Сертификат AM Test Lab
Номер сертификата: 294
Дата выдачи: 29.06.2020
Срок действия: 29.06.2025
- Введение
- Учебные программы по повышению осведомлённости: проблемы и перспективы
- Системные требования Kaspersky ASAP
- Функциональные возможности Kaspersky ASAP
- Работа с Kaspersky ASAP
- 5.1. Ролевая модель
- 5.2. Управление процессом обучения
- 5.2.1. Управление пользователями
- 5.2.2. Управление группами пользователей
- 5.2.3. Запуск обучения сотрудников
- 5.3. Мониторинг результатов
- 5.4. Процесс обучения
- Выводы
Введение
В условиях постоянного совершенствования угроз и способов борьбы с ними самым важным элементом системы информационной безопасности (ИБ) организации всё ещё остаётся человек. Обеспечение конфиденциальности, целостности и доступности значимых корпоративных данных существенным образом зависит от поведения сотрудника как на рабочем месте, так и за пределами контролируемой зоны. Отведённая ему ключевая роль обусловлена противоречием, заложенным в человеческой природе: склонность к совершению непреднамеренных просчётов и подверженность манипулированию со стороны третьих лиц сочетается с высоким потенциалом непрерывного и эффективного обучения на собственных и чужих ошибках.
Недостаточно высокий уровень осведомлённости ИТ-персонала в сфере ИБ неизбежно приводит к реализации различных рисков, включая самые тривиальные: оставленный без присмотра конфиденциальный документ, USB-носитель неизвестного происхождения, подключённый к рабочему компьютеру, и т. д. Злоумышленники со своей стороны тоже небезуспешно эксплуатируют проблему «человеческого фактора» — с помощью фишинга, вредоносных программ и методов социальной инженерии.
В целях информирования сотрудника о различных негативных последствиях компания может прибегнуть к реализации комплекса мер, направленных на повышение осведомлённости в области кибербезопасности. Следует также отметить, что в ряде случаев эти меры должны приниматься в соответствии с нормативными требованиями. Например, Постановления Правительства РФ № 313 от 16 апреля 2012 г., № 541 от 15 июня 2016 г., № 584 от 27 июня 2016 г., Положения Банка России № 382-П и № 552-П распространяют необходимость профессиональной переподготовки в сфере ИБ при известных условиях на весьма широкий круг лиц, включая:
- руководителей и сотрудников служб безопасности и защиты информации,
- представителей органов государственной власти и местного самоуправления,
- инженерно-технических работников, системных и сетевых администраторов, администраторов безопасности,
- лицензиатов (соискателей) ФСТЭК России и ФСБ России.
Деятельность по повышению осведомлённости в области кибербезопасности часто позиционируется как отдельная исследовательская область ИБ, которая имеет целью решение проблемы «человеческого фактора» за счёт привития персоналу организации правил ответственного поведения, согласующегося с принципами обеспечения ИБ. Предполагается, что для этого нужно мотивировать сотрудника применять на практике полученные знания и убеждать его в важности ответственного поведения.
Учебные программы по повышению осведомлённости: проблемы и перспективы
Если правильность выбранного направления и необходимость прикладывания соответствующих усилий сейчас не вызывает сомнений, то вопрос выбора методов и средств достижения поставленной цели оставляет пространство для манёвра. Например, типичная программа повышения квалификации в области технической защиты информации, реализуемая на базе крупного вуза, содержит в себе тезис о том, что знания должны приобретаться в основном посредством проведения лекций, семинаров и самостоятельной работы.
Практические занятия «с привлечением специалистов высшего уровня квалификации» рассматриваются при этом не более чем в качестве рекомендованной меры. Обращает на себя внимание также и устойчивая формула, регулирующая режим: «4 часа учебных занятий с преподавателем и 2 часа самостоятельной работы в день 3 раза в неделю». Таким образом, фактическая реализация программы повышения осведомлённости зачастую сводится к прослушиванию персоналом курса лекций по выбранной теме ИБ в течение заданных временных отрезков.
Между тем опыт показывает, что предложение сотруднику массива теоретических сведений едва ли может сколь-нибудь значительно изменить его поведение при выполнении должностных обязанностей. Обобщённые данные относительно эффективности различных методов обучения взрослых, исчисляемой как усреднённый процент усвоения знаний, показывают, что эффективность лекционного формата не превышает 10 %. В то же время отдача от совершения обучающимся практических действий с немедленным применением полученных знаний может достигать 90 %.
