Новости

Что нужно знать о сервисе контроля и повышения осведомленности пользователей (Security Awareness)

Сегодня уровень осведомленности сотрудников в области информационной безопасности играет максимально важную роль. И небольшие компании, и организации уровня enterprise постоянно сталкиваются с растущим количеством кибератак, и для противодействия злоумышленникам используют различные технические средства для защиты тех или иных каналов передачи данных и всего периметра ИТ-инфраструктуры. Однако, даже в случае максимального количества ИБ-решений и грамотного выстраивания ИБ-процессов в компании без организации мероприятий по повышению осведомленности по кибербезопасности уровень защищенности будет неполноценным. Чаще всего именно сотрудники являются главной и довольно простой мишенью для злоумышленников.

Что из себя представляет Security Awareness

Сервис обучения сотрудников навыкам кибербезопасности предоставляют собой услуги на базе специализированной онлайн-платформы, в которой можно контролировать обучение сотрудников с помощью различных курсов, имитации фишинговых рассылок, опросов и даже игр.

Целью такого сервиса является обеспечение безопасности информации в компании путем увеличения уровня осведомленности сотрудников об угрозах, методах атак и принципах защиты данных как корпоративных, так и личных. Курсы могут включать в себя обучение правилам безопасного обращения с паролями, защите от фишинга, основам криптографии, методам защиты от вирусов и многое другое.

Обычно сервис обучения персонала в области ИБ позволяет создавать персонализированные программы обучения для каждого сотрудника в зависимости от его должности, уровня доступа к конфиденциальной информации и роли в организации. Также в рамках сервиса можно получать детальные отчеты о прохождении курсов и тестировании для оценки эффективности обучения и выявления уязвимых мест в системе безопасности организации.

Что в себя включает Security Awareness

1. Обучающие курсы и тренинги: онлайн-курсы, интерактивные курсы, видеоуроки, тесты и другие формы обучения.

2. Электронные сообщения и информационные бюллетени: это могут быть регулярно отправляемые электронные сообщения с напоминаниями о правилах безопасности и новостями о последних угрозах информационной безопасности.

3. Политики и процедуры безопасности: это документы, содержащие правила и процедуры, связанные с безопасностью информации в организации. Они могут включать правила по созданию паролей, использованию электронной почты, доступу к конфиденциальной информации и прочее.

4. Социальная инженерия: это могут быть специально разработанные упражнения, включающие в себя имитацию атак на сотрудников с целью проверки их готовности к действию в случае реальной угрозы.

5. Участие в мероприятиях в рамках обеспечения ИБ: соревнования и игры, которые стимулируют сотрудников к повышению уровня своих знаний и навыков в области безопасности.

6. Регулярные проверки со стороны экспертов по информационной безопасности, которые позволяют выявлять слабые места в системах безопасности и устранять их.

Требования по осведомленности в области ИБ

Обучение навыкам кибербезопасности является одним из многих элементов соответствия требованиям в области ИБ. В первую очередь этого требует Федеральный закон Российской Федерации № 152-ФЗ от 27 июля 2006 года «О персональных данных», согласно которому от сотрудников, непосредственно осуществляющих обработку персональных данных, требуется ознакомление с требованиями защиты данных, а также их обучение.

Также в Приказах ФСТЭК России приводятся требования по обучению и осведомленности персонала в рамках обеспечения защиты АСУ ТП (КИИ):

  • № 235 ч II п. 15 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»,
  • № 239 ч II п. 13.7 (г) «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры
  • Российской Федерации» и Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

В финансовом секторе требования отражены в документах ЦБ РФ:

  • ФЗ № 161-ФЗ Положение ЦБ РФ № 719-П Положение ЦБ РФ № 747-П
  • ФЗ № 86-ФЗ Положение ЦБ РФ № 716-П Положение ЦБ РФ № 757-П Положение ЦБ РФ № 683-П
  • ГОСТ Р 57580.1-2017. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер

Также существуют стандарты в области обучения навыкам кибербезопасности, среди которых:

  • ISO/IEC 27017 Свод практических правил для облачных услуг
  • ISO/IEC 27018 Свод практических правил для защиты личной информации для публичных облачных платформ
  • SO/IEC 27001. СУИБ. Требования
  • ISO/IEC 27002 СУИБ. Свод практических правил

Виды атак на компанию через ее сотрудников

По данным ИБ-экспертов до 80% сотрудников разных компаний сталкиваются с фишинговыми атаками и не могут их идентифицировать. Это связано с незнанием базовых правил кибербезопасности и банальным невниманием. Как правило, сотрудники элементарно не задумываются, когда переходят по сомнительным ссылкам в письмах, сидят на незнакомых онлайн-площадках и бездумно подключают найденную флешку к рабочему компьютеру.

Даже если сотрудники стараются ответственно относиться к используемым корпоративным данным, все равно большинство из них обладают недостаточными знаниями для этого: многие не знают, как распознать фишинговое письмо и сайт или не знают, что делать, если появилось подозрение на вирус на их компьютере. Эти знания являются базовыми и ими должен обладать абсолютно каждый сотрудник.

Среди наиболее популярных видов атак на сотрудников:

1. Фишинг – осуществляется путем отправки электронных писем, которые выглядят как официальные сообщения от банков, компаний и других организаций. Целью фишинговой атаки является получение от сотрудника конфиденциальных данных, таких как логины, пароли, данные банковских карт и т. д.

2. Социальная инженерия: этот вид атаки основан на использовании психологических методов для манипуляции сотрудниками компании. Атакующий может попытаться получить доступ к помещению, где хранятся конфиденциальные данные, обманывая сотрудника или притворяясь представителем другой компании.

