Security awareness что это

Что такое Security Awareness (обучение осведомленности о кибербезопасности) и почему это так важно?

В вашем бизнесе есть сотрудники? Если это так, то кибербезопасность (и осведомленность о ней) имеют решающее значение для вашего выживания в отрасли, где доминирует растущая кибер-преступность. Конечно, большинство людей знают о дорогостоящих кражах личных данных и регулярных взломах безопасности в корпоративном секторе, которые, кажется, появляются в новостях почти каждый день. Организации внедряют межсетевые экраны, комплексные системы защиты от кибербезопасности и сложные ИТ-протоколы, чтобы обезопасить себя от сетевых угроз.

Насколько это помогает? Без внедренной культуры осведомленности и понимания требований безопасности эти причудливые и дорогие системы не могут в полной мере защитить системы организации.

В конце концов, ваши сотрудники являются самым слабым звеном вашей организации в области кибербезопасности. Это называется «человеческий фактор». Преступники знают, что самый простой способ получить доступ к защищенным сетям или украсть данные — это нацелиться на людей, которые уже имеют доступ, и украсть их учетные данные для входа в систему и другую важную информацию.

Почему важна осведомленность о кибербезопасности?

Знаете ли вы, что по данным FraudWatch International 95% нарушений кибербезопасности происходят из-за ошибки пользователя? Вдобавок ко всему, только 38% глобальных организаций заявляют, что они готовы выдержать направленную кибератаку.

И что еще хуже, до 54% компаний говорят, что они испытали одну или несколько атак за последние 12 месяцев.

Социальная инженерия является в настоящее время любимой тактикой среди киберпреступников – применяется психологическое манипулирование жертвами, чтобы убедить их добровольно или невольно сдать личные данные, которые затем используются для преступных целей. Еще одним известным средством является фишинг, при котором фальшивые электронные письма или ссылки распространяются на сотрудников, которые затем копируют свои учетные данные. Фактически, 95% кибератак являются результатом фишинг-мошенничества, поэтому обучение сотрудников крайне важно.

Наряду с этим, вредоносные программы также являются постоянной угрозой, поскольку люди загружают приложения или программное обеспечение, предназначенное для компрометации их устройств или обеспечения доступа к сети хакерам.

Какие сотрудники должны пройти курсы повышения осведомленности о кибербезопасности?

Ваши сотрудники — ваша последняя и основная линия защиты от интернет-преступлений. Именно здесь начинается обучение осведомленности о кибербезопасности — обучение ваших сотрудников знаниям и навыкам, необходимым им для защиты от криминальных элементов.

Любой сотрудник, имеющий доступ к компьютеру или мобильному устройству, связанному с работой, должен пройти тщательную подготовку по вопросам кибербезопасности. Это означает почти всех, потому что любой пользователь может стать целью. На их личных сотовых телефонах могут храниться данные, которые можно использовать для доступа к корпоративным сетям. Или, если сотрудник становится жертвой кражи личных данных, его уникальная информация может быть использована для создания ложных профилей, которые ссылаются на ваш бренд, что позволяет совершать множество мошеннических действий.

Предоставляя информацию о кибербезопасности и обучая всех своих сотрудников, вы повышаете шансы поймать снизить вероятность мошенничества или атаки до того, как она будет полностью реализована, сводя к минимуму ущерб вашему бренду и снижая стоимость восстановления.

Какие темы следует освещать в обучении киберзащите?

Любое надлежащее обучение киберзащите должно охватывать такие элементы, как:

Тренинги по повышению безопасности и тренинг по сетевой безопасности всегда должны основываться на реальных симуляциях атак, соответствующих последним криминальным тенденциям. Хакеры постоянно совершенствуют свои подходы и технологии, поэтому ваша компания всегда должна повышать уровень своей подготовки, чтобы уязвимость оставалась на низком уровне.

Как я обучаю сотрудников кибербезопасности?

Не соглашайтесь на любой готовый учебный модуль или базовый веб-курс. Целесообразно инвестировать в профессиональных экспертов по осведомленности о кибербезопасности, которые могут работать непосредственно с вашей организацией. Этот вид специального обучения позволяет им разрабатывать стратегию защиты, которая учитывает вашу уникальную корпоративную структуру, чувствительность данных и потребности сотрудников.

Осведомленность о безопасности может быть подкреплена тем, что сотрудникам отправляют имитирующие фишинговые и вредоносные сообщения, чтобы узнать, как они реагируют, а затем проводят целевое обучение для тех, кто не отвечает безопасным образом.

Одна из ловушек, в которую попадают некоторые компании, — это проведение тренингов по безопасности в масштабах всей организации, а затем мысль о том, что участие в едином курсе защищает их и их сотрудников в дальнейшем. Однако обучение защите от кибербезопасности должно быть постоянным вложением в вашу защиту. Каждый год появляются новые угрозы, кодируется новое вредоносное ПО и разрабатываются новые фишинговые схемы. Если ваша команда не узнает об этих изменениях и не готова их обработать, риск успешной атаки возрастает до тех пор, пока атака не станет неизбежной.

Да, важно иметь правильное программное обеспечение и процедуры для обеспечения безопасности, но никогда не допускайте ошибки, упуская из виду обучение ваших сотрудников и создавая среду осведомленности о кибербезопасности на всех уровнях организации.

Не экономьте на этих инвестициях, так как они могут быть самыми важными, которые вы можете сделать, чтобы ваш бизнес был безопасным и сильным.

Сколько стоит обучение осведомленности о кибербезопасности?

Расходы на обучение будут широко варьироваться в зависимости от организации-поставщика, их критериев и количества персонала, проходящего обучение. Некоторые расходы, входящие в стоимость, включают материалы курса, штат инструкторов, сеансы сотрудников, тестирование, отчетность и другие полностью управляемые услуги.

Конечно, масштаб, как и область деятельности организации будет соответственно изменять стоимость обучения, так как для обеспечения соответствия отраслевым нормам уровень подготовки, который может потребоваться вашим сотрудникам, будет выше.

