании (Quagliata, 2012)
Отвечая на вопрос о частотности проводимых тренировок, 50 % опрошенных заявили, что в их компаниях те проводятся один раз в год, 24 % — несколько раз в год. Заметим, что только в 5 % случаев обучение оказалось сугубо добровольным. Отсутствие потребности в подобных тренингах отметили 4 % опрошенных.
Рисунок 7. Оценка периодичности проведения ИБ-тренингов в компаниях (Quagliata, 2012)
При выборе наиболее эффективной формы проведения тренингов подавляющее большинство опрошенных (70 %) заявили, что в их компаниях не ограничиваются только одним определённым форматом.
В то же время многие респонденты отметили, что на тренингах не следует слишком сильно углубляться в технические детали, связанные с ИБ. Оптимальный вариант — ограничиться обсуждением применяемых методик и правил безопасности.
Рисунок 8. Оценка оптимальной формы проведения тренингов (Quagliata, 2012)
В ходе исследования был поставлен вопрос о формах контроля качества полученных навыков. Треть участников (38 %) отметили, что в их компаниях контроль осуществляется через электронный опрос по типовым заданиям в программе тренингов.
Кроме электронной проверки применяются устный (3 %) или письменный (4 %) экзамен, письменный опрос (5 %). Велика (20 %) также доля компаний, где применяются сразу несколько вариантов проверки.
В то же время много (21 %) и таких организаций, где участие в тренингах не предусматривает проведения каких-либо завершающих проверок. В их число не вошли те 5 %, которые заявили, что не знают, предусмотрен в компании какой-либо контроль за результатами участия в тренингах или нет.
Рисунок 9. Виды контроля участия в тренингах по ИБ (Quagliata, 2012)
Темы для обучения
В исследовании К. Квальяты представлен список наиболее часто упоминаемых тем, по которым проводятся тренинги. Он имеет следующий вид (в порядке убывания частотности):
- правила безопасной работы с электронной почтой (65 %);
- выбор паролей (62 %);
- правила работы в интернете (60 %);
- блокировка доступа к компьютеру на время отсутствия пользователя на рабочем месте (56 %);
- правила работы с персональными данными (54 %);
- классификация данных по уровню их требуемой защиты (51 %);
- противодействие методам социальной инженерии (50 %).
Около трети сотрудников проходят обучение также по темам сетевой безопасности и шифрования данных — 35 % и 26 % соответственно.
Почти половина опрошенных (40 %) отметили, что проходили обучение по всем перечисленным темам.
Рисунок 10. Темы обучения сотрудников компаний (Quagliata, 2012)
По мнению исследователя, главной целью тренингов должно стать создание культуры безопасности в компании.
Результаты исследования
- Тренинги по безопасности необходимо проводить не реже одного раза в год.
- Нельзя обучать основам ИБ только новых сотрудников. Следует регулярно проводить тренинги для всего коллектива работников компании.
- Обучение должно быть обязательным. Участие «по желанию» — это неправильный подход.
- Обучение основам ИБ не следует ограничивать только изложением материала. Лучше сочетать его с разъяснениями и демонстрацией примеров из реальной практики. Простого изучения инструкций недостаточно.
- График обучения необходимо прорабатывать заранее с учётом существующих условий, а не формировать спонтанно.
- Необходимо доносить до руководства компании мысль о том, что обучение основам ИБ требует внимания также и с их стороны, поскольку способствует достижению долгосрочных бизнес-целей компании.
Выводы
Построение эффективной системы безопасности нельзя ограничивать только закупкой и внедрением технических средств защиты. Необходимо регулярно проводить обучение сотрудников для их ознакомления с тем, какие методы и формы защиты применяются в организации. Главная цель — выстраивание культуры безопасности внутри компании.
