PROBLEMS OF CONTINUOUS LEARNING FOR INFORMATION SECURITY PERSONNEL. Rapid increase of development in software and the level of penetration of information into production processes and the improvement of methods of illegal access to confidential information and the information system as a whole determine the need for continuous training for specialists in the sphere of information security. According to their methodology, all software and hardware systems for countering cyber attacks always lag behind the methods of intruders and build their systems to counter already known and perfect attacks. The authors single out an important component of information security that is different from software and hardware which is a human factor. Qualitative continuous training of enterprise employees and information security specialists is able to generate knowledge and skills for handling confidential information, information systems and computer technology, which allow to comply with laws, rules, regulations and information security instructions at each technological stage of its use. The introduction of continuous training in commercial organizations faces a number of problems. The paper highlights the basic problems and suggests approaches to overcome them. The importance of creating an information security management system, containing as a basic component of measures to ensure continuous training of information security staff, is noted.
Key words: continuous education, advanced training, information security, information security management system.
A.В. Вилкоеа, д-р пед. наук, доц., ФКУ Научно-исследовательский институт ФСИН России, г. Москва, Е-mail: [email protected]
B.М. Литеишкое, д-р пед. наук, проф., ФКУ Научно-исследовательский институт ФСИН России, г. Москва, Е-mail: [email protected]
Б.А. Шеырее, канд. ф.-м. наук, ФКУ Научно-исследовательский институт ФСИН России, г. Москва, E-mail: [email protected]
ПРОБЛЕМЫ НЕПРЕРЫВНОГО ОБУЧЕНИЯ ПЕРСОНАЛА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Стремительное увеличение программного обеспечения и уровня проникновения информатизации в производственные процессы, а также совершенствование способов незаконного доступа к конфиденциальной информации и информационной системы в целом - всё это определяет потребность в непрерывном обучении информационной безопасности (ИБ). По своей методологии все системы программно-аппаратных средств противодействия кибератакам всегда отстают от методов злоумышленников и строят свои системы по противодействию уже известным и совершённым нападениям. Авторы выделяют важную компоненту ИБ, отличную от программно-аппаратных средств - это человеческий фактор. Качественная непрерывная подготовка сотрудников предприятий и специалистов ИБ способна сформировать знания и навыки обращения с конфиденциальной информацией, информационными системами и вычислительной техникой позволяющие на каждом технологическом этапе её использования соблюдая законы, правила, регламенты и инструкции обеспечения информационной безопасности. Осуществление непрерывного обучения в коммерческих организациях сталкивается с рядом проблем. В работе выделяются базовые проблемы и предлагаются подходы к их преодолению. Отмечается важность создания системы управления информационной безопасностью, содержащей базовый компонент мероприятия по обеспечению непрерывному обучению ИБ сотрудников.
Ключевые слова: непрерывное обучение, повышение квалификации, информационная безопасность, система управления информационной безопасностью.
Введение
В силу стремительного развития вычислительной техники и программного обеспечения актуальным становится вопрос информационной безопасности и конфиденциальности информации [1]. Потеря информации и получения к ней доступа нелегитимным способом обычно называют атакой (попыткой атаки) или взломом, или «хакингом» информационной системы, информационной среды. Методы совершения подобных противоправных действий широко описаны в современной литературе и в настоящем рассмотрение их не являются самоцелью. Текущая работа посвящена как раз противоположному процессу - процессу формирования навыков, компетенций информационной безопасности у сотрудников, в чьих должностных обязанностях указано взаимодействие с вычислительной техникой и информационными системами и средами. В настоящее время такое требование относится практически к большинству сотрудников предприятий, организаций, учреждений и т. д. Задача развития знаний и умений у сотрудников весьма обширна. Одной из особенностей является непрерывное обучение информационной безопасности, обусловленное стремительным увеличением программного обеспечения и уровнем проникновения информатизации в производственные процессы и совершенствованием способов незаконного доступа к конфиденциальной информации и информационной системы в целом.