Применение научных подходов к решению проблемы обучения взрослых практикуется вот уже более 50 лет, и за это время был сформулирован ряд основополагающих принципов:
- индивидуальный подход к обучению с учётом частных образовательных потребностей, уровня подготовки, профессионального опыта, психологических особенностей личности обучающегося,
- высокий уровень самостоятельности,
- участие обучающегося в работе по планированию, реализации, оценке процесса обучения,
- использование полученных знаний и навыков в практической деятельности.
Очевидно, что воплощение указанных принципов требует обеспечить высокий уровень автоматизации процесса обучения, поскольку вручную выстроить эффективную программу и контролировать ход её реализации чрезвычайно трудно. Не стоит забывать и о том, что содержание учебного курса должно в каждый момент времени быть адекватно постоянно изменяющимся внешним условиям. Это означает, что поддержание актуальности программы обучения составляет отдельную весьма трудоёмкую задачу.
Перечисленные факторы предопределили устойчивый рост рынка автоматизированных платформ для повышения осведомлённости в области кибербезопасности. Существующие на рынке платформы представляют собой интерактивные программные модули, готовые к немедленному использованию либо в формате интернет-сервиса, либо в виде клиентской системы управления обучением, развёртываемой на собственной площадке организации. Мы уже проводили обзор рынка программ по повышению осведомлённости в сфере ИБ (Security Awareness).
Хотя подходы к реализации процесса обучения, реализуемые разными производителями, могут отличаться в деталях, все они сходятся в необходимости достижения основной цели — поддержки корпоративных требований в части менеджмента рисков ИБ.
Kaspersky Automated Security Awareness Platform (Kaspersky ASAP) от «Лаборатории Касперского» относится к числу относительно молодых, но быстро набирающих популярность автоматизированных платформ для повышения осведомлённости о кибербезопасности. Производителем заявлено, что Kaspersky ASAP предлагает новый подход к организации тренингов по защите от киберугроз. Цель настоящего обзора заключается в том, чтобы препарировать содержание предлагаемого нового подхода.
Системные требования Kaspersky ASAP
Для работы с Kaspersky ASAP необходимо обеспечить сотрудников рабочими местами в соответствии с системными требованиями, представленными в табл. 1.
Таблица 1. Системные требования платформы Kaspersky ASAP
Характеристика | Администраторы | Конечные пользователи |
ОС | Для настольных компьютеров: Windows 10, Windows 7, macOS* Для мобильных устройств: iOS*, Android 5+ | |
Браузер | Длянастольныхкомпьютеров: Microsoft Edge*, Internet Explorer 11, Firefox*, Google Chrome* Длямобильныхустройств: Safari (macOS)*, Safari (iOS), Google Chrome (Android) | |
Почтовый клиент | Длянастольныхкомпьютеров: Apple Mail 10+, Microsoft Outlook 2010+ (Windows, macOS) Для мобильных устройств: Mail.App (iPhone SE и более поздние модели), Outlook (для Google Pixel, iPhone 7 и более поздних моделей) Веб-клиенты: Gmail, Google Apps, Office 365, Outlook.com, Yahoo! | - |
Процессор | 1,5 ГГц | 1 ГГц |
ОЗУ | 2 ГБ | 1 ГБ |
Пропускная способность сети | 1 Мбит/с | |
Свободное место на диске | 20 МБ |
* последняя версия ПО.
Функциональные возможности Kaspersky ASAP
План обучения, принятый в Kaspersky ASAP, состоит из последовательно изучаемых тем в соответствии с целевым уровнем обучения, который настраивается администратором. На диаграмме ниже каждый сектор представляет конкретную тему кибербезопасности.
Рисунок 1. План обучения основам кибербезопасности в Kaspersky ASAP
Краткое описание тем обучения приведено в табл. 2.
