Сегодня уровень осведомленности сотрудников в области информационной безопасности играет максимально важную роль. И небольшие компании, и организации уровня enterprise постоянно сталкиваются с растущим количеством кибератак, и для противодействия злоумышленникам используют различные технические средства для защиты тех или иных каналов передачи данных и всего периметра ИТ-инфраструктуры. Однако, даже в случае максимального количества ИБ-решений и грамотного выстраивания ИБ-процессов в компании без организации мероприятий по повышению осведомленности по кибербезопасности уровень защищенности будет неполноценным. Чаще всего именно сотрудники являются главной и довольно простой мишенью для злоумышленников.
Что из себя представляет Security Awareness
Сервис обучения сотрудников навыкам кибербезопасности предоставляют собой услуги на базе специализированной онлайн-платформы, в которой можно контролировать обучение сотрудников с помощью различных курсов, имитации фишинговых рассылок, опросов и даже игр.
Целью такого сервиса является обеспечение безопасности информации в компании путем увеличения уровня осведомленности сотрудников об угрозах, методах атак и принципах защиты данных как корпоративных, так и личных. Курсы могут включать в себя обучение правилам безопасного обращения с паролями, защите от фишинга, основам криптографии, методам защиты от вирусов и многое другое.
Обычно сервис обучения персонала в области ИБ позволяет создавать персонализированные программы обучения для каждого сотрудника в зависимости от его должности, уровня доступа к конфиденциальной информации и роли в организации. Также в рамках сервиса можно получать детальные отчеты о прохождении курсов и тестировании для оценки эффективности обучения и выявления уязвимых мест в системе безопасности организации.
Целью такого сервиса является обеспечение безопасности информации в компании путем увеличения уровня осведомленности сотрудников об угрозах, методах атак и принципах защиты данных как корпоративных, так и личных. Курсы могут включать в себя обучение правилам безопасного обращения с паролями, защите от фишинга, основам криптографии, методам защиты от вирусов и многое другое.
Обычно сервис обучения персонала в области ИБ позволяет создавать персонализированные программы обучения для каждого сотрудника в зависимости от его должности, уровня доступа к конфиденциальной информации и роли в организации. Также в рамках сервиса можно получать детальные отчеты о прохождении курсов и тестировании для оценки эффективности обучения и выявления уязвимых мест в системе безопасности организации.
Что в себя включает Security Awareness
1. Обучающие курсы и тренинги: онлайн-курсы, интерактивные курсы, видеоуроки, тесты и другие формы обучения.
2. Электронные сообщения и информационные бюллетени: это могут быть регулярно отправляемые электронные сообщения с напоминаниями о правилах безопасности и новостями о последних угрозах информационной безопасности.
3. Политики и процедуры безопасности: это документы, содержащие правила и процедуры, связанные с безопасностью информации в организации. Они могут включать правила по созданию паролей, использованию электронной почты, доступу к конфиденциальной информации и прочее.
4. Социальная инженерия: это могут быть специально разработанные упражнения, включающие в себя имитацию атак на сотрудников с целью проверки их готовности к действию в случае реальной угрозы.
5. Участие в мероприятиях в рамках обеспечения ИБ: соревнования и игры, которые стимулируют сотрудников к повышению уровня своих знаний и навыков в области безопасности.
6. Регулярные проверки со стороны экспертов по информационной безопасности, которые позволяют выявлять слабые места в системах безопасности и устранять их.
2. Электронные сообщения и информационные бюллетени: это могут быть регулярно отправляемые электронные сообщения с напоминаниями о правилах безопасности и новостями о последних угрозах информационной безопасности.
3. Политики и процедуры безопасности: это документы, содержащие правила и процедуры, связанные с безопасностью информации в организации. Они могут включать правила по созданию паролей, использованию электронной почты, доступу к конфиденциальной информации и прочее.
4. Социальная инженерия: это могут быть специально разработанные упражнения, включающие в себя имитацию атак на сотрудников с целью проверки их готовности к действию в случае реальной угрозы.
5. Участие в мероприятиях в рамках обеспечения ИБ: соревнования и игры, которые стимулируют сотрудников к повышению уровня своих знаний и навыков в области безопасности.
6. Регулярные проверки со стороны экспертов по информационной безопасности, которые позволяют выявлять слабые места в системах безопасности и устранять их.
