Защита персональных данных состоит из комплекса технических и организационных мероприятий. Основываясь на практическом опыте, эксперты Cross Technologies дают пошаговое описание эффективного внедрения мер второго типа (организационного характера) путём обучения сотрудников. Представлены рекомендации, которые позволяют разработать эффективный и полезный обучающий курс, соответствующий потребностям бизнеса и разных категорий персонала.
- Введение
- Основные проблемы в обработке персональных данных
- Выбор стратегии
- План тренировок сотрудников
- Гибкий подход к обучению сотрудников
- Грамотный график обучения
- Проверка эффективности обучения
- Выводы
Введение
Исследования в области ИБ неизменно подтверждают, что основным источником утечек персональных данных в компаниях являются рядовые сотрудники: порядка 80% таких инцидентов происходит именно по вине персонала, будь то намеренные действия или случайные ошибки. Получается, главный враг компании — её работники?
На самом деле — нет. Проблема состоит в том, что меры защиты внедряются как факт, и рядовым сотрудникам, которые постоянно обрабатывают персональные данные, зачастую не объясняют, для чего это сделано. В итоге обеспечение безопасности информации начинает выглядеть как очередная бессмысленная рутина. Поэтому накопление знаний и повышение осведомлённости — это хороший способ снизить количество утечек.
Поговорим о существующих проблемах в соответствующей области и о возможном их решении с помощью обучения.
Основные проблемы в обработке персональных данных
Представьте себе ситуацию, когда проводится аудит всех, порой многочисленных — 30, 40, 50! — процессов обработки персональных данных в организации, выпускается отчёт с описанием найденных нарушений и недостатков, а также разрабатывается комплект документов — порядка двадцати штук (без учёта форм для внесения персональной информации работников или клиентов, которые также необходимо будет переработать после проведения внутреннего аудита). И вот благодаря стараниям активного специалиста по защите информации в сложившиеся зрелые процессы обработки персональных данных в компании уже внедряется несколько десятков внутренних распорядительных документов и с десяток новых форм. Естественно, это воспринимается в штыки сотрудниками: с их точки зрения, это — дополнительная нагрузка, способ «подловить» и наказать работника. Ведь не стоит забывать о том, что помимо защиты персональных данных существуют ещё отраслевые стандарты по обеспечению безопасности информации, например банковская тайна, налоговая, врачебная, служебная… и, как правило, нормативная нагрузка на рядового сотрудника становится колоссальной. Неудивительно, если внутри он испытывает «тихий ужас», когда понимает, какому количеству политик, положений, регламентов, инструкций он должен следовать в своей ежедневной работе.
Как же помочь в этой ситуации офицеру безопасности? Ведь он делает благое для компании (а следовательно — и всех сотрудников) дело.
Как заставить работать механизмы организационной защиты персональных данных?
Ответ прост: заставлять нельзя. Наиболее эффективным будет тот труд, который является осознанным и мотивированным. И если специалист по информационной безопасности понимает, зачем он защищает персональные данные, то дело — за малым: объяснить это всем сотрудникам компании. Поначалу кажется, что путь будет тернист и долог; однако первый шаг мы с вами уже сделали — осознали, что проведение обучения в компании необходимо.
Выбор стратегии
В первую очередь следует оценить свои силы и возможности: имеются ли у подразделения, занимающегося защитой персональных данных, временные и человеческие ресурсы на обучение всех сотрудников компании? Если ответ положителен, то можно смело переходить к следующему шагу. Если же ресурсов не хватает, то здесь придётся немного задержаться и выбрать компанию, которая сможет провести обучение. Универсального списка таких компаний нет, но есть несколько подсказок относительно того, как оценить эффективность предлагаемых услуг до начала первого занятия.
