КАКОЙ ДОЛЖНА БЫТЬ ПРОГРАММА ПОВЫШЕНИЯ ОСВЕДОМЛЕННОСТИ СОТРУДНИКОВ ОРГАНИЗАЦИИ ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Статья подчеркивает важность повышения осведомленности сотрудников об информационной безопасности в организациях. Содержание программ осведомленности об информационной безопасности часто не соответствует требованиям и не учитывает специфику организаций. Автор предлагает использовать деятельностный подход для разработки программы повышения осведомленности, где модули отражают цель, объект, процесс, средства и методы и результаты ИБ-компонента деятельности[1] сотрудников подразделений организации, не связанных с защитой информации. Это позволит сделать содержание программы актуальным, а повышение осведомленности - максимально эффективным.

 
В прошлом значимость сотрудников организации в обеспечении ее информационной безопасности часто игнорировалось, все внимание было направлено на технические аспекты. Но постепенно ситуация изменилась.
Современная статистика показывает, что инциденты информационной безопасности по вине сотрудников, т.е. внутренних нарушителей, не исчезают из общей картины инцидентов информационной безопасности организаций и в России, и за рубежом. В 2020 году в России 79% утечек информации были вызваны внутренними нарушителями (внутренними пользователями)[2]]. Для сравнения: в зарубежных странах в этот же период лишь 44,1% утечек произошло по вине внутренних нарушителей[3]. Большая разница в цифрах объясняется тем, что в зарубежных организациях более 20 лет ведется активная работы не только по повышению осведомленности внутренних нарушителей, но и их культуры информационной безопасности.
С 2022 года в России лавинообразно растет число инцидентов информационной безопасности. В 2023 году не менее 75% утечек информации произошли по вине инсайдеров (бывших или текущих сотрудников организаций)[4]. При этом все более затруднительно идентифицировать их виновников, вектор и каналы воздействий, они начинают приобретать гибридный характер, растет число умышленных утечек и т.д.[5] Усложнение ландшафта утечек требует от организаций обращать более пристальное внимание внутренним нарушителям.
Теоретические и эмпирические исследования показывают, что осведомленность об информационной безопасности является ключевым фактором защиты компании от потенциальных атак. Обеспечение информационной безопасности является одним из видов безопасности, на которые следует обращать внимание при формировании культуры безопасности. Однако специального стандарта, определяющего требования к осведомленности в области информационной безопасности, не существует.
Международные стандарты серии ИСО/МЭК 27000 требуют, чтобы все сотрудники организации были соответствующим образом информированы и обучены, а также регулярно извещались об изменениях в политиках и процедурах организации. Российские нормативные правовые акты по защите персональных данных и объектов критической информационной инфраструктуры также содержат подобные требования. Однако, как реализовать эти задачи обеспечения эффективности обучения, не указывается.
Следует констатировать слабую роль пользователей информационной системы организации как субъектов управления её информационной безопасностью, а также недостаточное организационно-методическое и программно-техническое обеспечение этого процесса в настоящее время. Разрабатываемые Программы повышения осведомленности сотрудников организации об информационной безопасности (далее - Программы) имеют недостатки, вызывающие усталость пользователей от этих программ.  Это делает бессмысленными большинство попыток по улучшению осведомленности сотрудников об информационной безопасности.
Анализ рынка сервисов повышения осведомленности по информационной безопасности свидетельствует о том, что содержание программ не отличается системностью и логической стройностью. Поэтому важнейшей проблемой является содержание программы повышения осведомленности сотрудников об информационной безопасности организации для повышения ее результативности.
          Повышение осведомленности об информационной безопасности в организации направлено на развитие компетенций сотрудников в области обеспечения информационной безопасности. Согласно ГОСТ Р ИСО/МЭК 27000-2021, компетентность - это способность применять знания и навыки для достижения намеченных результатов. Для формирования адекватного содержания Программы повышения осведомленности сотрудников организации об информационной безопасности необходимо определить цели, объекты, процессы, средства и методы и результаты деятельности в области информационной безопасности, к которой необходимо подготовить сотрудника.
Цель деятельности сотрудников организации в области информационной безопасности организации - минимизация инцидентов информационной безопасности по их вине и негативных последствий этих инцидентов. Объектами деятельности сотрудников организации в области информационной безопасности являются все потенциальные и реальные инциденты информационной безопасности организации. Процессы деятельности сотрудников организации в области информационной безопасности - это процессы управления инцидентами информационной безопасности защищаемых объектов организации. Средства и методы реализации этих процессов зависят от вида инцидента и специфики политики организации. Результатом деятельности сотрудника организации по обеспечению информационной безопасности является успешная реализация поставленной цели - минимизация инцидентов информационной безопасности по своей вине и их негативных последствий.