Роль человека в процессе обеспечения информационной безопасности. Некоторое время назад считалось, что угроза конфиденциальности или киберугроза явление характерное для определенного вида деятельности, например, платежные системы и банки, и простым пользователям ничего не грозит по причине отсутствия криминального интереса к ним со стороны злоумышленников. При этом производители программных и аппаратных средств уверяли о надежности средств защиты и противодействии угрозам. ИБ возлагалась в большей степени на программное обеспечение. Исходя из числа атак и киберугроз за последние несколько лет говорить о том, что можно избежать кибернападения недопустимо. Можно говорить о том, как будет организована система управления информационной безопасностью и сколько времени и средств потребуется на устранение последствий кибератаки. По своей методологии все системы программно-аппаратных средств противодействия кибератакам всегда отстают от методов злоумышленников и строят свои системы по противодействию уже известным и совершенным нападениям. При этом стоит отметить важную компоненту ИБ отличную от программно-аппаратных средств это человеческий фактор [2]. Понимание роли человека, пользователя в обеспечение в настоящий момент остается недооценённой.
Непрерывное обучение информационной безопасности. Только качественная подготовка сотрудников предприятий и специалистов ИБ способна сформировать знания и навыки обращения с конфиденциальной информацией, информационными системами и вычислительной техникой позволяющие на каждом технологическом этапе её использования соблюдая законы, правила, регламенты и инструкции обеспечения информационной безопасности. Сотрудники, осведомленные о правилах организации и обработки сведений ограниченного доступа и конфиденциальных сведений, обеспечивают информационную
безопасность на долгосрочную перспективу. Ни для кого не секрет, что порядки и регламенты обращения с информацией в электронном виде экстраполированы с соответствующих норм по работе с документами и сведениями на бумажном носителе и лишь учитывают особенность создания, хранения, передачи и обработки электронных документов и информационных систем в целом. Тогда целесообразно признать первостепенную значимость обучения основам безопасности перед традиционными средствами программно-аппаратными обеспечения информационной безопасности на предприятии и учреждении. При всей необходимости информационных средств противодействия киберугрозам самостоятельно они не могут обеспечить вес комплекс мер информационной безопасности и лишь представляют собой инструмент, хоть и необходимый, но инструмента, эффективность применения которого определяется тактикой его использования и как следствие информационной грамотностью сотрудников подразделений по ИБ. В самом оптимистическом прогнозе при согласованной и взаимодополняемой с резервированием системы управления информационной безопасностью (СУИБ) неизбежно возникает вопрос о сотрудниках, непосредственных пользователях вычислительных средств, которые будут контактировать с системой в процессе выполнения своих должностных обязанностей, об их знаниях и осведомленности об информационной безопасности и конфиденциальности. Отсутствие образования по вопросам безопасности персонала может свести на нет все старания разработчиком и производителей программного обеспечения. Предотвращение возникновения рисков связано в первую очередь с организацией комплексного подхода к обучению и тренировкам персонала в вопросах информационной безопасности. Можно рассматривать различные педагогические методики обучения как с отрывом, так и без отрыва от производства. Разрабатывать систему инструктажа по обеспечению информационной безопасности на одном уровне значимости с аналогичными инструктажами по технике безопасности и доступу к сведениям, составляющим государственную тайну. Информационные технологии могут значительно расширить методики обучения и контроля полученных знаний.
Таким образом, организация регулярного обучения и поддержания его на современном и актуальном уровне обеспечивает упреждающую защиту информации от посягательств, так как каждая ошибка в обращении с информационной системой может быть использована злоумышленниками. Можно привести Самурайское выражение - «Враг стоит, и я неподвижен, враг напал, но я ударил первым». Упреждающим ударом в информационной безопасности и является система своевременного и актуального обучения обеспечению информационной безопасности на предприятии.
Традиционно меры по обеспечению информационной безопасности включают пять пунктов: законодательный (законы, нормативные акты, стандарты и т. п.), морально-этический (всевозможные нормы поведения, несоблюдение которых ведёт к падению престижа конкретного человека или целой организации), административный (действия общего характера, предпринимаемые руководством организации), физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей),
аппаратно-программный (электронные устройства и специальные программы защиты информации).