Самым действенным способом является получение рекомендаций от коллег по цеху: наверняка ваша компания — не единственная в своей отрасли, и, скорее всего, у топ-менеджмента или руководителей направлений есть знакомые специалисты в «соседних» компаниях. Вполне можно для начала попросить у них помощи и узнать, проходил ли кто-либо внутреннее обучение силами сторонних партнёров. Насколько им это понравилось? Насколько это было эффективно? Какова была стоимость обучения?
Кстати, о стоимости: основной проблемой при защите персональных данных в частности и при построении системы защиты в целом является бюджетирование. Как правило, бизнес не всегда охотно (и тут мы не можем его винить) выделяет деньги на защиту информации, так как не видит прямой выгоды от такого вложения. Здесь вам как офицеру безопасности придётся употребить дипломатию: где-то оперировать успешным опытом коллег, где-то — штрафами в сфере защиты персональных данных, а где-то — провалами в бизнесе и возникающими из-за этого репутационными рисками. Небольшая подсказка: в случае согласования бюджета на построение системы защиты информации лучше делать акцент на том, что целью её является не получение прибыли, а сохранение уже существующих активов.
Основным достоинством приглашения внешней организации для обучения сотрудников является экономия вашего времени. Однако не стоит забывать, что любой внешний проект требует тщательного внутреннего контроля. В свою очередь, проведение обучения собственными силами хорошо тем, что вы как никто другой знаете процессы обработки персональных данных в компании; к тому же вы, вероятнее всего, лично знакомы с большинством людей, которые участвуют в этих процессах, и к вам они будут относиться более лояльно и внимательно, нежели ко внешним организациям.
Самый простой способ рассчитать экономическую эффективность от приглашения внешней организации — подсчёт ваших трудозатрат на проведение обучения. Если «самообразование» будет стоить дороже, а у вас есть альтернатива в виде хорошего интегратора, то, на наш взгляд, выбор очевиден.
План тренировок сотрудников
Прежде чем создать план обучения и начать его наполнение, необходимо понять, на кого он рассчитан. Практически в любой организации можно выделить несколько групп сотрудников:
- топ-менеджмент;
- информационная безопасность;
- ИТ-служба;
- иные сотрудники.
Вне зависимости от того, сколько человек работает в вашей компании, деление на четыре группы поможет вам составить наиболее эффективное наполнение обучающего курса. Вот весьма универсальный план обучения, который подойдёт для представителей всех групп:
Часть 1. Введение
- Структура Федерального закона №152-ФЗ: что и зачем регулируют закон и подзаконные акты.
- Что следует считать персональными данными.
- Автоматизированная и неавтоматизированная обработка данных.
- Ответственность за нарушение Федерального закона №152-ФЗ.
- Отраслевая специфика обработки персональных данных.
Часть 2. Практические аспекты защиты
- Обследование.
- Разработка и внедрение документации.
- Построение системы защиты.
- Как защищать персональные данные после внедрения всех процедур.
- Истории из практики.
Часть 3. Прохождение проверок Роскомнадзора
- Сценарий проверки: от получения приказа о начале проверки до вручения предписания по завершению.
- Как работать с результатами проверки.
- Истории из практики.
Гибкий подход к обучению сотрудников
Несмотря на универсальность самого плана, акценты, расставленные в курсе, должны меняться в зависимости от группы. Здесь вам необходимо проявить творческий подход или даже провести предварительное анкетирование и уточнить у представителей различных групп, что именно им было бы интересно узнать в рамках проводимого обучения.
Если у ваших коллег возникают трудности с ответом на этот вопрос, то мы можем дать вам небольшую подсказку. Как правило, с бизнесом принято разговаривать на языке денег. Выше уже упоминалось, что за нарушения в сфере защиты обработки персональных данных следуют штрафы, но часто для крупного и даже среднего бизнеса они не очень велики. Поэтому основная проблема при утечках персональных данных — это репутационные риски и потеря клиентов. В курсе для топ-менеджмента мы рекомендуем делать акцент именно на этом. Полезно будет привести в пример случаи утечек в компаниях вашей отрасли и смежных с ней, а также результаты различных судебных разбирательств и последствия, с которыми столкнулись компании-нарушительницы.