Следовательно, в Программу следует включать несколько модулей, связанных с разными компонентами деятельности сотрудника как пользователя корпоративной информационной системы. Именно эти модули должны составлять основу структуры и содержания Программы повышения осведомленности об информационной безопасности сотрудников организации и отражать специфику организации. К их числу относятся:
  • целевой (кому адресована, каковы цели),
  • объектный (каковы цели защиты информации и соответствующие этим целям потенциальные и актуальные угрозы информационной безопасности организации),
  • процессный (каковы процессы деятельности сотрудника как отправителя и получателя информации организации, связанные с информационной безопасностью; кто и как должен реагировать на инциденты информационной безопасности),
  • инструментальный (каковы документированные процедуры и используемые средства и методы их реализации в организации),
  • результативный (как исследуется динамика угроз и уязвимостей информационной безопасности организации и учитывается в программе).
Рассмотрим их подробнее.
Целевой модуль характеризует содержание целей и задач сотрудников организации (пользователей корпоративной информационной системы), а также целей и задач ее конкретных структурных подразделений в общей структуре информационной безопасности и бизнес-целей этой организации.
Важным шагом в процессе обучения и повышения осведомленности в области информационной безопасности является определение целевой аудитории и ее сегментация. Это позволяет обосновать значимость и важность деятельности работников организации по обеспечению информационной безопасности, учесть их должностные обязанности и выполняемые роли. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их специфических потребностей и особенностей.  Специалист по защите информации должен предварительно составить каталог бизнес-процессов каждого структурного подразделения и их субъектов.
Программы обучения и повышения осведомленности в области информационной безопасности обязательно должны быть адресными. Один общий шаблон программы вряд ли подойдет всем подразделениям или подразделениям организации из-за особенностей бизнес-процессов, вероятных культурных различий и др. Подразделения организации сталкиваются с разными рисками информационной безопасности и имеют разные потребности в информации в своих направлениях работы. Организации должны учитывать и личностные профили сотрудников, поскольку, программы, учитывающие индивидуальные особенности определенной группы пользователей, когнитивные и культурные предубеждения в их поведении, как показывает опыт, более эффективны.
Объектный модуль Программы характеризует комплекс целей защиты информации и соответствующих им потенциальных и актуальных угроз информационной безопасности организации. Недостатком современных программных продуктов обеспечения информационной безопасности является низкий уровень комплексности. Принцип комплексности является основой теории защиты информации. Защита информации в организации осуществляется путем учета всех показателей информационной безопасности: целей, объектов, угроз, методов, способов и средств. При этом ключевую роль в комплексной защите информации играет целевая комплексность, которая направлена на достижение целей конфиденциальности, целостности и доступности информации. Другие виды комплексности (концептуальной, функциональной и структурной) являются вторичными, так как они конкретизируют процессы реализации целей защиты информации.
Знание целей и задач обеспечения информационной безопасности способствует вовлеченности сотрудников организации в процессы их реализации и реализации миссии организации. С другой стороны, непонимание целей и задач информационной безопасности препятствует установлению и развитию доверия между руководством и сотрудниками, что повышает риск умышленных дестабилизирующих воздействий на защищаемую информацию. Отсутствие знаний о целях и задачах защиты информации сотрудниками также приводит к увеличению числа непреднамеренных нарушений правил информационной безопасности.
Процессный модуль связан с описанием процессов, направленных на минимизацию инцидентов информационной безопасности в организации и их последствий. В рамках этого модуля сотрудник получает информацию о своей деятельности в области информационной безопасности как отправителя и получателя информации.
 Этот модуль содержит характеристику процессов обеспечения информационной безопасности, которые должен осуществлять каждый сотрудник. Однако существующие программы, как правило, направлены преимущественно на повышение уровня знаний сотрудников.  Их поведение и убеждения, к сожалению, остаются вне зоны внимания специалиста по информационной безопасности в ходе повышения осведомленности. Поэтому требуется новый подход к разработке программ.
Следует сконцентрироваться на поведении сотрудников как отправителей и получателей информации. Для сотрудника как отправителя информации важны процессы аутентификации, санкционированного и несанкционированного доступа к защищаемой информации, процессы создания, хранения и передачи информации. Для сотрудника как получателя информации необходима реализация процессов распознавания атак, реагирования на инциденты информационной безопасности и оповещения об инцидентах. Каждый из этих процессов требует анализа угроз защищаемой информации в процессе его реализации.
Пользователям очень важно получать информацию о реальных инцидентах информационной безопасности через программу повышения осведомленности. Так, по результатам исследования, ответственные за защиту информации считают, что «сотрудники подразделений, не связанных с защитой информации, часто (в 74% случаях) не узнают об утечках информации в организациях, в которых работают. По собственным же ответам, сотрудники, не занимающиеся защитой информации, все же узнают об утечках информации и происходит это в значительном большинстве случаев (74%) из сообщений руководства организаций»[6]. Вероятно, они проявляют инициативы в получении этой информации.
