CC BY
9
УДК 004.056
ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ ПОЛЬЗОВАТЕЛЕЙ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Е. В. Ульянова* Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М.Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
*E-mail: elenavladimirovnav@mail.ru
Рассматривается задача повышения осведомленности пользователей в области информационной безопасности. Предлагается сценарий интеграции в рамках единой платформы автоматизации различных формы взаимодействия с пользователями. Сформированы общие требования для автоматизации процессов системы повышения осведомленности пользователей.
Ключевые слова: информационная безопасность, информирование, осведомленность в области информационной безопасности.
INCREASING USER AWARENESS IN THE FIELD OF INFORMATION SECURITY
E.V. Ulianova* Scientific supervisor -V.G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation *E-mail: elenavladimirovnay@mail.ru
The task of raising user awareness in the field of information security is considered. A scenario of integration within a single automation platform of various forms of interaction with users is proposed. The general requirements for automating the processes of the user awareness system are formed.
Keywords: information security, informing the public, security awareness.
Одним из актуальных и ключевых направлений деятельности, требующих особого вниманий профильных специалистов на крупных предприятиях, является повышение осведомленности пользователей в области информационной безопасности (ИБ). Многие работники весьма далеки от вопросов защиты информации и поэтому значительное число инцидентов ИБ, связанных, прежде всего с утечками конфиденциальной информации, заражениями вредоносным программным обеспечением или уничтожением/искажением информации, происходит по вине работников, которые сознательно или нет, нарушают требования по обеспечению ИБ, либо попросту не знают этих требований. Большинство специалистов в области информационной безопасности сходятся во мнении, что более 80% инцидентов происходит по вине работников, причем значительная часть - в результате неумышленных действий: по халатности, по невнимательности или просто по незнанию [1].
Именно поэтому на крупных предприятиях существует объективный запрос на внедрение системы, которая позволит повысить осведомленность пользователей в области ИБ. Такая
(Секция «Информационная безопасность»
система должны предоставлять механизмы автоматизации для следующих основных форм взаимодействия с персоналом:
- инструктажи;
- информирование;
- обучение.
Инструктаж по ИБ проводится с целью доведения до работников организации основных требований ИБ, правилах безопасной работы, изучения угроз безопасности, средств защиты информации, а также действий работников в случае возникновения инцидента, реализации угрозы безопасности. Инструктаж по ИБ проводится профильным специалистом по ИБ в соответствии со специально разработанными и утвержденными программами. Программы разрабатываются профильным отделом ИБ и утверждаются руководителем предприятия. По характеру и времени проведения инструктажи по ИБ подразделяется: первичный на рабочем месте, повторный и внеплановый. О проведении инструктажа ответственным за проведение такого инструктажа делается запись в журнале учета проведения инструктажей по ИБ с обязательной подписью инструктируемого и инструктирующего, указанием даты проведения.
Внутренняя система информирования персонала - это комплекс мероприятий по информированию сотрудников, призванный решать задачу по повышению осведомленности в области ИБ [2]. Можно выделить такие виды информирования как:
- информационные рассылки по электронной почте и через корпоративные мессенджеры;
- статьи на корпоративном информационном портале;
- статьи в корпоративной газете;
- графический информационный плакат;
- информационные стенды (экраны);
- отображение информации по ИБ при помощи скринсейвера;
- брошюры - сборники правил по ИБ.
Процесс повышения осведомленности в вопросах ИБ как часть системы обучения персонала подразумевает использование определенных форм и методов обучения. На то, как и чему обучать персонал организации, влияют различные факторы, начиная от размеров организации, понимания руководства организации целей обучения, знаний обучаемых и заканчивая выделенным бюджетом на обучение [3]. В настоящее время все более активно начинают входить в российскую практику современные методы обучения персонала: модульное обучение, дистанционное обучение, наставничество, обучение действием, обучение в рабочих группах, метафорическая игра, обучение по методу «Shadowing», обучение по методу «Secondment», обучение по методу «Buddying» [4]. Вне зависимости от формы и методов обучения систему мотивации сотрудников на предприятии необходимо дополнить показателями, связанными с результативностью их обучения.
Система повышения осведомленности персонала в области ИБ также должна распространять своё действие и на сотрудников подрядных организаций, выполняющих работы, оказывающих услуги и задействованных в производственных процессах предприятия. Для этого в договорах с подрядными организациями необходимо предусмотреть пункты, требующие исполнения локальных нормативных документов по ИБ сотрудниками подрядных организаций и в обязательном порядке предусмотреть санкции за нарушение указанных пунктов.
Ключевым вопросом эффективного функционирования системы повышения осведомленности пользователей в области ИБ является вопрос автоматизации этого процесса. Однако, сложность заключается в том, что процесс повышения осведомленности сам по себе является комплексным и состоит из нескольких подпроцессов, имеющих собственные средства автоматизации, а готового интегрированного решения, которое позволило бы автоматизировать весь процесс и воедино связать все подпроцессы, на рынке
не существует. Так, система обучения является, по сути, законченной информационной системой с высокой степенью автоматизации и может поставляться как сервис. В тоже время процессы инструктирования и информирования пользователей практически никак не автоматизированы. Поэтому одной из основных задач в рамках автоматизации процесса повышения осведомленности пользователей, является разработка структурно-функциональных требований на создание и внедрение информационной системы, которая позволит автоматизировать не охваченные автоматизацией подпроцессы и интегрировать подпроцессы, которые уже автоматизированы. Такие требования, например, могут включать:
- единая информационная система для автоматизации всего функционала, связанного с повышением осведомленности пользователей в области ИБ;
- автоматизация функций процесса инструктирования пользователей и ведения журналов учета инструктажей;
- автоматизация функций процесса информирования (информационные рассылки с использованием электронной почты и корпоративных мессенджеров);
- полная интеграция с системой обучения пользователей в области ИБ;
- интеграция с Active Directory и кадровой информационной системой для организации учета пользователей и их показателей;
- наличие генератора отчетов для контроля показателей пользователей и эффективности системы в целом.
На сегодняшний день система реализована в следующих компонентах: внедряется автоматизированная платформа Kaspersky Automated Security Awareness Platform (ASAP) для обучения пользователей, инструктирование и информирование пользователей происходит в ручном режиме с ведением бумажных журналов. В дальнейшем планируется разработать систем автоматизации в соответствии с требованиями и внедрить ее на предприятии, для создания полноценной информационной системы поддержки повышения осведомленности пользователей в области информационной безопасности, включающей в себя все необходимые компоненты.
Библиографические ссылки
1. Information Securite [Электронный ресурс] URL: https://lib.itsec.ru/articles2/control/ povyshenie-osvedomlennosti-polzovateley-po-voprosam-ib (дата обращения 01.03.2021).
2. Секретарь Референт [Электронный ресурс] URL: https://www.profiz.ru/sr/ 6_2018/informirovanie_v_kompanii/ (дата обращения 01.03.2021).
3. Anti-malware. [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/ Market_Analysis/Security-Awareness (дата обращения 01.03.2021).
4. Решетневские чтения 2020 [Электронный ресурс] URL: https://disk.sibsau.ru/index.php/ s/yyqSUlfERLyOw4v (дата обращения 01.03.2021).
© Ульянова Е. В., 2021
