ИБ-обучение в рамках ИБ-аутсорсинга малого и среднего бизнеса

В статье обоснованы возможности и выгоды интегрирования ИБ-обучения в аутсорсинг информационной безопасности организаций малого и среднего бизнеса (МСБ).

Мировая индустрия кибербезопасности страдает от глобальной нехватки работников – сегодня ей срочно требуются 4 млн специалистов. Две трети организаций сталкиваются с дополнительными рисками из-за нехватки ИБ-специалистов, однако только 15% компаний ожидают, что к 2026 году их количество значительно увеличится. Об этом говорится в официальном документе Всемирного экономического форума «Стратегическая система подготовки специалистов в области кибербезопасности[1].  Межрегиональный информационный центр в США MS-ISAC, объединяющий более 18 тысяч организаций, выпустил рекомендации по защите критической инфраструктуры от ключевых киберугроз — «Strengthening Critical Infrastructure State, Local, Tribal, & Territorial Progress & Priorities»,  в котором в качестве адекватного ответа на киберугрозы предлагает расширение набора, обучения и удержания специалистов в области кибербезопасности[2].  Нехватка ИБ-специалистов – это и российский тренд[3]. Высшее образование не справляется. Поэтому привлечение к обучению, профессиональной переподготовке и повышению квалификации всех, кто имеет отношение к обеспечению информационной безопасности, – это острейшая мировая проблема, которая в России вышла на нормативный уровень. Так, в Приказе ФСТЭК от 11 апреля 2025 г. N 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений»[4] закреплено требование, согласно которому не менее 30 процентов работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области информационной безопасности или пройти обучение по программе профессиональной переподготовки в области информационной безопасности.

Прямыми участниками процесса обеспечения ИБ организаций являются не только ИБ-специалисты, но и персонал, что остро ставит вопрос их ИБ-обучения. Например, большое внимание этому вопросу уделено в названном выше Приказе ФСТЭК от 11 апреля 2025 г. N 117. Организация деятельности по защите информации, согласно Приказу, должна включать разработку и утверждение внутренних регламентов по защите информации, содержащих порядок повышения уровня знаний и информированности пользователей по вопросам защиты информации (п.14 д). Впервые в нормативном документе приведен перечень соответствующих мероприятий по ИБ-обучению сотрудников организаций (п.56):

а) доведение до пользователей информационных материалов, в том числе в форме памяток, баннеров, буклетов, по актуальным вопросам защиты информации;

б) проведение лекций, семинаров, обучающих игр по вопросам защиты информации;

в) проведение имитационных рассылок электронных писем на служебные адреса электронной почты, иные служебные средства коммуникаций с целью оценки устойчивости пользователей к методам социальной инженерии;

г) проведение тренировок с пользователями по практической отработке мероприятий по защите информации, предусмотренных внутренними регламентами по защите информации, и формированию навыков по защите информации.

При этом, в соответствии с п.57 Приказа, способы повышения уровня знаний пользователей по вопросам защиты информации, периодичность и формы оценки уровня знаний требуется документировать во внутренних регламентах по защите информации. «Оценка уровня знаний должна проводиться не реже одного раза в три года или после компьютерного инцидента, произошедшего у оператора (обладателя информации). Для пользователей, у которых отсутствуют знания по вопросам защиты информации, должно быть организовано повторное прохождение обучающих курсов по вопросам защиты информации»[5].

 Рынок ИБ-обучения активно развивается. Согласно прогнозам, к 2030 году объём рынка программного обеспечения для ИБ-обучения достигнет 2709,7 млн долларов, увеличиваясь в среднем на 7,6% год[6].

Все чаще целью атак злоумышленников становится малый и средний бизнес (МСБ). Как выяснили аналитики Kaspersky Digital Footprint Intelligence, только за I квартал 2024 года у представителей МСБ утекло 47 млн записей данных (против 12 млн в прошлом году)[7] . По итогам 2024 года тренд на увеличение количества утечек из малых организаций сохраняется[8]. Предприятия МСБ пренебрегают мерами кибербезопасности и сталкиваются с серьезными проблемами из-за ограниченных ресурсов, нехватки знаний, низкой эффективности:

• нет штатных ИБ-специалистов, IT-отдел перегружен;
• требования ФЗ-152 "О персональных данных" и государственных регуляторов (Минцифры, ФСБ, ФСТЭК, Роскомнадзор) ужесточаются, штрафы за нарушения растут;
• поиск отдельных подрядчиков на ИБ-аудит, мониторинг и ИБ-обучение требуют много времени, согласований;
• ИБ-обучение носит, как правило, абстрактный характер, готовые учебные курсы часто не учитывают специфику конкретного бизнеса и актуальные угрозы, а их эффективность сложно измерить и т.д.