При составлении курса для представителей подразделения информационной безопасности и ИТ можно сделать акцент на том, что профессиональный комплексный подход к вопросу защиты персональных данных значительно снизит количество инцидентов в этой области и, как следствие, нагрузку на данные подразделения в части обработки инцидентов, а также трудозатраты на устранение их последствий. Таким образом, вместо того чтобы внедрять всё новые и новые средства защиты от утечек, вы защищаете себя иным образом — через повышение уровня осведомлённости коллег.
В курсе для последней группы — иных сотрудников, которые непосредственно осуществляют обработку персональных данных, — основной акцент стоит сделать на том, зачем внедряются все эти процедуры защиты. Сотрудники должны понимать, что такое персональные данные и для чего их необходимо защищать. Также людям важно иметь представление о том, в чьих интересах они действуют, когда следуют требованиям тех самых двадцати новых распорядительных документов. Основная цель курса для данной группы — повышение уровня осведомлённости и осознанности своих действий.
Однако за этим простым постулатом кроется ряд проблем. Основная из них — это человеческий фактор: во многих компаниях формирование тех или иных бизнес-процессов происходит месяцами или даже годами, и когда на горизонте появляется офицер информационной безопасности с горящими глазами, сообщающий, что отныне мы все будем жить совершенно по-другому, то, естественно, возникает отторжение. Поэтому обучение данной группы должно проходить в лёгкой игровой форме. Используйте все возможности прогресса, до которых сможете дотянуться: придумайте сценарии для обучающих роликов, закажите забавные плакаты (кстати — очень эффективный способ помочь людям запомнить простые аспекты информационной безопасности вроде необходимости блокировать рабочие компьютеры и запрета на хранение паролей в открытом виде), создайте увлекательные презентации, проработайте интересные случаи из практики, в том числе — российских или иностранных судебных органов. В конце концов, можно устроить самый настоящий квест по защите персональных данных, объединив его с тимбилдингом (ищите союзников в кадровой службе или у иных коллег, которые занимаются организацией массовых мероприятий).
Основная мысль, которую необходимо донести до каждого сотрудника во время обучения, — идея о том, что у вас есть общая цель, и состоит она не в выявлении «нерадивых» работников, а в повышении общего уровня безопасности компании и, как следствие, в снижении потерь от утечек и повышении лояльности бизнеса к своим подчинённым: ведь если сотрудники ответственно относятся к информационным активам, которыми владеет компания, то и бизнес будет благожелательно относиться к персоналу.
Грамотный график обучения
Помимо составления плана рекомендуется также подумать над его эффективным графиком. Как правило, сотрудникам очень сложно покинуть свои рабочие места на несколько часов и прослушать курс, который рассчитан на целый день: это не только затормозит бизнес-процессы, но и вызовет негативную реакцию. Поэтому мы предлагаем вам разбить курс на несколько уроков — например, по 2 часа, что является не слишком большой нагрузкой — и проводить этот курс раз в два дня. Таким образом для каждой группы обучение займёт всего одну неделю, если проводить его в понедельник, среду и пятницу, и у ваших коллег будет достаточно времени, чтобы осознать и усвоить материал, а также задать интересующие вопросы. С таким распорядком вы сможете обучить все четыре группы всего лишь за месяц.
Если число сотрудников вашей компании велико (например, от нескольких сотен до нескольких тысяч человек), то четвёртую группу необходимо составить из руководителей направлений, которые в дальнейшем передадут полученные знания своим подчинённым.
Проверка эффективности обучения
Здесь мы не будем отступать от цикла PDCA (англ. Plan-Do-Check-Act — планирование, действие, проверка, корректировка), разработанного Уолтером Эндрю Шьюхартом, консультантом по теории управления качеством.