Заметим, что сотрудник обладает высоким потенциалом не только потреблять знание об информационной безопасности и применять его на практике, но и обнаруживать угрозы и инциденты информационной безопасности организации, идентифицировать умышленные утечки, а также сообщать эту информацию ответственным лицам для принятия управленческих решений. И задача ответственных лиц - этот потенциал использовать.
 Инструментальный модуль посвящен средствам и методам реализации названных процессов в данной организации. Он знакомит сотрудников с конкретными документированными процедурами по предотвращению различных инцидентов информационной безопасности с помощью программно-аппаратных и организационных средств и методов.
Одним из ключевых факторов обеспечения информационной безопасности организации является документирование процедур и использование соответствующих средств и методов. Необходимо обеспечить доступ сотрудников к ключевому документу - "Политике информационной безопасности". Пользователь корпоративной информационной системы должен владеть знаниями о методах и средствах, которые он должен использовать в своей деятельности. Для решения этой проблемы целесообразно интегрировать содержание политики информационной безопасности с повседневными рабочими процедурами, что поможет повысить уровень понимания сотрудниками конкретных шагов для обеспечения информационной безопасности.
Особое внимание следует уделить освоению содержания и других организационно-распорядительных документов по информационной безопасности и управлению компьютерными инцидентами.
Результативный модуль связан с результатами освоения программы повышения осведомленности. Его содержание посвящено: анализу текущего контроля освоения компетенций сотрудников по минимизации инцидентов информационной безопасности и их негативных последствий в организации; текущих уязвимостей сотрудников; ознакомлению с обновленным Планом повышения осведомленности, разработанным на основе анализа динамики угроз и уязвимостей информационной безопасности организации и ее структурных подразделений после освоения Программы. Реализация долгосрочной стратегии, допускающей контролируемую корректировку Программы осведомленности на основе тщательной оценки, приведет к повышению уровня поведенческого соответствия сотрудников Политике информационной безопасности и другим организационным документам по информационной безопасности.
Выводы:
  1. Организациям следует отказаться от шаблонных программ повышения осведомленности, которые безадресны, случайно структурированы, не отражают специфики организации и, следовательно,  не могут быть эффективными.
  2. Для создания результативной Программы необходимо включать в ее структуру целевой, объектный, процессный, инструментальный и результативный модули, содержание которых специфично для каждой конкретной организации. Целевой фактор предполагает адресность программы и ее конкретизацию для различных групп сотрудников. Объектный фактор требует характеристики целей защиты информации и соответствующих им угроз. Процессный фактор включает описание самозащиты процессов деятельности сотрудника как отправителя и получателя информации. Инструментальный фактор требует характеристики документированных процедур и используемых средств и методов их реализации. Результативный фактор предполагает оперативное отражение в Программе динамики угроз и уязвимостей информационной безопасности.
  3. Для разработки адекватного содержания программ повышения осведомленности об информационной безопасности требуется предварительная аналитическая работа специалиста по защите информации, моделирование ИБ-деятельности сотрудников организации и знание педагогических технологий разработки образовательных программ.
  4. В случае невозможности самостоятельной разработки и внедрения системы повышения осведомленности сотрудников организации целесообразно обратиться за услугой к лицензиату ФСТЭК.
Астахова Л.В. , д.п.н., профессор, 
заместитель генерального директора ООО «Институт МОИБ» по научно-методической работе.

[1] ИБ-компонент деятельности – это компонент деятельности, направленный на обеспечение информационной безопасности.
[2] Россия: утечки информации ограниченного доступа, 2020 год. InfoWatch. – URL: https://www.infowatch.ru/analytics/analitika/rossiya-utechki-informatsii-ogranichennogo-dostupa-2020-god
[3] Там же
 
[4] Осведомленность сотрудников организаций об утечках информации.  2023. - InfoWatch. – URL:  https://www.infowatch.ru/analytics/analitika/osvedomlennost-sotrudnikov-organizatsiy-ob-utechkakh-informatsii
[5] Утечки информации ограниченного доступа в России за 2022 год. InfoWatch. – URL:  https://www.infowatch.ru/analytics/analitika/utechki-informatsii-ogranichennogo-dostupa-v-rossii-za-2022-god
 
[6] Осведомленность сотрудников организаций об утечках информации.  2023. - InfoWatch. – URL:  https://www.infowatch.ru/analytics/analitika/osvedomlennost-sotrudnikov-organizatsiy-ob-utechkakh-informatsii