Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Про повышение осведомленности сотрудников (Awareness and Training, NIST 800-50)

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Опубликовано в:
Повышение осведомленности и обучение персонала является очень важной и полезной мерой обеспечения информационной безопасности. Многие руководящие документы и стандарты требуют (рекомендуют) разработать соответствующую программу и запустить  процесс. Вот несколько ссылок:
  • ISO 27001 (см. 4.2.2 e), 5.2.2,  A.8.2.2)
  • ISO 22301 (см. 7.3)
  • в COBIT 5 много упоминаний, самые значимые тут: Information Enabler:Awareness Material; Services, Infrastructure and Applications Enabler: Security Awareness; Enabler: Culture, Ethics and Behaviour; Process: BAI08 Manage Knowledge, APO07.03 Manage Human Resources. Maintain the skills and competencies of personnel.
  • часто встречается и в SANS top 20

Про повышение осведомленности есть даже в 152-ФЗ  (ст. 18.1 1.6): 
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

К сожалению, как правильно создавать программу повышения осведомленности и обучения персонала, как внедрять процесс обучения и регулярно улучшать его мы в них не найдем. Для поиска новых хороших идей нам будет полезен документ NIST SP 800-50 "Building an Information Technology Security Awareness and Training Program". Да. он ужен не новый (октябрь 2003), но все равно остается полезным и актуальным (да, и аналогов я вроде не встречал).

В документе можно найти информацию о том, как:
  • Select awareness and training topics // Выбрать темы обучения и повышения осведомленности
  • Find sources of awareness and training material // Найти необходимые ресурсы
  • Implement awareness and training material, using a variety of methods // Внедрить материалы по повышению осведомленности
  • Evaluate the effectiveness of the program // Оценить программу
  • Update and improve the focus as technology and organizational priorities change // Обновлять и совершенствовать программу
Понятно прописано, зачем вообще повышать осведомленность и обучать сотрудников. Все просто, они должны знать и понимать:
  • свои роли и ответственность
  • требования и процедуры информационной безопасности, принятые в организации
  • общие вопросы использования ИТ-ресурсов и обеспечения информационной безопасности
NIST в явном виде разделяет следующие виды обучения: Awareness (повышение осведомленности), Training (проведение тренингов), Education (формализованное обучение/курсы). Их взаимосвязь можем видеть на схеме:

Помимо этого, в документе можно найти:
  • перечень ролей и ответственности
  • рекомендации по разработке программы повышения осведомленности и обучения (включая структуру плана)
  • рекомендации по оценке персонала и оценке программы
  • советы по разработке обучающих материалов, включая перечень рекомендуемых тем
  • мысли и идеи по ресурсам, необходимым для разработки обучающих материалов, и рекомендации по передаче этой задачи на аутсорсинг
  • техники представления (распространения) обучающих материалов
  • советы по пересмотру обучающих материалов и программы
  • индикаторы успеха программы обучения
  • различные шаблоны документов и примеры постеров (они будут далее)
К примеру, NIST рекомендует включать в программу повышения осведомленности следующие разделы (темы) :
  • использование паролей (создание, частота смены, сложность и безопасность)
  • защита от вредоносного ПО
  • последствия несоблюдения политики ИБ
  • появление электронных писем от незнакомых людей и открытие вложений
  • использование сети Интернет (включая мониторинг компанией активности пользователей)
  • спам
  • резервное копирование и восстановление информации
  • вопросы социальной инженерии 
  • управление инцидентами (кому звонить?, что делать?)
  • защита от просмотра информации посторонними ("shoulder surfing") (включая политику "чистого экрана", ввод паролей, PIN-кодов и пр.)
  • безопасность оборудования от окружающей среды (огонь, вода, пыль, физический доступ)
  • передача информации и оборудования третьим лицам
  • работа из дома и использование корпоративных систем для личных целей
  • использование портативных (?мобильных) устройств (с учетом физической безопасности и подключения к неизвестным сетям wifi)
  • передача конфиденциальной (чувствительной) информации по сети Интернет (в том числе использование криптографии)
  • безопасность ноутбуков вне территории организации
  • использование персонального ПО и АО
  • использование корпоративных систем
  • регулярное обновление корпоративных систем и ПО
  • использование лицензионного ПО
  • вопросы контроля доступа (включая минимальные привилегии и разделение обязанностей)
  • персональная ответственность пользователей и соглашение о неразглашении
  • контроль доступа на территорию и правила взаимодействия с посетителями
  • безопасность рабочих мест (включая политику "чистого экрана", доступа посетителей и коллег, контроля доступа и пр,)
  • защита конфиденциальной информации
  • правила использования электронной почты (включая корпоративный этикет)
Со своей стороны я бы этот перечень сократил путем объединения некоторых тем и расстановки приоритетов (сначала обучил бы самому важному), но это видение составителей стандарта...

Резюмирую, еще раз отмечу, что документ интересен и полезен. Рекомендую к изучению специалистам внутренних служб информационной безопасности и консультантам.

Итоговая майндкарта по документу (в PDF тут):


Кстати, у NIST есть есть несколько документов по теме:

P.S. Если интересно, в продолжении несколько примеров постеров из стандарта (да, в нем есть картинки):




Оцените материал:
Total votes: 219
Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.