Таблица 2. Содержание различных тем кибербезопасности в Kaspersky ASAP
Тема кибербезопасности | Описание темы |
Пароли и учётные записи | Способы хранения и создания паролей |
Электронная почта | Ссылки, вложения, фишинг, учётная запись электронной почты и пароли, использование электронной почты для различных регистраций, приёмы социальной инженерии, которые используют злоумышленники с помощью электронной почты |
Веб-сайты и интернет | Ловушки и опасности, содержащиеся на злонамеренных (или законных, но скомпрометированных) веб-сайтах, на которые пользователи должны обращать внимание: ссылки, загрузка файлов, установка программного обеспечения, регистрация и вход, платежи, шифрование и SSL |
Социальные сети и мессенджеры | Различные методы, используемые киберпреступниками (с учётом необходимости предоставления доступа к учётным записям и ссылкам, файлам, приложениям, защите конфиденциальных и личных данных) |
Безопасность ПК | Различные аспекты безопасного использования компьютера: обновления и антивирусы, программное обеспечение, файлы, портативные носители информации, признаки вредоносных программ, резервное копирование, учётные записи и права |
Безопасность мобильных устройств | Ряд вопросов кибербезопасности при использовании мобильных устройств: пароли, обновления и антивирусы, программное обеспечение и приложения, файлы, ссылки, Bluetooth и USB, Wi-Fi, резервное копирование, учётные записи и права |
Защита конфиденциальных данных | Классификация, защита паролями, шифрование, распространение / совместное использование, сбор / хранение / удаление и случайное раскрытие конфиденциальных данных, обеспечение конфиденциальности при использовании онлайн-связи |
GDPR | Базовые принципы General Data Protection Regulation — регламента по защите персональных данных гражданина Европейского союза и Европейской экономической зоны |
Каждая тема обучения разделена на блоки, соответствующие уровням программы. Выбор необходимого уровня обучения определяется технологическими особенностями обработки информации конкретным сотрудником, а также степенью его влияния на бизнес-процессы организации — и, как следствие, величиной потенциального ущерба от нарушения этим работником установленных правил обеспечения кибербезопасности:
- начальный — подходит для сотрудников, которым достаточно уметь противостоять массированным (дешёвым и лёгким) атакам;
- элементарный — для тех сотрудников, которым стоит научиться противодействовать массированным атакам в адрес конкретных жертв;
- средний — может быть выбран, если в процессе работы сотрудников важно противостоять хорошо подготовленным нападениям на небольшую группу целей;
- продвинутый — подойдёт для сотрудников, которым стоит обладать навыками противодействия атакам, нацеленным на конкретные компании и конкретных людей. Уровень находится в разработке и ожидается к IV кварталу 2020 года.
Работа с Kaspersky ASAP
Ролевая модель
Все административные полномочия по управлению платформой Kaspersky ASAP делятся на четыре роли:
- суперадминистратор — управляет основной учётной записью, остальными администраторами, настройками компаний, лицензионными ключами и квотами, фактически может быть руководителем компании;
- администратор компании — управляет аккаунтом компании и обучением в ней, а также может определять полномочия своих коллег внутри этой учётной записи;
- менеджер обучения — управляет обучением внутри компании и не имеет доступа к пользовательским отчётам;
- наблюдатель — может только просматривать параметры обучения, но не изменять их. У него есть доступ к пользовательским отчётам.
Роль суперадминистратора создаётся автоматически при добавлении компании на платформу и назначается её создателю. Каждый администратор видит информацию и может управлять учётными записями только в пределах своей компании.
Управление процессом обучения
Управление пользователями
Для начала работы с платформой администратор, действующий от лица компании, должен добавить учётные записи пользователей, которым необходимо обучение. Доступны два способа это сделать: вручную и автоматически (путём импорта из XLSX-файла).
При создании пользователя вручную необходимо заполнить ряд обязательных полей, показанных на рис. 2.
Рисунок 2. Добавление учётной записи пользователя в Kaspersky ASAP
Для импорта списка пользователей используется шаблон, который доступен на платформе в настройках компании. При этом независимо от способа добавления учётных записей возможно расширение перечня полей произвольными параметрами.
Управление группами пользователей
Обучение в Kaspersky ASAP организовано по группам. По умолчанию в системе присутствуют следующие группы с предварительно заданными параметрами обучения:
- Низкий риск. В эту группу рекомендуется добавлять коллег с ограниченным доступом к корпоративным IT-системам: рабочих, водителей, секретарей, сотрудников кол-центров и т. д.
- Средний риск. Эта группа предназначена для специалистов, которые полноценно работают в корпоративной сети, но не имеют доступа к конфиденциальной информации: редакторов, маркетологов, инженеров, менеджеров проектов и т. д.
- Высокий риск. В эту группу рекомендуется добавлять сотрудников, работающих с конфиденциальной информацией и личными данными, а также имеющих административный доступ к своим рабочим компьютерам и другим корпоративным системам: специалистов службы поддержки, юристов, программистов, врачей и т. д.
Администратор может работать с этими группами, а также менять и удалять их или добавлять новые.