Источник

Security Awareness — программы повышения осведомленности

6 лучших практик защиты электронной почты для сотрудников

Программы повышения осведомленности

Security Awareness или программа повышения осведомленности – это обучение по вопросам информационной безопасности, которое позволит расширить возможности ваших сотрудников. Такая программа предназначена для сотрудников с доступом к Интернету в рамках своей работы (например, через веб-сайт или электронную почту).

Чем больше сотрудники уполномочены и осведомлены о том, как обрабатывать информацию, которая должна проходить через протоколы безопасности, тем меньше они подвержены дорогостоящим инцидентам безопасности, которые могут дать хакерам сквозной доступ к вашим данным и сети.

Осведомленность о безопасности — это знания и отношение сотрудников к защите физических и особенно информационных активов организации. С помощью тренингов по безопасности ваши сотрудники получат новые знания о безопасности, кибер-угрозах и конфиденциальности в Интернете.

Сотрудники смогут общаться по электронной почте более безопасно и избегать случайной утечки данных.

Источник

Обзор рынка сервисов повышения осведомленности по ИБ (Security Awareness)

Знаменитое изречение «Предупрежден — значит вооружен» в современном мире информационных технологий можно перефразировать в «Осведомлен — значит защищен». Рассмотрим рынок услуг повышения осведомленности в вопросах информационной безопасности, или Security Awareness, разберемся в проблемах осведомленности в зарубежном и отечественном законодательстве и примерах мировой и отечественной практике по сервисам Security Awareness.

Введение

В современном мире телекоммуникационных технологий работники во всех сферах деятельности должны обладать знаниями не только в рамках своих производственных процессов, но и обязательно обладать знаниями и умениями, связанными с обеспечением ИБ. Это обусловлено как требованиями законодательства Российской Федерации, нормативными правовыми актами, международными и отечественными стандартами и внутренними документами организации, так и просто одним из негласных правил безопасности — обеспечить безопасность важной для организации информации.

Однако ситуация уже много лет не меняется — основной причиной большинства инцидентов ИБ остается рядовой пользователь. Чаще всего причиной возникновения их является халатность, невнимательность и простое незнание основных принципов обеспечения ИБ.

Даже если вы внедрите самые современные и самые дорогие подсистемы обеспечения информационной безопасности, а ваш персонал по-прежнему не знает и не выполняет основные правила обеспечения ИБ, организация будет подвержена угрозам.

Для решения такой проблемы необходимо повышать осведомленность, обучать и формировать навыки в области обеспечения ИБ. И начинать все это необходимо с руководства организации.

В рамках статьи мы постараемся рассмотреть, что же представляет собой процесс осведомленности в области безопасности, или Security Awareness, зачем это нужно, а также какова ситуация на мировом и отечественном рынке в данной сфере.

Что такое Security Awareness

Само словосочетание Security Awareness, или повышение осведомленности в вопросах безопасности, вошло в обиход совсем недавно. Все начиналось с простого и понятного обучения персонала и его тестирования. Потом появились тренинги, которые вошли в систему обучения. И лишь после этого появилось понятие осведомленности.

Осведомленность является компонентом системы образования организации, которая направлена на изменение поведения и понимания персонала организации в вопросах использования технологий, интернета и выполнения обязанностей. Повышение осведомленности является отдельным элементом обучения персонала и выполняется на постоянной основе с использованием различных методов предоставления информации персоналу.

Самое раннее упоминание «осведомленности», которое удалось найти, определено в специальной публикации NIST 800-16-1998 Information Technology Security Training Requirements: A Role- and Performance-Based Model. В данном документе отмечается, что осведомленность не является обучением. Целью презентаций по повышению осведомленности является просто сосредоточить внимание на вопросах, связанных с безопасностью. Презентации по повышению осведомленности предназначены для того, чтобы показать проблемы безопасности ИТ и как необходимо на них реагировать. В деятельности по повышению осведомленности учащийся является получателем информации, в то время как учащийся на тренинге играет более активную роль.

Повышение осведомленности носит формальный характер, имея целью формирование знаний и навыков, чтобы облегчить выполнение работы.

Рисунок 1. Учебный процесс согласно NIST 800-16

Где-то в 2003 году уже в документе NIST SP 800-50-2003 Building an Information Technology Security Awareness and Training Program, который построен на базе NIST 800-16, появляется понятие Security Awareness. Таким образом, понятие зародилось в Америке.

В данном документе отмечается, что учебный процесс является непрерывным. Он начинается с осведомленности, укрепляется на тренингах и формируется в рамках обучения.

Взаимосвязь видов учебного процесса, согласно NIST SP 800-50, показана на рисунке 2.

Рисунок 2. Взаимосвязь видов учебного процесса согласно NIST SP 800-50

Итак, повышение осведомленности в вопросах ИБ — это часть системы обучения персонала, а значит, часть менеджмента ИБ. При этом повышение осведомленности в вопросах ИБ в организации должно начинаться с руководства. Если руководство организации понимает важность обеспечения ИБ и необходимость построения постоянно развивающейся системы обеспечения безопасности организации, то вопросы, связанные с необходимостью обучения и повышения осведомленности персонала, будут решаться без проблем. Ведь как мы с вами знаем, информационная безопасность — это не просто установленный антивирус на компьютере пользователя! А ведь до сих пор много людей считают, что после установки антивируса их организация полностью защищена от всех киберугроз.

Процесс повышения осведомленности в вопросах ИБ как часть системы обучения персонала подразумевает использование определенных форм, видов и методов обучения. На то, как и чему обучать персонал организации, влияют различные факторы, начиная от размеров организации, понимания руководства организации, знаний обучаемых и заканчивая выделенным бюджетом на обучение.

По данным «Лаборатории Касперского», исследования и опросы показывают, что большинство существующих программ повышения осведомленности в сфере ИБ недостаточно эффективны. Причин такого положения дел несколько:

Мировая практика по Security Awareness

Мировую практику в части законодательства мы уже начали рассматривать ранее. В этом разделе продолжим и рассмотрим международное, европейское и американское законодательство, а также какие сервисы Security Awareness представлены за рубежом.