Следующим шагом после проведения обучения является проверка его эффективности. Сразу оговоримся, что у большинства людей ещё со школьных времён остался страх перед всевозможными контрольными, тестовыми, проверочными работами и фразой, произносимой за 5 минут до конца урока: «А теперь достаём двойные листочки…». Действенным является подход, когда преподаватель получает обратную связь в конце каждого обучающего блока и в конце всего курса в целом; поэтому не забудьте выделить время после каждой лекции для вопросов и обсуждения непонятных моментов — таким образом ваши ученики получат возможность применить полученные знания в мини-дискуссиях и сразу уяснить какие-либо спорные моменты.
После завершения всего курса в целом неплохо было бы разослать каждому слушателю материалы, которые использовались для его обучения, а также некую памятку с основными тезисами и ссылками на документы, с помощью которых можно более подробно ознакомиться с базой знаний по защите персональных данных или освежить в памяти те или иные моменты.
Возьмите себе на вооружение и регулярные рассылки: полезно раз в квартал направлять всем работникам небольшую памятку по парольной политике, политике чистого стола, правилам уничтожения бумажных документов, требованиям по блокировке рабочих станций и т.п., а также контрольный список (чек-лист), с помощью которого каждый работник может проверить, насколько хорошо он выполняет требования информационной безопасности.
Для беспристрастной оценки результативности проведённого курса вам необходимо некоторое время, так как лучшим показателем является снижение количества инцидентов, связанных с утечками персональных данных. Для получения таких сведений вы можете пользоваться несколькими инструментами, например DLP (системой предотвращения утечек информации): практически все современные решения этого класса обладают модулем составления отчётности. Сравните и проанализируйте статистику инцидентов до проведения курса, спустя месяц после него, спустя 3 месяца и через полгода. Это — один из самых эффективных способов узнать, достигли ли вы своей цели, или требуются какие-то дополнительные мероприятия.
Ещё одним интересным способом определить, усвоили ли ваши коллеги курс, является социальная инженерия. Как бы странно это ни звучало, вам необходимо «поиграть в шпиона», чтобы понять, действительно ли люди стали осознавать важность защиты персональных данных и соблюдают ли они требования по защите информации. Способов проверить это — великое множество. Вновь проявите своё творческое начало: попробуйте пройти в офис без пропуска, сославшись на занятые руки и попросив подержать вам дверь, оставьте на кухне соблазнительную флешку с безобидным вирусом, положите распечатанные документы с воображаемыми конфиденциальными данными, снабдив их каким-нибудь привлекательным заголовком вроде «Зарплатные ведомости топ-менеджмента». Вы можете даже пригласить одного из коллег в качестве соискателя в отдел кадров и попросить его выяснить конфиденциальные данные, которые не должны быть доступны третьим лицам. Поле для деятельности здесь безгранично, а идеи можно черпать из статей об утечках информации в различных компаниях: изучите, какими способами пользовались злоумышленники, чтобы получить желаемое.
Безусловно, вы можете и провести тесты для своих учеников, однако мы рекомендуем делать это обезличенно. Попросите коллег анонимно написать обратную связь и обязательно скорректируйте курс с учётом выданных вам замечаний — ведь вам предстоит провести его ещё не раз. Как правило, такое обучение полезно и для каждого сотрудника при приёме на работу (вы можете автоматизировать данный процесс — обратите внимание на обучающие программы, в которые вы можете загрузить материалы), и раз в год в виде коллективного мероприятия.
Выводы
Обучение сотрудников — действенный способ улучшить организационную защиту персональных данных в компании. Во многих случаях разработать обучающий курс можно самостоятельно: затраты часто невелики, а знание внутренних бизнес-процессов сделает материал более предметным и полезным для слушателей. Главное — грамотно составить план и график, а также учесть особенности аудитории. Проведя курс, не забудьте оценить его эффективность и провести свою работу над ошибками. Совершенствуйтесь: обучая кого-то, вы сами получаете уникальную возможность научиться новому.