У каждой группы пользователей есть следующие параметры (рис. 3):
- перечень тем — определяет, какие темы должны попасть в программу обучения членов группы;
- целевой уровень — определяет, какой объём знаний должны освоить учащиеся из группы по каждой теме. Когда учащийся успешно доходит до целевого уровня, его обучение в группе считается завершённым. Чем выше целевой уровень, тем больше знаний должны будут усвоить учащиеся из группы и тем больше времени займёт обучение;
- интенсивность обучения — определяет, сколько времени пользователи из группы должны тратить на обучение. Если интенсивность ограничена, то она может принимать значения от 10 до 30 минут в неделю;
- календарный план, даты начала и окончания — параметры, вычисляемые автоматически при старте обучения группы.
Рисунок 3. Создание группы в Kaspersky ASAP
Пример плана обучения представлен на рис. 4.
Рисунок 4. План обучения группы в Kaspersky ASAP
Распределять пользователей по группам также возможно вручную либо автоматически — с помощью созданных администратором правил.
Рисунок 5. Добавление правила в Kaspersky ASAP
Запуск обучения сотрудников
Сформировав группы и определив настройки для каждой из них, необходимо выбрать те, для которых следует запустить учебный процесс. При этом возможно управление датой начала обучения (рис. 6).
Рисунок 6. Запуск обучения в Kaspersky ASAP
Если появились новые кандидаты на обучение, а лицензий на всех не хватает, нужно либо докупить дополнительные, либо сократить число одновременно обучающихся. При выборе второго варианта можно приостановить работу нескольких пользователей. Когда места вновь освободятся, те, чьё обучение было приостановлено, смогут продолжить его.
После запуска обучения пользователям рассылаются приглашения на адреса электронной почты, указанные в настройках учётных записей (рис. 7).
Рисунок 7. Приглашение на обучение в Kaspersky ASAP
Мониторинг результатов
После начала обучения администратор может отслеживать успехи учащихся с помощью виджетов контрольной панели (рис. 8).
Рисунок 8. Контрольная панель в Kaspersky ASAP
Здесь показана основная статистика, включающая имена отстающих и темы, в которых они испытывают трудности. Администратору доступен переход из виджета к более детальной информации по группе или показателю. При необходимости система может разослать мотивационные сообщения или предупреждения по хранящимся в ней шаблонам.
Прогресс обучения группы или конкретного пользователя можно просмотреть также из свойств группы или пользователя с возможностью экспорта детальной информации в форме отчёта.
Рисунок 9. Отчёт по пользователю в Kaspersky ASAP
Формирование отчётов полезно, например, в случаях, когда существующие регламенты компании подразумевают необходимость подтверждения результатов обучения или нужно предоставить информацию о текущей ситуации руководству для дальнейшего обсуждения (в том числе — с самими обучающимися).
Процесс обучения
Пользователь имеет доступ к личному кабинету и может просмотреть план работы (рис. 10).
Рисунок 10. Личный кабинет обучающегося в Kaspersky ASAP
Обучение идёт вплоть до достижения целевого уровня, заданного для группы пользователей. Например, если для группы в качестве целевого задан третий уровень (средний), пользователю необходимо пройти начальный и элементарный этапы, а затем собственно средний.
Каждый учебный модуль начинается с нескольких теоретических уроков (рис. 11). Как правило, в рамках модуля нужно изучить от 6 до 11 таковых. Впрочем, если пользователь уверен, что знает тему на должном уровне, он может приступить к тестированию и без прохождения теоретической части (если данная возможность в явном виде не запрещена администратором).
Рисунок 11. Пример теории на начальном уровне в Kaspersky ASAP
Теория в рамках урока сменяется практическими заданиями, предлагающими пользователю проверить усвоение изученного, что не даёт относиться к учёбе небрежно.
Рисунок 12. Пример задания на начальном уровне в Kaspersky ASAP
По результатам изучения модуля пользователи проходят тестирование. Если тест сдан успешно, теоретические уроки из модуля считаются пройденными. В противном случае тест становится доступным через семь дней после того, как учащийся пройдёт теорию.
Пересдать после неудачной попытки можно только через три дня (это не касается тестов, сдаваемых экстерном).
Также в процессе обучения учащийся получает электронное письмо, которое похоже на фишинговую атаку, но не наносит никакого вреда. Если он сделает то, что предлагается в письме, например перейдёт по ссылке, испытание имитацией атаки будет провалено. Если учащемуся не удалось успешно отразить имитацию атаки, уровень не считается пройденным, а если сотрудник просто её не заметил, то она будет проведена повторно через три дня.