Вопросы осведомленности в международных стандартах

Если рассматривать мировую практику по осведомленности в вопросах информационной безопасности, то мы видим, что за рубежом на законодательном уровне этим вопросом озаботились в конце девяностых — начале нулевых, еще в международном стандарте ISO/IEC 17799:2000 Information technology – Code of Practice for Information Security Management, который в 2005 году был принят в России как ГОСТ Р ИСО/МЭК 17799–2005 «Информационная технология. Практические правила управления информационной безопасностью», предъявляются требования по обучению персонала организации вопросам информационной безопасности. ISO/IEC 17799 в дальнейшем стал ISO/IEC 27002.

Согласно международному стандарту ISO/IEC 27000:2016 Information Technology — Security Techniques — Information Security Management Systems — Overview and Vocabulary («Информационная технология — Методы и средства обеспечения безопасности — Системы менеджмента информационной безопасности — Общий обзор и терминология») (в РФ известен как ГОСТ Р ИСО/МЭК 27000–2012, идентичный ISO/IEC 27000:2009), для успешной реализации системы менеджмента информационной безопасности (СМИБ), позволяющей организации достигать своих бизнес-целей, имеет значение большое количество факторов. Одним из них является эффективная программа повышения осведомленности, обучения и подготовки по информационной безопасности, доводящая до сведения всех сотрудников их обязанности по обеспечению информационной безопасности, сформулированные в политиках и стандартах информационной безопасности, и побуждающая их к соответственным действиям.

Вопросам осведомленности ИБ в международном стандарте ISO/IEC 27001:2013 Information Technology — Security Techniques — Information Security Management Systems — Requirements («Информационная технология — Методы и средства обеспечения безопасности — Системы менеджмента информационной безопасности — Требования») (в РФ был известен как ГОСТ Р ИСО/МЭК 27001-2006, но уже выведенный к настоящему времени из действия, идентичный ISO/IEC 27001:2005) посвящен подраздел 7.3. «Осведомленность» (Awareness). В нем приведены требования, что лица, осуществляющие работу под контролем организации, должны быть осведомлены о:

В международном стандарте ISO/IEC 27002:2013 Information Technology — Security Techniques — Code of Practice for Information Security Controls («Информационная технология. Методы и средства обеспечения безопасности. Свод правил по мерам и средствам контроля и управления информационной безопасностью») (в РФ — ГОСТ Р ИСО/МЭК 27002-2012, идентичный ISO/IEC 27002:2005) в разделе 7.2. «В течение занятости» отмечается, что в организации необходимо обеспечить уверенность в том, что сотрудники и пользователи сторонних организаций осведомлены о своих обязанностях в отношении информационной безопасности и выполняют их.

Пункт 7.2.2 «Осведомленность, обучение и подготовка в области информационной безопасности» (Information Security Awareness, Education and Training)

Мера и средство контроля и управления

Все сотрудники организации и при необходимости пользователи сторонних организаций должны проходить соответствующую программу информирования, обучение и подготовку и получать на регулярной основе обновленные варианты политик и процедур организации, необходимых для выполнения их рабочих функций.

Также в ISO/IEC 27002 приведены конкретные рекомендации по разработке программы осведомленности, обучения и подготовке в области ИБ.

В стандарте организации PCI DSS 3.2 «Стандарт безопасности данных индустрии платежных карт. Требования и процедура аудита безопасности» 2016 г. вопросам обучения и повышения осведомленности персонала посвящены несколько требований из раздела «Требование 12. Поддерживать политику информационной безопасности для всех работников», а именно:

«12.6 Внедрить официальную программу повышения осведомленности работников по вопросам безопасности, чтобы они знали политику и процедуры защиты данных держателей карт.

12.6.1 Обучать работников при приеме на работу, а также не реже одного раза в год.

Примечание: методы обучения могут зависеть от роли работника и уровня его доступа к данным о держателях карт.

12.6.2 Требовать, чтобы работники подтверждали не реже раза в год, что они прочли и поняли политику и процедуры информационной безопасности».

А в проверочных процедурах к требованиям PCI DSS 3.2 даны четкие рекомендации по проверке программ повышения осведомленности вопросам информационной безопасности. При этом не раз отмечается, что пересмотр такой программы должен осуществляться не реже одного раза в год.

Вопросы осведомленности в Евросоюзе

В Европе действует Европейское агентство по сетевой и информационной безопасности (European Network and Information Security Agency — ENISA) — это организация Евросоюза, созданная для содействия функционированию внутреннего рынка. ENISA — это центр передовых знаний по сетевой и информационной безопасности для государств — членов Евросоюза и европейских организаций, дающий советы и рекомендации и выполняющий функции каталога информации об удачных практических приемах. Кроме того, агентство способствует контактам между европейскими организациями, организациями — членами Евросоюза и частными субъектами в сфере бизнеса и индустрии.

В рамках своей деятельности ENISA проводит исследования и разрабатывает документы, способствующие эффективному обеспечению сетевой и информационной безопасности в рамках ЕС.

Стоит отметить, что теме Security Awareness в ENISA уделяется немалое внимание. Например, в 2008 году выпущен документ Information Security Awareness in Financial Organisations, в котором приведены конкретные рекомендации по повышению осведомленности по вопросам ИБ в финансовых организациях. В 2010 году выпущен документ The new users guide: How to raise information security awareness, он распространяется на все сферы деятельности. Стоит отметить, что это не стандарт, не закон, а документ, в котором даются конкретные рекомендации.

Что еще стоит отметить про ENISA — на официальном сайте организации приведены видеоклипы, плакаты, иллюстрации и заставки на экран компьютера, способствующие повышению осведомленности по ИБ сотрудников организации.

Рисунок 3. Плакат ENISA: «Не делайте конфиденциальную информацию вашей организации доступной для всех!»

Вопросы осведомленности в США

Про законодательство США: мы начинали рассматривать основные документы по Security Awareness, разработанные NIST. Основным из них является NIST SP 800-50.

