вторник, 21 мая 2013 г.

Повышение осведомленности пользователей как снижение рисков.


Цель данного поста освятить работу с пользователями в контексте информационной безопасности организации, а точнее повышение их осведомленности. Что? Как? Зачем? 
Первые несколько ссылок в выдаче google - это реклама и предложения сторонних организаций провести такое обучение за вас. Однако  мы легких путей не ищем и будем сами думать над тем, как учить, чему учить и зачем учить. Не буду расписывать каждый шаг, так по тексту и так понятно что к чему.  Итак, то что в итоге получилось:

Назвать документ каждый вправе сам. У меня он получил имя: 
Комплекс мероприятий по повышению осведомленности сотрудников ЗАО «************» в вопросах информационной безопасности.

Цель: снижение ущерба и потерь (материальных, моральных, репутационных) от угроз, связанных с человеческим фактором при работе с информационными ресурсами компании.

Реализация: данный комплекс мероприятий будет строиться на основании циклической модели Деминга: планирование – реализация – проверка – совершенствование – планирование.

Этап планирования. На этом этапе проводятся следующие мероприятия:

  • определение формата обучения (очный, дистанционный, рассылка материалов);
  • разработка программы обучения; 
  • подготовка методических материалов;
  • определение сроков проведения этапа реализации.

В программу обучения рекомендуется включить следующие вопросы:

  • общие вопросы,  связанные с понятием «информационная безопасность»
  • требования законодательства Российской Федерации в части информационной безопасности (краткий обзор законов, подзаконных актов, требований);
  • политика информационной безопасности, действующая в Обществе;
  • ответственность за нарушение требований законодательства и политики Общества;
  • процесс обеспечения информационной безопасности в Обществе;
  • потенциальные угрозы, которые могут оказать влияние на деятельность Общества и сотрудников;
  • меры защиты и обучение их применению;
  • роли и обязанности сотрудников в процессе информационной безопасности.

Также подготовленный материал должен выдаваться под роспись об ознакомлении при приеме сотрудника на работу.

Этап реализации.

  • Проведение обучения сотрудников;
  • Раздача методических материалов;
  • Возможно дублирование материалов на электронную почту.

После проведенных мероприятий необходимо донести сотруднику(ам), что в последующем будет проведена проверка того, насколько усвоена и применяется в повседневной деятельности донесенная информация.
На этом этапе, с целью повышения интереса к изучению материалов, можно обозначить тот момент, что знания, доносимые в процессе обучения, могут помочь и в повседневной жизни. Например, снизить вероятность взлома аккаунтов в социальных сетях, почтовых ящиков, личных кабинетов в системах ДБО (дистанционного банковского обслуживания).

Этап проверки.
На этом этапе проводится проверка того, как усвоена и применяется информация, донесенная до сотрудника на этапе реализации. Проверку рекомендуется проводить в двух формах:

  • Опрос/тестирование. Здесь сотрудник понимает то, что его проверяют. О проведении тестирования можно сообщать как заранее (например за несколько дней), так и проводить его неожиданно. При неожиданном тестировании будут видны текущие реальные знания сотрудника. В обратном случае у сотрудника будет время подготовиться к опросу и, возможно, лучше усвоить материал.
  • «Тихая проверка». В этом случае сотрудник, ответственный за реализацию обучения и проведение проверок пользователей, в текущем режиме наблюдает за реальными результатами обучения. Например, этот метод хорошо подойдет для проверки понимания политики паролей (нет возможности проверить, знает ли сотрудник свой пароль наизусть, пока не будет реальной ситуации его ввода).

Этап совершенствования.
На этом этапе проводится анализ результатов этапа проверки, совершенствуются материалы и способы их донесения. Возможна выработка индивидуальных программ. Результаты этапа учитываются на следующем этапе планирования.

Рекомендации к применению.
При расчете цикличности данных мероприятий должен быть учтен фактор «текучки» сотрудников в Обществе и среднесписочной численности сотрудников.

[upd 23.05.2013] Оказывается, у Андеря Прозорова на эту тему написан очень хороший пост про про повышение осведомленности сотрудников (Awareness and Training, NIST 800-50)

Я же в своем документе опирался на ИСО/МЭК ТО 13335-3:2007 Методы и средства обеспечения безопасности. Часть 3 (ISO/IEC TR 13335-3:1998 Information technology — Guidelines for the management of information technology security — Part 3: Techniques for the management of information technology security (IDT)).
Пункты 10.2 и 10.3 доступным языком описывают как организовать процесс, кого обучить и какие темы рекомендуется осветить при обучении. Я преднамеренно не привожу выдержки из документа, т.к. ГОСТ в свободном доступе, а прочтение не только указанных пунктов лишним уж точно не будет.

С возвращением, так сказать.

Этот пост ознаменует возвращение к блогу.
С февраля ни одной записи по теме. Надо поправить=) На самом деле есть много идей для того, о чем можно писать. И они так и копятся в Evernote, в специальном блокноте "Идеи". Ну, приступим. Надеюсь, что периодичность теперь будет выше, чем раз в квартал. Однако сегодняшний пост не из идей, а из текущей деятельности. Но полезность его, на мой взгляд, достаточно высока. Итак приступим. Пост выше.