Рисунок 13. Имитация фишинговой атаки в Kaspersky ASAP
Платформа подводит итоги и передаёт информацию о результатах учащимся и руководителю по обучению.
Чтобы завершить уровень и получить сертификат, учащемуся необходимо успешно пройти все теоретические уроки, тесты и имитации атак на этом уровне.
Если пользователь достиг заданной администратором цели, он получает сертификат, доступный в разделе «Мои достижения» (рис. 14).
Рисунок 14. Полученные сертификаты в Kaspersky ASAP
При желании пользователь может обратиться к истории прохождения уроков, чтобы самостоятельно оценить выполненный объём работы и успехи (рис. 15).
Рисунок 15. История пройденных уроков в Kaspersky ASAP
Выводы
По различным авторитетным оценкам более 80 % всех инцидентов кибербезопасности обусловлены влиянием «человеческого фактора». Промышленные предприятия вынуждены затрачивать значительные средства на восстановление ресурсов после нарушений безопасности, вызванных действиями сотрудников. При этом типовые программы академического образования, призванные предотвращать такие инциденты, демонстрируют низкий уровень эффективности. Как правило, прохождение такого обучения не позволяет сформировать у персонала организации поведенческие стереотипы, соответствующие базовым принципам ИБ.
Осознавая недостатки традиционного образования, компании по всему миру пытаются внедрять собственные программы повышения осведомлённости сотрудников о киберугрозах, но и в этом случае обучение и его результаты зачастую оставляют желать лучшего. Чаще всего со сложностями сталкиваются предприятия малого и среднего бизнеса, поскольку им недостаёт опыта и имеющихся образовательных ресурсов для того, чтобы выработать удовлетворительные решения в следующих направлениях:
- постановка целей и планирование обучения,
- разработка режима обучения, который не отнимал бы у сотрудников чрезмерного количества времени при сохранении должного уровня эффективности,
- разработка формы отчётности, позволяющей отслеживать процесс достижения целей,
- обеспечение приемлемого уровня мотивации сотрудников.
Испытывают трудности даже те организации, в которых повышением осведомлённости занимаются выделенные рабочие группы.
«Лаборатория Касперского» предлагает собственную автоматизированную платформу для повышения осведомлённости о кибербезопасности — Kaspersky ASAP. Она представляет собой онлайн-инструмент, позволяющий сформировать и закрепить навыки безопасной работы. Реализованные в Kaspersky ASAP функции и автоматизация процесса обучения призваны оказать организациям поддержку на всех этапах: от постановки цели до оценки эффективности.
В основу обучения положена симуляция происходящих на практике событий и осознание сотрудниками личной значимости кибербезопасности. Цель платформы — сформировать навыки, а не только передать знания, поэтому практические задания — неотъемлемый компонент каждого модуля. Различные типы упражнений поддерживают интерес пользователей к обучению и стимулируют их осваивать навыки безопасного поведения.
Достоинства:
- Полностью автоматизированный процесс обучения, построенный в форме коротких уроков (от 2 до 10 минут) на различные актуальные темы в игровом формате.
- Наличие образовательных программ для различных уровней: платформа определяет набор навыков, необходимых определённому сотруднику, в соответствии с его профилем риска и выстраивает график прохождения программы.
- Персонализированный подход, в рамках которого сотрудники получают только необходимые знания в удобном для них темпе.
- Разнообразное содержание уроков, включающее тесты, симуляторы фишинговых атак, интерактивные упражнения, мотивационные обращения.
- Последовательное прохождение обучения шаг за шагом, от простого к сложному, с постоянным закреплением пройденного материала.
- Возможность выбора российских серверов для хранения данных обучения.
- Чат с командой поддержки Kaspersky ASAP, наличие постоянной обратной связи.
- Предоставление бесплатной пробной версии платформы.
- Возможность использования платформы для обучения сотрудников организаций любого размера.
- Общедоступная «дорожная карта» развития платформы, постоянное добавление новых модулей.
Недостатки:
- Относительно невысокий уровень индивидуализации в части добавления пользовательских учебных материалов и других собственных файлов, новых учебных тем, добавления / редактирования контрольных вопросов с учётом специфики организации и пр.
- Отсутствие возможности развёртывания платформы на корпоративной площадке организации.
- Отсутствие полноценной интеграции со службами каталогов.