Итак, мы уже говорили, что в NIST SP 800-50-2003 Building an Information Technology Security Awareness and Training Program отмечается, что учебный процесс является непрерывным. Он начинается с осведомленности, укрепляется на тренингах и формируется в рамках обучения.

Также в документе приведены рекомендации относительно того, что в программу повышения осведомленности необходимо включать. Список значительный, например, рекомендуется включать освещать основные темы:

Стоит также отметить, что исследованиями в области Security Awareness занимается один из известных в мире институтов — SANS Institute, деятельность которого связана с исследованиями и образовательными программами в области информационной безопасности, системного администрирования, аудита. SANS является самым надежным и, безусловно, крупнейшим источником для обучения информационной безопасности и сертификации безопасности в мире. Он также разрабатывает, поддерживает и бесплатно предоставляет самую большую коллекцию исследовательских документов по различным аспектам информационной безопасности.

SANS Institute еще в 2011 году разработал «Модель зрелости осведомленности по вопросам безопасности» (Security Awareness Maturity Model). Модель зрелости от SANS позволяет организациям определить, на каком этапе находится их программа повышения осведомленности безопасности в настоящее время и в каком направлении в дальнейшем должна двигаться организация по данному направлению.

Модель зрелости определяет пять основных этапов, под которые подпадает программа повышения осведомленности.

Рисунок 4. Модель зрелости осведомленности по вопросам безопасности (Security Awareness Maturity Model) от SANS

На рисунке 5 приведены результаты исследования SANS Institute, проведенного в 2017 году, насколько среднестатистическая программа осведомленности безопасности является зрелой.

Рисунок 5. Результаты исследования SANS Institute по вопросу, насколько среднестатистическая программа осведомленности безопасности является зрелой

Еще одной интересной инициативой зарубежных коллег является проведение месячников по повышению осведомленности в области ИБ. Например, в США проходят National Cyber Security Awareness Month (NCSAM) (Национальный месяц осведомленности о кибербезопасности) под эгидой Департамента национальной безопасности США, в рамках которых рассматриваются такие темы, как:

На официальном сайте Департамента национальной безопасности США отмечается, что «NCSAM предназначен для привлечения и обучения партнеров из государственного и частного секторов посредством мероприятий и инициатив по повышению осведомленности о важности кибербезопасности, предоставления им инструментов и ресурсов, необходимых для обеспечения безопасности в интернете и повышения устойчивости страны в случае киберинцидента».

В Европе под эгидой ENISA тоже проходят подобные мероприятия под названием European Cyber Security Month (ECSM). ECSM — это кампания по повышению осведомленности в ЕС, которая способствует кибербезопасности среди граждан и организаций в отношении важности информационной безопасности и подчеркивает простые шаги, которые могут быть предприняты для защиты данных, будь то личные, финансовые или профессиональные. Основная цель заключается в повышении осведомленности, изменении поведения и предоставлении ресурсов для всех о том, как защитить себя в интернете. ECSM стартовал в 2012 году и с тех пор проводится ежегодно.

Цели ECSM:

При этом стоит отметить, что месячники по осведомленности в области кибербезопасности распространяются на всех, начиная от госорганов и корпораций и заканчивая простыми гражданами. Регулируется все это правительством.

Подводя итог тому, как вопросы Security Awareness освещены в международном и зарубежном законодательстве, стоит отметить, что осведомленность — это короткие курсы направленные на формирование общего представления, знаний и навыков, в основном предлагаемых в виде презентаций, коротких видеороликов, плакатов и прочего, соответственно разработчики в области обучения вопросам ИБ и подсистем безопасности начали предлагать сервисы по Security Awareness.

Они представляют собой презентационные материалы по различным темам, связанным с ИБ, с последующим прохождением тестирования. Чаще всего это онлайн-сервисы. Но есть и офлайн-версии, которые встраиваются в инфраструктуру организации, а некоторые даже умеют взаимодействовать с DLP-системами. Если DLP выявляет неумышленные факты нарушения, она передает эти данные системе по повышению осведомленности по вопросам ИБ, которая анализирует нарушение и направляет пользователю обучающий курс в соответствии с нарушенным им требованием.

По статистике Gartner, рынок сервисов по повышению осведомленности в области ИБ (Security Awareness Computer-Based Training) является растущим и востребованность таких сервисов увеличивается с каждым годом.

Рисунок 6. Магический квандрант Gartner Magic Quadrant Security Awareness Computer-Based Training 2017

Итак, по статистике Gartner самыми крупными мировыми провайдерами платформ Security Awareness являются:

Российская практика по Security Awareness

Рассмотрим ситуацию в России относительно вопросов осведомленности в области ИБ. Скажем сразу, что законодательство значительно скуднее в этой части. Конечно, нельзя сказать, что его совсем нет, оно, в отличие от зарубежной практики, представлено в виде требований — без конкретики, как и что делать.

Первым документом, где приведены требования по осведомленности в области ИБ, является Федеральный закон Российской Федерации № 152-ФЗ от 27 июля 2006 года «О персональных данных». В статье 18.1 пункт 1 подпункт 6: «Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников».

На практике это ознакомление и обучение заканчивается росписью в акте ознакомления с документами в организации.

Также стоит отметить, что в Приказах ФСТЭК России приводятся требования по обучению и осведомленности. Например,

Требования к АСУ ТП — Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в котором обучению персонала вопросам безопасности информации отведен отдельный блок требований – «XVIII. Информирование и обучение персонала (ИПО)». Этот блок требований включает разработку правил и процедур (политик) информирования и обучения персонала, а также требования по проведению обучения и информирования персонала по вопросам защиты информации.

В Приказе ФСТЭК России от 31 мая 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» приведены требования по информированию пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации, а также их обучение.

В недавно принятом приказе по КИИ — Приказе ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» приводится блок требований «XVII. Информирование и обучение персонала (ИПО)», как и в Приказе №31, отличием является лишь включение нового требования по контролю осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы.