Требования по осведомленности в области ИБ
Обучение навыкам кибербезопасности является одним из многих элементов соответствия требованиям в области ИБ. В первую очередь этого требует Федеральный закон Российской Федерации № 152-ФЗ от 27 июля 2006 года «О персональных данных», согласно которому от сотрудников, непосредственно осуществляющих обработку персональных данных, требуется ознакомление с требованиями защиты данных, а также их обучение.
Также в Приказах ФСТЭК России приводятся требования по обучению и осведомленности персонала в рамках обеспечения защиты АСУ ТП (КИИ):
В финансовом секторе требования отражены в документах ЦБ РФ:
Также существуют стандарты в области обучения навыкам кибербезопасности, среди которых:
Также в Приказах ФСТЭК России приводятся требования по обучению и осведомленности персонала в рамках обеспечения защиты АСУ ТП (КИИ):
- № 235 ч II п. 15 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»,
- № 239 ч II п. 13.7 (г) «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры
- Российской Федерации» и Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
В финансовом секторе требования отражены в документах ЦБ РФ:
- ФЗ № 161-ФЗ Положение ЦБ РФ № 719-П Положение ЦБ РФ № 747-П
- ФЗ № 86-ФЗ Положение ЦБ РФ № 716-П Положение ЦБ РФ № 757-П Положение ЦБ РФ № 683-П
- ГОСТ Р 57580.1-2017. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
Также существуют стандарты в области обучения навыкам кибербезопасности, среди которых:
- ISO/IEC 27017 Свод практических правил для облачных услуг
- ISO/IEC 27018 Свод практических правил для защиты личной информации для публичных облачных платформ
- SO/IEC 27001. СУИБ. Требования
- ISO/IEC 27002 СУИБ. Свод практических правил
Виды атак на компанию через ее сотрудников
По данным ИБ-экспертов до 80% сотрудников разных компаний сталкиваются с фишинговыми атаками и не могут их идентифицировать. Это связано с незнанием базовых правил кибербезопасности и банальным невниманием. Как правило, сотрудники элементарно не задумываются, когда переходят по сомнительным ссылкам в письмах, сидят на незнакомых онлайн-площадках и бездумно подключают найденную флешку к рабочему компьютеру.
Даже если сотрудники стараются ответственно относиться к используемым корпоративным данным, все равно большинство из них обладают недостаточными знаниями для этого: многие не знают, как распознать фишинговое письмо и сайт или не знают, что делать, если появилось подозрение на вирус на их компьютере. Эти знания являются базовыми и ими должен обладать абсолютно каждый сотрудник.
Среди наиболее популярных видов атак на сотрудников:
1. Фишинг – осуществляется путем отправки электронных писем, которые выглядят как официальные сообщения от банков, компаний и других организаций. Целью фишинговой атаки является получение от сотрудника конфиденциальных данных, таких как логины, пароли, данные банковских карт и т. д.
2. Социальная инженерия: этот вид атаки основан на использовании психологических методов для манипуляции сотрудниками компании. Атакующий может попытаться получить доступ к помещению, где хранятся конфиденциальные данные, обманывая сотрудника или притворяясь представителем другой компании.
3. Вредоносные программы – сотрудники могут стать жертвой вредоносных программ, которые размещаются мошенниками на сайтах, в электронной почте, в социальных сетях и т. д. Целью атакующего может быть получение доступа к компьютеру сотрудника или к целой сети компании.
4. Несанкционированный доступ – может произойти, когда сотрудник компании допускает несанкционированных пользователей в здание, сеть или информационную систему компании. Например, злоумышленник может подбросить флешку с вредоносом, которую в дальнейшем кто-то из персонала может подключить к своему компьютеру.
5. Неправильное использование учетных записей – некоторые сотрудники могут использовать свои учетные записи для незаконных целей, таких как кража конфиденциальных данных компании или их использование в личных целях.
6. Несанкционированное копирование данных: сотрудники могут копировать и переносить конфиденциальные данные компании на внешние носители информации без разрешения руководства компании.
Даже если сотрудники стараются ответственно относиться к используемым корпоративным данным, все равно большинство из них обладают недостаточными знаниями для этого: многие не знают, как распознать фишинговое письмо и сайт или не знают, что делать, если появилось подозрение на вирус на их компьютере. Эти знания являются базовыми и ими должен обладать абсолютно каждый сотрудник.
Среди наиболее популярных видов атак на сотрудников:
1. Фишинг – осуществляется путем отправки электронных писем, которые выглядят как официальные сообщения от банков, компаний и других организаций. Целью фишинговой атаки является получение от сотрудника конфиденциальных данных, таких как логины, пароли, данные банковских карт и т. д.