Эти проблемы могут быть решены, если использовать интеграцию ИБ-обучения обучения в услуги MSSP (Managed Security Service Provider) – аутсорсингового партнера по безопасности. И главный аргумент здесь – не просто обучение, а принцип "Единого окна", при котором обучение становится частью защитного периметра. Ключевое преимущество заказа ИБ-обучения в рамках ИБ-аутсорсинга – это его глубокая интеграция в общую систему информационной безопасности, которую обеспечивает MSSP.

Постепенно повышение киберграмотности персонала становится ключевым фактором в стратегиях ИБ-аутсорсинга. Провайдеры ИБ-услуг уже помогают организациям формировать подходы и материалы обучения, направленные на различные фокусные группы, для минимизации угроз, связанных с человеческим фактором и низким уровнем ИБ-знаний[9]. Киберучения и повышение осведомленности персонала становятся узконаправленным экспертным сервисом ИБ-аутсорсинга в организациях даже с  полноценной ИБ-командой[10]. Важно не забывать, что сотрудники, ответственные за ИБ организации, также должны быть объектами пристального внимания в ходе ИБ-аутсорсинга.

При неформальном, «негалочном» подходе ИБ-обучение, интегрированное в ИБ-аутсорсинг, - это не просто "тренинг в подарок", а системный подход, дающий МСБ конкретные выгодные изменения:

Изменение 1. Один подрядчик - упрощение управления до минимума. MSSP берет на себя всю полноту ответственности за ИБ-защиту клиента, включая человеческий фактор и его ИБ-компетенции.

Выгоды для МСБ:

1. Экономия времени руководства: не нужно быть ИБ-экспертом, искать тренеров, разрабатывать программы, следить за актуальностью, собирать отчеты. MSSP делает это в рамках своего SLA (Соглашения об уровне обслуживания). Участие клиента сводится к утверждению графика и информированию сотрудников об обучении.
2. Единая точка контакта: один номер телефона, один e-mail для всех вопросов ИБ: от срабатывания системы предотвращения вторжений до запроса отчета по обучению для Роскомнадзора. Никакой путаницы с ответственностью.
3. Консолидированный договор и отчетность: один договор на весь спектр услуг (например, защита периметра, SOC, ИБ-аудит, ИБ-обучение). Единые, понятные отчеты, где данные по инцидентам, мониторингу и результатам обучения представлены в связке.
4. Снижение операционных рисков: устранение рисков несогласованности действий разных подрядчиков.

Изменение 2. Синергия ИБ-угроз и ИБ-обучения: обучение «питается» данными из Центра мониторинга безопасности (SOC), а SOC учится на ошибках сотрудников. Это главное технологическое преимущество интеграции. SOC MSSP и система ИБ-обучения – не изолированные модули, а части единого "замкнутого цикла" безопасности[11] .

Выгоды для МСБ:

1. ИБ-обучение происходит на основе не абстрактных, а реальных угроз клиента: SOC MSSP в процессе мониторинга сети клиента видит конкретные атаки, направленные именно на этот бизнес: фишинговые письма, поддельные домены, атаки на конкретные уязвимости. Эти данные могут немедленно использоваться для адаптации общих учебных модулей, для создания персонализированных фишинг-симуляций, максимально похожих на реальные атаки[12] ;  формирования целевых "микро-тренингов" для отработки конкретных сценариев.  
2. Возникает "Замкнутый цикл" повышения защищенности:  

• SOC обнаруживает новую угрозу,
• команда обучения MSSP оперативно создает или обновляет контент/симуляции,
• сотрудники клиента проходят обучение/тестирование,
• результаты тестов (особенно провалы в фишинг-симуляциях) возвращаются в SOC,
• SOC использует эти данные для тонкой настройки систем защиты, фокусировки мониторинга на пользователях с повышенным риском, информирования клиента о необходимости дополнительных мер.

3. Повышается эффективность SOC.  Понимание уровня осведомленности сотрудников помогает аналитикам SOC лучше интерпретировать события (например, был ли клик по ссылке ошибкой или злонамеренным действием?) и точнее определять приоритеты реагирования.

              Изменение 3. Гарантированная актуальность и соответствие.  Угрозы и нормативная база меняются стремительно. MSSP как специализированный провайдер гарантирует, что обучение всегда соответствует последним вызовам и требованиям.