Но учитывая тот факт, что ФСТЭК опирался на документы специальных публикаций NIST, включение таких требований не видится странным.

Также требования по осведомленности установлены в гармонизированных стандартах ГОСТ Р 27-й серии, про которые мы говорили ранее.

В финансовой сфере вопросы осведомленности в области ИБ представлены в следующих документах ЦБ РФ:

В данных документах отмечается, что в рамках системы менеджмента информационной безопасности должно проводиться повышение осведомленности и обучение работников в области защиты информации/информационной безопасности.

В отличие от зарубежного законодательства, отечественные требования по осведомленности в области ИБ представляют общие требования. Нет документов, детализирующих процесс осведомленности и обучения.

Соответственно, в большинстве случаев повышение осведомленности и обучение заканчивается тем, что при приеме на работу сотрудник расписывается в акте, что ознакомлен с кучей документов, и на этом все. А в некоторых случаях не делают даже и этого. И это касается всех сфер деятельности.

Таким образом, в России рынок услуг по повышению осведомленности в области ИБ находится в зачаточном состоянии. В основном у нас предлагаются курсы по обучению и повышению осведомленности, например:

Возможно, что в ближайшее время подобные курсы перерастут в сервисы, которые будут предлагаться организациям для повышения осведомленности персонала, проходить которые можно будет на рабочем месте. А пока это старые добрые курсы по обучению, на которые нужно ездить в обучающие центры.

Подводя итог, стоит отметить, что вопросы повышения осведомленности в области ИБ в России пока находятся на этапе становления, зарождения:

Краткий обзор сервисов Security Awareness в России

В России рынок сервисов Security Awareness только начал формироваться, и вендоров в данном направлении представлено не много. Среди них такие компании, как:

Стоит также сказать, что один из крупных поставщиков услуг связи в России — «Ростелеком» — анонсировал в 2017 году новые виды услуг, в которые входит сервис повышения осведомленности в области информационной безопасности — Security Awareness. Рассмотрим, что предлагают отечественные производители.

Kaspersky Security Awareness

«Лаборатория Касперского» в рамках решений для крупного бизнеса запустила новый проект под названием Kaspersky Security Awareness(программа повышения осведомленности), который включает в себя несколько игровых тренингов для повышения осведомленности по информационной безопасности для сотрудников всех уровней, а также предполагает проверку полученных знаний.

По заявлениям «Лаборатории Касперского», более 80% всех киберинцидентов связаны с человеческим фактором. Предприятия тратят огромные средства на восстановление ресурсов после инцидентов безопасности, вызванных в том числе действиями сотрудников. Однако традиционные программы обучения, призванные предотвращать такие нарушения, недостаточно эффективны. Они информируют, но не мотивируют. Программы повышения осведомленности «Лаборатории Касперского» не только дают знания, но и формируют правильное поведение.

Первое, что хочется отметить, при обучении используются игровой подход, практические занятия, организуется имитация атак. Это в свою очередь позволяет формировать устойчивые привычки и укреплять кибербезопасность в долгосрочной перспективе.

Второе — тренинги направлены на сотрудников всех уровней, начиная с руководителей и заканчивая младшим персоналом. При этом подход к повышению осведомленности на каждом из уровней различен.

Рисунок 7. Иерархия модулей Kaspersky Security Awareness

Для разных категорий сотрудников формируются разные навыки. Высшее руководство, линейные руководители/менеджеры среднего звена, IT-специалисты и рядовые специалисты — все эти группы сотрудников обучаются разным навыкам с учетом их должностных обязанностей.

Kaspersky Security Awareness включает в себя несколько модулей:

Большинство курсов проходят в онлайн-формате, что позволяет и отделу ИБ, и отделу кадров легко отслеживать успеваемость пользователей и контролировать ход обучения.

В основе курсов — богатый опыт «Лаборатории Касперского» в области кибербезопасности и разработки защитных решений.

По данным на июнь 2017 г., платформа Kaspersky Security Awareness доступна на 30 языках. С помощью платформы онлайн-обучения можно создать и внедрить эффективный, долгосрочный и контролируемый план обучения в области ИБ с постепенным переходом от простых задач к более сложным. Широкий тематический охват курса позволяет обучать пользователей в соответствии с ландшафтом угроз и их исходными навыками.

Игра Kaspersky Interactive Protection Simulation (KIPS) предназначена для руководителей компаний, корпоративных экспертов по кибербезопасности и сотрудников IT-отделов.

Цель курса повышения осведомленности:

В KIPS предусмотрено шесть сценариев, каждый со своими типами атак, возможных для прохождения как онлайн, так и в офлайн-режиме:

Корпорация — защита предприятия от программ-вымогателей, целевых атак и нарушений безопасности автоматизации.

Банк — защита финансовых учреждений от специализированных целевых атак, направленных на банкоматы, управляющие серверы и бизнес-системы.

Нефтяная компания — защита добывающей компании от серии атак — от программ-вымогателей и взлома сайта до инсайдеров и высокоуровневых целевых атак.

Электронные госуслуги — защита государственных электронных ресурсов от атак и эксплойтов.

Транспортная организация — защита логистической компании от серии кибератак, включая целевую атаку, проникновение инсайдера, ошибку Heartbleed.

Электростанция — защита АСУ ТП и критически важной инфраструктуры.

Водоочистное сооружение — защита АСУ ТП и критически важной инфраструктуры.

В 2017 году «Лабораторией Касперского» были даже организованы весенние игры KIPS — региональный чемпионат по отражению киберугруз, в рамках которого соревновались команды из различных организаций.

Kaspersky CyberSafety Games — это интерактивный мастер-класс (игровой тренинг), который включает компьютерные занятия и уроки под руководством инструктора. Тренинг показывает линейным руководителям всю важность кибербезопасности на их уровне ответственности. Помимо создания необходимых знаний и компетенций, игровой курс помогает выработать правильное отношение к поддержанию безопасной рабочей среды во всем подразделении.