2. Социальная инженерия: этот вид атаки основан на использовании психологических методов для манипуляции сотрудниками компании. Атакующий может попытаться получить доступ к помещению, где хранятся конфиденциальные данные, обманывая сотрудника или притворяясь представителем другой компании.
3. Вредоносные программы – сотрудники могут стать жертвой вредоносных программ, которые размещаются мошенниками на сайтах, в электронной почте, в социальных сетях и т. д. Целью атакующего может быть получение доступа к компьютеру сотрудника или к целой сети компании.
4. Несанкционированный доступ – может произойти, когда сотрудник компании допускает несанкционированных пользователей в здание, сеть или информационную систему компании. Например, злоумышленник может подбросить флешку с вредоносом, которую в дальнейшем кто-то из персонала может подключить к своему компьютеру.
5. Неправильное использование учетных записей – некоторые сотрудники могут использовать свои учетные записи для незаконных целей, таких как кража конфиденциальных данных компании или их использование в личных целях.
6. Несанкционированное копирование данных: сотрудники могут копировать и переносить конфиденциальные данные компании на внешние носители информации без разрешения руководства компании.
С чего начать компании в рамках организации курсов?
1. Выбрать платформу для обучения
Сегодня на российском рынке ИБ представлено множество платформ. Наиболее популярная – Kaspersky Automated Security Awareness Platform (ASAP). Практически у всех вендоров предусмотрен демо-доступ, с помощью которого можно примерно понять, что из себя представляет платформа, какие существуют курсы и как управлять процессом обучения.
2. Выбрать подходящие курсы
Как правило, в сервисе обучения по умолчанию есть набор базовых курсов, которые можно скорректировать в зависимости от задач компании, подразделений, которых необходимо обучить и уровня знаний в области ИБ того или иного сотрудника. Кроме того, сервис-провайдер может кастомизировать курсы именно под вашу компанию с учетом пожеланий и специфики заказчика.
3. Выделить специалиста, который будет контролировать процесс обучения
Если в компании такой специалист отсутствует, можно обратиться к сервис-провайдеру, выделенный специалист которого будет полностью контролировать результат обучения, грамотно настраивать систему, например, назначать тому или иному сотруднику автоматическую отправку уведомлений или курсов для дополнительного обучения в случае плохого результата.
4. Интегрировать систему обучения с другими ИБ-решениями
Например, многие платформы для обучения можно интегрировать с DLP, SIEM, антивирусом. Это поможет собирать дополнительные данные о действиях сотрудников на рабочем месте и точнее выстроить процесс обучения.
Сегодня на российском рынке ИБ представлено множество платформ. Наиболее популярная – Kaspersky Automated Security Awareness Platform (ASAP). Практически у всех вендоров предусмотрен демо-доступ, с помощью которого можно примерно понять, что из себя представляет платформа, какие существуют курсы и как управлять процессом обучения.
2. Выбрать подходящие курсы
Как правило, в сервисе обучения по умолчанию есть набор базовых курсов, которые можно скорректировать в зависимости от задач компании, подразделений, которых необходимо обучить и уровня знаний в области ИБ того или иного сотрудника. Кроме того, сервис-провайдер может кастомизировать курсы именно под вашу компанию с учетом пожеланий и специфики заказчика.
3. Выделить специалиста, который будет контролировать процесс обучения
Если в компании такой специалист отсутствует, можно обратиться к сервис-провайдеру, выделенный специалист которого будет полностью контролировать результат обучения, грамотно настраивать систему, например, назначать тому или иному сотруднику автоматическую отправку уведомлений или курсов для дополнительного обучения в случае плохого результата.
4. Интегрировать систему обучения с другими ИБ-решениями
Например, многие платформы для обучения можно интегрировать с DLP, SIEM, антивирусом. Это поможет собирать дополнительные данные о действиях сотрудников на рабочем месте и точнее выстроить процесс обучения.
Сервис Security Awareness VS самостоятельное обучение
Некоторые компании пытаются обучать свой персонал самостоятельно, однако, это не самый эффективный способ. Во-первых, у специалиста компании могут отсутствовать необходимые знания в этой области, во-вторых, многие используют стандартные скучные списки правил или тесты, которые сотрудникам довольно сложно воспринимать, а значит и эффективно усваивать информацию. Если же говорить о предоставлении комплексного сервиса по контролю и повышению осведомленности пользователей в области ИБ, то у него есть ряд преимуществ:
Комплексный подход
Сервис по обучению навыкам кибербезопасности обычно предлагает комплексный подход к обучению, включающий в себя не только теорию, но и практические упражнения, тестирование и обратную связь. Это позволяет сотрудникам лучше понимать тему, применять полученные знания на практике и повышать свой уровень знаний.