3. Вредоносные программы – сотрудники могут стать жертвой вредоносных программ, которые размещаются мошенниками на сайтах, в электронной почте, в социальных сетях и т. д. Целью атакующего может быть получение доступа к компьютеру сотрудника или к целой сети компании.

4. Несанкционированный доступ – может произойти, когда сотрудник компании допускает несанкционированных пользователей в здание, сеть или информационную систему компании. Например, злоумышленник может подбросить флешку с вредоносом, которую в дальнейшем кто-то из персонала может подключить к своему компьютеру.

5. Неправильное использование учетных записей – некоторые сотрудники могут использовать свои учетные записи для незаконных целей, таких как кража конфиденциальных данных компании или их использование в личных целях.

6. Несанкционированное копирование данных: сотрудники могут копировать и переносить конфиденциальные данные компании на внешние носители информации без разрешения руководства компании.

С чего начать компании в рамках организации курсов?

1. Выбрать платформу для обучения

Сегодня на российском рынке ИБ представлено множество платформ. Наиболее популярная – Kaspersky Automated Security Awareness Platform (ASAP). Практически у всех вендоров предусмотрен демо-доступ, с помощью которого можно примерно понять, что из себя представляет платформа, какие существуют курсы и как управлять процессом обучения.

2. Выбрать подходящие курсы

Как правило, в сервисе обучения по умолчанию есть набор базовых курсов, которые можно скорректировать в зависимости от задач компании, подразделений, которых необходимо обучить и уровня знаний в области ИБ того или иного сотрудника. Кроме того, сервис-провайдер может кастомизировать курсы именно под вашу компанию с учетом пожеланий и специфики заказчика.

3. Выделить специалиста, который будет контролировать процесс обучения

Если в компании такой специалист отсутствует, можно обратиться к сервис-провайдеру, выделенный специалист которого будет полностью контролировать результат обучения, грамотно настраивать систему, например, назначать тому или иному сотруднику автоматическую отправку уведомлений или курсов для дополнительного обучения в случае плохого результата.

4. Интегрировать систему обучения с другими ИБ-решениями

Например, многие платформы для обучения можно интегрировать с DLP, SIEM, антивирусом. Это поможет собирать дополнительные данные о действиях сотрудников на рабочем месте и точнее выстроить процесс обучения.

Сервис Security Awareness VS самостоятельное обучение

Некоторые компании пытаются обучать свой персонал самостоятельно, однако, это не самый эффективный способ. Во-первых, у специалиста компании могут отсутствовать необходимые знания в этой области, во-вторых, многие используют стандартные скучные списки правил или тесты, которые сотрудникам довольно сложно воспринимать, а значит и эффективно усваивать информацию. Если же говорить о предоставлении комплексного сервиса по контролю и повышению осведомленности пользователей в области ИБ, то у него есть ряд преимуществ:

Комплексный подход

Сервис по обучению навыкам кибербезопасности обычно предлагает комплексный подход к обучению, включающий в себя не только теорию, но и практические упражнения, тестирование и обратную связь. Это позволяет сотрудникам лучше понимать тему, применять полученные знания на практике и повышать свой уровень знаний.

Адаптивность

Сервисы по обучению навыкам кибербезопасности могут адаптироваться к уникальным потребностям организации и ее сотрудников. Это позволяет подбирать обучающие материалы и тестирование, соответствующие уровню знаний и специфике деятельности каждого сотрудника.

Постоянное обновление

Кибербезопасность — это быстро развивающаяся область, требующая постоянного обновления знаний и навыков. Сервисы по обучению навыкам кибербезопасности обычно предоставляют постоянные обновления своих материалов, чтобы обеспечить сотрудникам актуальную информацию.

Управление результативностью

Сервисы по обучению навыкам кибербезопасности позволяют организации отслеживать прогресс своих сотрудников и управлять их результативностью. Это помогает оценивать эффективность обучения и делать корректировки, если необходимо.

Экономически эффективно

Самостоятельное обучение может потребовать значительных затрат на материалы и ресурсы, а также на поддержку и контроль процесса обучения. В то же время, сервисы по обучению навыкам кибербезопасности обычно предоставляют все необходимые ресурсы и материалы за фиксированную плату

Персонализация и отчетность

Обычно сервис обучения сотрудников в области ИБ позволяет создавать персонализированные программы обучения для каждого сотрудника в зависимости от его должности, уровня доступа и роли в организации. Также сервис может предоставлять отчеты о прохождении курсов и тестирований для оценки эффективности обучения и выявления уязвимых мест в системе безопасности организации.

Заключение

К сожалению, рынок услуг по повышению осведомленности в области ИБ находится в зачаточном состоянии – большинство организаций пока не пришли к осознанию важности обучения сотрудников кибербезопасности и воспринимают такие мероприятия несерьезно. Помимо соответствия требованиям стандартов в области информационной безопасности обучение навыкам навыкам кибербезопасности помогает создать культуру безопасности в компании, которая позволяет предотвращать угрозы ИБ и существенно уменьшить риски. В этом может помочь сервис-провайдер, который подберет вместе с вами подходящую платформу, настроит систему, разработает индивидуальные курсы и будет полностью контролировать процесс обучения всех сотрудников.

Information Security Lab проводит обучение и тестирование сотрудников на знание основ информационной безопасности, внедряет автоматические системы проверки навыков, а также помогаем сформировать требования и рекомендации по обеспечению безопасности сотрудников и информационных систем.
2023-04-17 12:00 Блог