Рисунок 8. CyberSafety Management Games

Что получают менеджеры по итогам тренинга:

Платформа обучения навыкам

Для обеспечения кибербезопасности важно не только расширять знания сотрудников, но и формировать у них нужные навыки. Онлайн-платформа обучения навыкам — ключевой компонент программы повышения осведомленности. Она помогает пользователям освоить разные сценарии и ситуации, получить больше знаний и понять, как определять и реагировать на распространенные киберугрозы. Онлайн-обучение позволяет практиковаться и учиться на интерактивном портале.

Рисунок 9. Платформа обучения навыкам «Лаборатории Касперского»

Интерактивные обучающие модули:

Имитация фишинговых атак:

При оценке культура безопасности рассматривается с разных точек зрения.

Cybersecurity for IT Online

Эта программа повышения осведомленности предназначена специально для IT-специалистов, учитывает их высокий уровень технической осведомленности и специфику их рабочих обязанностей.

Обучение проходит онлайн: нужны только доступ в интернет или к корпоративной СДО (LMS) и браузер Chrome. Все модули состоят из короткой теоретической части, практических советов и 7-10 упражнений: каждое позволяет отработать определенный практический навык и учит использовать инструменты и защитное программное обеспечение в повседневной работе.

Рекомендуемый темп: модуль в неделю, то есть около 45 минут. Таким образом, курс будет успешно завершен через 1,5 месяца, причем каждый сотрудник потратит на него 4-5 часов.

Курс рекомендован для обучения всех IT-специалистов в организации, в первую очередь работников службы IT-поддержки и системных администраторов, но также он будет полезен и специалистам других отделов — в частности, всем, кто имеет права локального администратора на своей рабочей станции.

Курс состоит из шести модулей:

Этот курс дает IT-специалистам практические навыки по распознаванию возможной атаки при изучении безобидного на первый взгляд инцидента, а также навыки по сбору данных для передачи службе IT-безопасности.

Оценка культуры кибербезопасности

В ходе оценки анализируется поведение сотрудников всех уровней с точки зрения разных аспектов кибербезопасности и показывается их отношение к этим аспектам.

Полученный отчет показывает выявленные проблемные области.

Рисунок 10. Результирующая диаграмма в рамках оценки культуры кибербезопасности

Стоит отметить, что оценка культуры кибербезопасности не равнозначна оценке уровня защищенности компании (это не аудит ИБ). Отчет о культуре кибербезопасности показывает, как обычный сотрудник воспринимает кибербезопасность, что он думает о культуре, привычках, ежедневных процедурах и других аспектах, связанных с кибербезопасностью, каковы его индивидуальные взгляды на принципы защиты компании от киберугроз.

Оценка проводится в виде онлайн-опроса на базе облачной платформы. Опрос одного сотрудника занимает около 15 минут. Клиент получает обобщающий отчет по результатам опроса.

Варианты обучения по программам осведомленности «Лаборатории Касперского»:

Онлайн-тренинги (Платформа обучения навыкам и Cybersecurity for IT Online) не требуют участия тренеров и поставляются из расчета на число сотрудников и срок обучения (1, 2 или 3 года).

Phishman Awareness Center

Компании Phishman в области осведомленности вопросам безопасности предлагает продукт Awareness Center (Система управления осведомленностью пользователей), предназначенный для автоматизации процессов, позволяющих выявлять недочеты знаний и навыков сотрудников в области информационной безопасности, выстраивать процесс обучения и исследовать закрепленные профессиональные навыки пользователей. Принцип работы системы заключается в следующем.

Система Awareness Center осуществляет:

Стоит также отметить пару интересных решений, применяемых в системе Awareness Center:

Рисунок 11. Интерфейс Awareness Center. Просмотр статистики по уязвимостям браузера

Рисунок 12. Интерфейс Awareness Center. Просмотр статистики по USB-флеш- накопителям

Рисунок 13. Интерфейс Awareness Center. Просмотр общей статистики по уязвимостям

Awareness Center логически представлено двумя основными модулями:

Модуль обучения, содержит в себе 20 обучающих курсов с обязательной проверкой усвоенного материала по факту его прохождения (тестирования) и включает такие курсы, как, например: «Антивирусная защита», «Защита мобильных устройств», «Как защититься от фишинга».

Модуль контроля. Основу этого модуля составляет сервис Phishman, отвечающий за проведение учебных атак и анализ поведения пользователя во время атаки. Модуль контроля также анализирует поведение сотрудника согласно поступающим данным по событиям и инцидентам от DLP, SIEM, Web-filtering, СКУД, AD, кадровых систем и др. По результатам проведенного анализа для сотрудника готовится соответствующая программа обучения. Она составляется из индивидуального набора курсов, которые предварительно утверждаются заказчиком.

Система Awareness Center может работать как на облачной инфраструктуре, так и разворачиваться у заказчика.

Стоит отметить, что в 2017 году InfoWatch и компания Phishman объявили о завершении интеграции DLP-системы InfoWatch Traffic Monitor и системы Phishman Awareness Center. DLP-система InfoWatch Traffic Monitor фиксирует все события на рабочих станциях и корпоративных мобильных устройствах организации, анализирует их, выявляет факты нарушения политик безопасности и при необходимости блокирует передачу данных. Перехваченные DLP-системой события, попавшие в категорию неумышленных нарушений, затем передаются в систему Phishman Awareness Center, которая, в свою очередь, подбирает релевантные обучающие правила и курсы под каждый инцидент и назначает сотруднику, нарушившему политику информационной безопасности, соответствующее обучение.

Рисунок 14. Учебный курс, предлагаемый модулем Phishman сотруднику для прохождения обучения

Детально с продуктом можно ознакомиться в нашем обзоре Phishman Awareness Center.

«Антифишинг»

Компания «Антифишинг» предлагает одноименную систему обучения и контроля защищенности сотрудников (ознакомиться с сертифицированным обзором).