Адаптивность
Сервисы по обучению навыкам кибербезопасности могут адаптироваться к уникальным потребностям организации и ее сотрудников. Это позволяет подбирать обучающие материалы и тестирование, соответствующие уровню знаний и специфике деятельности каждого сотрудника.
Постоянное обновление
Кибербезопасность — это быстро развивающаяся область, требующая постоянного обновления знаний и навыков. Сервисы по обучению навыкам кибербезопасности обычно предоставляют постоянные обновления своих материалов, чтобы обеспечить сотрудникам актуальную информацию.
Управление результативностью
Сервисы по обучению навыкам кибербезопасности позволяют организации отслеживать прогресс своих сотрудников и управлять их результативностью. Это помогает оценивать эффективность обучения и делать корректировки, если необходимо.
Экономически эффективно
Самостоятельное обучение может потребовать значительных затрат на материалы и ресурсы, а также на поддержку и контроль процесса обучения. В то же время, сервисы по обучению навыкам кибербезопасности обычно предоставляют все необходимые ресурсы и материалы за фиксированную плату
Персонализация и отчетность
Обычно сервис обучения сотрудников в области ИБ позволяет создавать персонализированные программы обучения для каждого сотрудника в зависимости от его должности, уровня доступа и роли в организации. Также сервис может предоставлять отчеты о прохождении курсов и тестирований для оценки эффективности обучения и выявления уязвимых мест в системе безопасности организации.
Комплексный подход
Сервис по обучению навыкам кибербезопасности обычно предлагает комплексный подход к обучению, включающий в себя не только теорию, но и практические упражнения, тестирование и обратную связь. Это позволяет сотрудникам лучше понимать тему, применять полученные знания на практике и повышать свой уровень знаний.
Адаптивность
Сервисы по обучению навыкам кибербезопасности могут адаптироваться к уникальным потребностям организации и ее сотрудников. Это позволяет подбирать обучающие материалы и тестирование, соответствующие уровню знаний и специфике деятельности каждого сотрудника.
Постоянное обновление
Кибербезопасность — это быстро развивающаяся область, требующая постоянного обновления знаний и навыков. Сервисы по обучению навыкам кибербезопасности обычно предоставляют постоянные обновления своих материалов, чтобы обеспечить сотрудникам актуальную информацию.
Управление результативностью
Сервисы по обучению навыкам кибербезопасности позволяют организации отслеживать прогресс своих сотрудников и управлять их результативностью. Это помогает оценивать эффективность обучения и делать корректировки, если необходимо.
Экономически эффективно
Самостоятельное обучение может потребовать значительных затрат на материалы и ресурсы, а также на поддержку и контроль процесса обучения. В то же время, сервисы по обучению навыкам кибербезопасности обычно предоставляют все необходимые ресурсы и материалы за фиксированную плату
Персонализация и отчетность
Обычно сервис обучения сотрудников в области ИБ позволяет создавать персонализированные программы обучения для каждого сотрудника в зависимости от его должности, уровня доступа и роли в организации. Также сервис может предоставлять отчеты о прохождении курсов и тестирований для оценки эффективности обучения и выявления уязвимых мест в системе безопасности организации.
Заключение
К сожалению, рынок услуг по повышению осведомленности в области ИБ находится в зачаточном состоянии – большинство организаций пока не пришли к осознанию важности обучения сотрудников кибербезопасности и воспринимают такие мероприятия несерьезно. Помимо соответствия требованиям стандартов в области информационной безопасности обучение навыкам навыкам кибербезопасности помогает создать культуру безопасности в компании, которая позволяет предотвращать угрозы ИБ и существенно уменьшить риски. В этом может помочь сервис-провайдер, который подберет вместе с вами подходящую платформу, настроит систему, разработает индивидуальные курсы и будет полностью контролировать процесс обучения всех сотрудников.
Information Security Lab проводит обучение и тестирование сотрудников на знание основ информационной безопасности, внедряет автоматические системы проверки навыков, а также помогаем сформировать требования и рекомендации по обеспечению безопасности сотрудников и информационных систем.