Выгоды для МСБ:

    1. Профильная экспертиза: MSSP инвестирует в постоянный мониторинг глобальных и локальных киберугроз, изменений в законодательстве РФ.

    2. Автоматическое обновление контента: учебные материалы и симуляции автоматически обновляются MSSP на основе этой экспертизы. Клиенту не нужно ничего отслеживать или заказывать доработки.

    3. Адаптация под специфику бизнеса и роли: обучение не шаблонное. MSSP адаптирует кейсы, примеры, язык под отрасль клиента и конкретные роли сотрудников (бухгалтер – фокус на финансовом мошенничестве и персональных данных; менеджер по продажам – на защите коммерческой тайны; рядовой сотрудник – на базовой гигиене и фишинге) [13].

4.  Документальное соответствие: MSSP гарантирует, что программы и факт проведения обучения соответствуют требованиям государственных регуляторов для прохождения проверок.

Изменение 4. Интегрированная отчетность: доказательства для регулятора и уверенность для бизнеса. Доказательство проведения обучения – не формальность, а обязательное требование закона (ФЗ-152, ст. 18.1, 19), Приказа ФСТЭК от 11 апреля 2025 г. N 117, других требований государственных регуляторов, а также -  аргумент при расследовании инцидентов.

Выгоды для МСБ:

    1. Профессиональные отчеты: MSSP предоставляет отчеты по обучению (охват обучившихся, результаты обучения, актуальность программ, связь с общими метриками безопасности).

    2. Готовый пакет документов для проверок: все необходимое для регуляторов или партнеров (программы, материалы, отчеты о проведении, результаты) хранит MSSP и предоставляет по первому запросу в нужном формате.

    3. Снижение административной нагрузки: никакого ручного сбора справок или свода данных из разных систем. Все доступно в личном кабинете клиента у MSSP.

Таким образом, для малого и среднего бизнеса в России главная ценность ИБ-обучения в рамках ИБ-аутсорсинга у MSSP – это кардинальное снижение сложности управления ИБ. "Единое окно" – не роскошь, а необходимость для ресурсо-дефицитного МСБ. Это не просто тренинги как опция к ИБ-аутсорсингу, а бесшовная интеграция ИБ-обучения в комплексную защиту, которая обеспечивает:

1.  Максимальное удобство: Один подрядчик, минимум усилий с их стороны.

2.  Максимальную эффективность: Обучение, основанное на их реальных угрозах и усиленное данными мониторинга.

3.  Максимальную актуальность и соответствие: Гарантия, что обучение отвечает последним угрозам и требованиям регуляторов.

4.  Максимальную отчетность: Готовые документы для проверок в рамках единой системы отчетности MSSP.

В условиях, когда человеческий фактор остается основным вектором атак, ИБ-специалистов катастрофически не хватает, а ресурсы МСБ ограничены, подход "Единого окна" MSSP превращает ИБ-обучение из обременительной задачи в мощный, измеримый и неразрывно связанный с технической защитой инструмент повышения киберустойчивости бизнеса. Это инвестиция не только в безопасность, но и в эффективность бизнеса и спокойствие его владельца.

Более интеллектуальное, персонализированное и интегрированное ИБ-обучение – это актуально для российского МСБ. При этом в ближайшей перспективе оно будет сосуществовать с отдельным обучением ИТ- и ИБ-специалистов на курсах профессиональной переподготовки и повышения квалификации, на углубленных тренингах от специализированных организаций. Курсы необходимо выбирать у организаций-лицензиатов, имеющих реальную практику оказания услуг по защите информации и состоящих в перечне организаций, осуществляющих образовательную деятельность, и имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК и ФСБ России. Только они имеют опыт системного подхода к адекватному, персонализированному решению этих задач, в том числе -  в условиях ограниченных ресурсов МСБ с учетом его специфики.  Если организация-лицензиат оказывает и ИБ-услуги, и услуги ИБ-обучения, – это ключевой фактор для выбора долговременного сотрудничества с ней.

Желаем успехов в ИБ-обучении, уважаемые коллеги!

Астахова Л.В., д.п.н., профессор, зам. директора по методической и научной работе Института мониторинга и оценки информационной безопасности

Куда пойти учиться? С кем сотрудничать?

Предлагаем Вам услуги Института мониторинга и оценки информационной безопасности по ИБ-обучению в рамках ИБ-аутсорсинга

Приглашаем Вас обновлять свои знания в Институте мониторинга и оценки информационной безопасности в рамках отдельных образовательных программ: Каталог курсов Института МОИБ