Система «Антифишинг» поддерживает два режима работы:

Рисунок 15. Интерфейс «Антифишинга». Управление защищенностью сотрудников в одной панели

В рамках обучения сотрудников система «Антифишинг» включает в себя обучающие курсы и дайджесты. Курсы содержат минимум теории, в основном составлены из реальных примеров, рабочих ситуаций и простых правил, которые нужно знать обычному сотруднику, а именно:

Каждый курс адаптируется под политики информационной безопасности и оформляется в соответствии с фирменным стилем организации заказчика.

Кроме курсов, заказчику доступны приватные ежемесячные дайджесты, с углубленным обзором новостей, инцидентов и разбором правил безопасности для разных категорий сотрудников.

Рисунок 16. Фрагмент курса «Антифишинга» о безопасной работе интернете

В рамках проверки навыков сотрудников система «Антифишинг» позволяет проверить самые важные навыки сотрудников, которые зачастую используются реальными мошенниками в цифровых атаках на организации.

Компания «Антифишинг» ежемесячно проектирует несколько сценариев целевых атак для каждого заказчика. После согласования заказчику передаются рабочие шаблоны имитированных атак.

На рисунке 17 приведен пример сценария атаки, который передается заказчику для согласования.

Рисунок 17. Формат сценария атаки, передаваемый заказчику для согласования

После этого заказчик загружает их в систему «Антифишинг» и использует для выполнения атак и проверки навыков своих сотрудников. В результате будет видно, кто, когда и с каких систем открывал электронные письма, переходил по ссылкам, открывал вложенные файлы, открывал фишинговые сайты и вводил свои данные на них и др.

Сценарии и шаблоны атак готовятся в соответствии с классификацией цифровых атак, формируемой «Антифишингом».

По результатам проверки навыков и реагированию сотрудника на имитируемые атаки у него накапливается рейтинг — число, означающее одновременно его опыт и общий уровень защищенности.

Рисунок 18. Интерфейс «Антифишинга». Рейтинг сотрудников по результатам реагирования на имитируемые атаки

Отрицательный рейтинг означает, что в большинстве имитированных атак сотрудник совершал небезопасные действия. Степень в рейтинге и комментарий означают последние изменения: насколько ухудшилось или улучшилось поведение сотрудника и что именно он сделал в последней имитированной атаке.

Система «Антифишинг» также позволяет отслеживать историю действий сотрудника или группы сотрудников на протяжении времени и представлять эти данные в графическом виде.

Рисунок 19. Пример истории действий по группе сотрудников и статистика их действий в одной из имитированных атак

Помимо обучения и проверки навыков сотрудников система «Антифишинг» позволяет контролировать программные уязвимости на рабочих местах и мобильных устройствах сотрудников.

Система «Антифишинг» позволяет выявить программные уязвимости в операционных системах, браузерах, почтовых клиентах и офисных программах, с которыми работают сотрудники.

Система «Антифишинг» оказывает содействие в работе таких подразделений организации, как:

Еще несколько особенностей системы «Антифишинг»:

Каждый новый сотрудник проходит обязательное обучение. Действующие сотрудники проходят проверку еженедельно.

UBS Security Awareness Platform

UBS предлагает платформу для повышения осведомленности персонала в области информационной безопасности. Также с недавнего времени UBS совместно с KnowBe4, одним из мировых лидеров, предлагает платформу повышения осведомленности KnowBe4.

Пакет предложений компании UBS по направлению повышения осведомленности в области информационной безопасности включает в себя следующее:

Рассмотрим более подробно каждое из предложений UBS.

Облачная платформа повышения осведомленности UBSвключает в себя 15 интерактивных мультимедийных курсов по всем основным темам информационной безопасности, более 650 тестовых вопросов и кейсов, наглядная агитация (заставки, плакаты и постеры по информационной безопасности), публикации для рассылки персоналу и развитая система отчетности о результатах обучения и тестирования. Также доступны сервисы санкционированных фишинговых рассылок и других пентестов методами социальной инженерии.

Рисунок 20. Облачная платформа повышения осведомленности UBS

Рисунок 21. Пакеты учебного контента облачной платформы повышения осведомленности UBS

Доступ к учебному контенту платформы осуществляется посредством любого браузера и с любого устройства, в том числе с мобильных.

Облачная платформа повышения осведомленности KnowBe4

UBS является первым и единственным на территории России и СНГ партнером американской компании KnowBe4 — одного из лидеров Gartner Magic Quadrant в сегменте Security Awareness Computer-Based Training 2017.

UBS предоставляют российским заказчикам облачную платформу, которая включает в себя как материалы и сервисы, разработанные KnowBe4, так и материалы на русском языке, адаптированные UBS для российской аудитории. Эта платформа повышения осведомленности включает в себя:

Рисунок 22. Пример интерфейса облачной платформы повышения осведомленности KnowBe4

Комплекс заказных услуг повышения осведомленности

Компания UBS также оказывает услуги повышения осведомленности, адаптированные под требования и специфику конкретного заказчика.

При этом UBS предлагает заказчику разработку материалов для повышения осведомленности, включая разработку методологической базы и организационно-распорядительной документации, регламентирующей повышение осведомленности в области обеспечения корпоративной безопасности и соответствия нормативным требованиям.

Вышеупомянутые услуги, предлагаемые компанией UBS, оказываются в несколько этапов:

Этап 1: Планирование проекта и разработка организационно-распорядительной и методологической документации на систему обучения и повышения осведомленности в области информационной безопасности.

Этап 2: Реализация программы повышения осведомленности персонала в области информационной безопасности включает следующие услуги:

Этап 3: Оценка эффективности программы повышения осведомленности, разработка рекомендаций по корректирующим мерам, а также плана их реализации.

Syssoft Security Awareness

Компания «Системный софт» предлагает облачный сервис Syssoft Security Awareness для обучения сотрудников основам кибербезопасности.

Syssoft Security Awareness включает более 20 курсов по информационной безопасности, учебный портал и сервис рассылок. Сервис развернут в облачной инфраструктуре, но при этом, по заявлениям разработчика, может быть интегрирован с DLP-системой и системой контроля рабочего времени.

