Блог
19.08.2016
24.05.2016
14.08.2015
15.05.2015
16.04.2015
27.03.2015
20.11.2014
13.11.2014
Человек как основное звено обеспечения информационной безопасности

Процесс построения стойкой системы управления информационной безопасности организации – это комплексная задача, которая состоит из множества звеньев: организация процесса, разработка методологии, внедрения средств защиты и пр., при этом человеческий фактор играет одну из ключевых ролей. Именно офицер безопасности настраивает средства защиты, именно администратор настраивает профильные системы, и именно обычные сотрудники используют их в своей работе, руководствуясь нормативными документами. Соответственно здесь могут возникать как факты ошибок сотрудников и деструктивных действий в результате халатности или незнания, так и злонамеренной деятельности (в данной статье этот случай мы рассматривать не будем).

Ошибки персонала при работе с информационными системами приводят к значительным последствиям, порой, даже большим чем целенаправленные атаки на информационную инфраструктуру.

Бороться с ошибками персонала можно с помощью организации процесса повышения осведомленности и донесения важности вопросов обеспечения информационной безопасности.

Мероприятия по повышению осведомленности персонала по вопросам информационной безопасности являются также требованиями законодательства РФ и специализированных стандартов:

  • Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»;
  • Комплекса Стандартов Банка России (СТО БР ИББС);
  • Положения Банка России от 09.07.2012 г. №382-П;
  • Международного стандарта ISO 27001;
  • и др.

 

                      Повышение осведомленности персонала

 

Процесс повышения осведомленности по вопросам информационной безопасности предполагает периодическое доведение до сотрудников информации об опасностях, уязвимостях, последствиях инцидентов,об организации работы, т.е. всего того, что может способствовать повышению общего уровня защищённости информационной инфраструктуры организации.

Порядок организации мероприятий по повышению осведомленности по вопросам  информационной безопасности предполагается следующий:

1. Определение «узких» мест (тематик), в которых слабым звеном является человеческий фактор, например:

  • использование паролей (создание, сложность и безопасность);
  • защита от вредоносного программного обеспечения;
  • работа с системой электронной почты (появление электронных писем от незнакомых людей и открытие вложений);
  • использование сети Интернет;
  • управление инцидентами (кому звонить и что делать в случае инцидента);
  • использование корпоративных систем;
  • персональная ответственность пользователей и соглашение о неразглашении информации;
  • и прочее.

2. Определение формы программы осведомленности:

  • инструктаж;
  • обучение (ниже рассмотрим более подробно);
  • рассылка по системе электронной почты;
  • средства наглядной агитации (видеоролики, плакаты);
  • и прочее.

3. Разработка (наполнение контентом) программы осведомленности (памятки, презентации, настройка системы управления обучением и т.д.);

4. Определение формы проверки полученных знаний (тестирование, практическое моделирование и пр.).

Для построения комплексного и регулярного процесса повышения осведомленности сотрудников рекомендуется следовать циклу Демминга: Планирование – Реализация – Проверка – Совершенствование. Также необходимо оперативно разрабатывать / дорабатывать материалы и организовывать информирование, в случае возникновения инцидента информационной безопасности в организации.

В рамках проведения мероприятий по повышению осведомленности по вопросам информационной безопасности необходимо учитывать следующие нюансы:

1. Периодичность проведения (будет зависеть от тематики и формы);

2. Актуальность информации (необходимо периодическое обновление информации в соответствии с меняющимися бизнес-процессами, инцидентами и законодательством);

3. Оценка эффективности (составление отчетности и ведение статистики необходимой для постоянного контроля процесса).

Для организации построения эффективного процесса повышения осведомленности персонала организации по вопросам информационной безопасности необходимо закрепить все мероприятия (периодичность проведения, тематики, ответственные и др.) во внутренних документах организации (политиках, положениях, планах т.д.).

 

               Обучение персонала

 

Обучение является одной из форм процесса повышения осведомленности персонала по вопросам информационной безопасности и может быть как корпоративным (внутри организации, преимущественно собственными силами) так и в специализированных учебных центрах (очное, заочное или дистанционное).

Внутрикорпоративное обучение хорошо походит для донесения общих моментов работы в рамках определенных (узконаправленных) задач, например: организация обработки персональных данных, работа сотрудников в соответствии с режимом коммерческой тайны, безопасная работа операционных работников с системами дистанционного банковского обслуживания и др.

Внутрикорпоративное обучение может проводиться как собственными силами (силами квалифицированных специалистов организации) так и приглашенных специалистов (консультантов). При том успешность того или иного подхода зависит скорей от тематики обучения, если это тематика специфическая, узконаправленная и свойственная только бизнес-процессам определенной организации, в данном случае больших успехов в донесении информации достигнет собственный персонал в роли преподавателя, конечно в случае наличия должной квалификации. В случае наиболее общих и распространенных тем вполне подойдёт сторонний преподаватель (консультант).

Для построения эффективного процесса внутрикорпоративного обучения необходимо так же все мероприятия закрепить и описать во внутренних документах организации (ответвленные за процесс обучения, сроки и периодичность проведения, основные направления и тематики).

В специализированных учебных центрах обучаются, как правило, уже профильные специалисты (системные администраторы, специалисты по информационной безопасности и др.) по различным профильным направлениям (внедрение и настройка определенных корпоративных систем, работа с техническими средствами защиты информации, организация работы с конфиденциальной информацией и др.).

 

Персонал является одним из самых важных звеньев комплексного обеспечения информационной безопасности в организации, поэтому построение процесса повышения его осведомленности и обучения в данных вопросах и самое главное применение этих знаний на практике является приоритетной задачей современных организаций.