Syssoft Security Awareness работает следующим образом:

При использовании сервиса выполняются следующие действия:

1 этап — Импорт списка сотрудников из Active Directory в сервис

2 этап — Автоматическое или ручное разделение сотрудников на фокус-группы

3 этап — Запуск серии писем с ловушками (счет на оплату, штраф ГИБДД и т. д.)

4 этап — Определение числа переходов по ссылкам и открытия вложений

5 этап — Формирование групп для обучения основам информационной безопасности

6 этап — Регулярное тестирование сотрудников на новых шаблонах

Syssoft Security Awareness осуществляет проверку сотрудников на подверженность атакам с использованием фишинговых писем. Если сотрудник переходит по ссылке в письме, ему автоматически предлагается пройти обучение. Также предлагается проходить регулярные обучения сотрудников основам кибербезопасности. Syssoft Security Awareness предлагает более 20 курсов по тематике информационной безопасности.

Система позволяет выявлять слабые места сотрудников с последующим обучением по выявленным темам. Осуществляется это с помощью интеграции с DLP-решениями и системами контроля рабочего времени.

В Syssoft Security Awareness существует возможность создания шаблонов электронных писем для рассылки сотрудникам. При этом с системой поставляется несколько десятков шаблонов фишинговых писем, и их база постоянно пополняется.

Syssoft Security Awareness легко интегрируется с Active Directory, что значительно облегчает формирование базы сотрудников.

Предусмотрена возможность брендирования учебного портала и курсов под фирменный стиль, а также настройка расписания обучения.

Стоит отметить, что сервис Syssoft Security Awareness в основном направлен на осведомленность персонала в вопросах защиты от фишинга и шифровальщиков.

Deteact Awareness

Еще один сервис на отечественном рынке представляет компания Deteact — сервис Deteact Awareness предназначен для повышения устойчивости компании к атакам с использованием методов социальной инженерии. При этом проводится обучение и тестирование сотрудников, а также контроль технических мер защиты.

Услуга состоит из нескольких компонентов:

Одним из компонентов сервиса Deteact Awareness является платформа обучения сотрудников. Сервис настраивается под каждого конкретного заказчика:

Таким образом, сначала проходят «атаки» на компанию по заранее согласованным сценариям для выявления уязвимых к социальной инженерии сотрудников и определения уровня знаний сотрудников для составления программы дальнейшего повышения осведомленности сотрудников.

Из особенностей сервиса Deteact Awareness можно выделить:

В рамках цикла повышения осведомленности по вопросам ИБ Deteact предоставляет дополнительные услуги:

Deteact анонсирует, что в следующей версии сервиса будут реализованы:

Выводы

В статье мы разобрались, что собой представляет Security Awareness в принципе. Security Awareness, или повышение осведомленности в области безопасности — это ряд обучающих мер, которые освещают основные моменты обеспечения безопасности как на рабочем месте, так и в обычной жизни. Короткие презентационные материалы, видеоролики, и прочие материалы, как правило, разрабатываются отдельными модулями для руководителей, звена управления и для персонала. После ознакомления с материалами обучающийся проходит тестирование.

Если рассматривать сервисы по Security Awareness, то практически все вендоры предлагают помимо курсов по повышению осведомленности еще и антифишинговые рассылки для проверки знаний персонала и выявления «двоечников».

Также мы рассмотрели законодательство в этом сегменте. С сожалением приходится резюмировать, что отечественное законодательство существенно отстает от зарубежного. Возможно, это связано с непониманием важности данного процесса для обеспечения безопасности не только частного сектора экономики, но и безопасности страны в целом. Как обычно, надеемся на авось.

Говоря про отечественную и мировую практику по услугам осведомленности в вопросах информационной безопасности, стоит отметить, что отечественный рынок сервисов и систем Security Awareness находится в начале своего становления. Причем тенденции и перспективы развития, на наш взгляд, достаточно радужные.

На отечественном рынке можно выделить сервисы «Лаборатории Касперского» и компании Phishman. Сервис «Лаборатории Касперского» содержит программы повышения осведомленности как для руководства, что является большим плюсом, так и для рядовых сотрудников. Сервис Phishman неплохо развивается, интеграция его с DLP-системами и значительный набор программ повышения осведомленности под различные категории сотрудников являются его плюсом.

Дополнительно хотелось бы порассуждать на тему осведомленности в вопросах информационной безопасности и возможных перспектив развития в России. Все мы знаем, что нашу жизнь сейчас заполонили различные гаджеты, умные вещи, техника и т. д. Половину своего дня, а то и больше мы проводим в виртуальном мире. И что хочется отметить: дети с раннего возраста (5-7 лет) уже пользуются смартфонами, сидят за компьютерами. Кто им расскажет о фишинге, вирусах и киберугрозах? Кто обучит их родителей безопасной работе за компьютером?

Немного порассуждав на эту тему, становится понятно, что решение здесь достаточно простое. Повышать осведомленность в вопросах информационной безопасности подрастающего поколения необходимо уже со школьной скамьи. Здесь необязательно вводить специализированные уроки, достаточно хотя бы раз в полгода проводить небольшое обучающее занятие, в конце которого делать тестирование. Обучать детей нужно именно основам кибербезопасности без углубления в специфику. То же самое необходимо делать и в средних специальных и высших учебных заведениях. При этом можно было бы в школах проводить занятия с родителями, раздавать им брошюры и различные постеры. Это позволит вырастить человека и специалиста, который знает основы безопасности — как придумывать пароль, что нельзя открывать непонятные письма, что по телефону нельзя передавать персональные данные кому-либо и т. д. Повышение осведомленности населения позволит в итоге значительно снизить расходы на обучение специалистов и повысит безопасность компании, в которую он устраивается, а также повысит безопасность страны в информационной сфере.

Еще одним решением повышения осведомленности граждан могло бы стать размещение на основных поисковых сайтах и в социальных сетях постеров по безопасной работе в интернете — вместо навязчивой рекламы была бы полезная информация.

Однако подобные вопросы необходимо решать на правительственном уровне, но когда власти придут к подобным решениям — неизвестно.

Источник