Необходимым и одним из основных компонентов на наш взгляд является обучение сотрудников основам информационной безопасности, развитие у них навыков и умений и как следствие формирование культуры информационной безопасности. В доктринах информационной безопасности стран НАТО 2017 и 2018 годов первоочередной задачей проходящей красной нитью является всестороннее обучение персонала, сотрудников и рядовых граждан основам обеспечения информационной безопасности [3]. Непрерывное повышение квалификации сотрудников, прохождение ими стажировок и т. д.
Формирование культуры информационной безопасности является многогранным педагогическим процессом, заслуживающим всестороннего исследования и изучения.
Трудности в реализации повышения квалификации по информационной безопасности. Надежность любой программы информационной безопасности определяется прочностью её самого слабого звено. Достаточно часто самым слабым элементом в программе управления информационной безопасностью являются люди. Люди неосознанно нажимают на вложения электронной почты, выбирают небезопасные пароли и в некоторых случаях делятся этими паролями с коллегами, становятся жертвами умных - и не очень умных - атак социальной инженерии, или они просто обходят установленные средства информационной безопасности, с целью повышения производительности выполняемых производственных задач.
Большинство коммерческих и частных организаций воспринимают задачу обучения персонала и повышения квалификации в области безопасности достаточно сложной и не обладающей наглядной краткосрочной эффективностью. Такому подходу потворствует желание экономии финансовых и людских средств, а также перегрузка и нежелание сотрудников воспринимать слишком большое количество информации. На март 2019 года по данным департамента по цифровым технологиям, культуре, СМИ и спорту Великобритании [4] отмечаются базовые технические пробелы по кибербезопасности у 54% коммерческих организаций и 18% государственных организаций в Великобритании. Кибербезопасность достаточно сложное понятие, не определяющееся только количеством квалифицированного технического персонала, это определённый уровень грамотности и навыков всего персонала в сочетании с техническими подходами, идущими в ногу со временем.
В бюджетных и государственных организация ситуация обстоит лучше из-за строгой законодательной регуляции деятельности. Развитие законодательной базы - важный и необходимый элемент, направленный на обеспечение ИБ, имеющий одну особенность, связанную с необходимостью постоянных изменений для противодействия современным киберугрозам. Изменения в законодательстве и нормативных актах приводят к выполнению конкретных требований, указанных в документах без комплексного анализа безопасности. Такому же пути следуют и при обучении персонала, проводимого исключительно для соответствия нормативным требованиям и регламентам. В результате информационная безопасность рассматривается как препятствие для способности бизнеса предоставлять эффективные услуги клиентам и не развиваться, а в последствии вообще игнорируется.
Рассмотрим один из характерных сценариев попытки управления информационной безопасности предприятия. Допустим, на организацию распространялись многие отраслевые нормы, а также юридические обязательства согласно действующему законодательству, например, Закон о защите персональных данных или критической информационной инфраструктуры. Различные инициативы по повышению грамотности сотрудников в вопросах информационной безопасности потерпели неудачу, и недавно назначенному главному сотруднику по информационной безопасности было поручено разработать программу по повышению квалификации персонала об информационной безопасности, которая бы учитывала все потребности.
В результате обзора различных внутренних программ был выявлен ряд инициатив по повышению осведомлённости о безопасности, которые были начаты в соответствии с действующими регламентами и указаниями. Тем не менее, результаты обзора показали, что каждая из этих инициатив по повышению уровня информационной грамотности была сосредоточена исключительно на своем собственном индивидуальном направлении и не была связана с общей задачей информационной безопасности предприятия в целом. Это, в свою очередь, привело к дублированию усилий и к тому, что персонал и даже руководство стали рассматривать обучение основам информационной безопасности как пустую трату времени.
Другим ключевым элементом, который был определён как причина провала этих программ, было отсутствие поддержки со стороны высшего руководства для различных программ по повышению безопасности. Каждая из программ была поддержана непосредственным руководителем, ответственным за конкретное направление бизнеса и реализацию информационной безопасности в нем. Однако за пределами этого направления поддержка программы была незначительной или отсутствовала, и, хотя намерения были хорошими, во многих случаях программы по обеспечению безопасности не работали из-за того, что руководство других направлений бизнеса не рассматривало программу как проблему с высоким приоритетом. Сотрудники служб ИБ такой организации столкнулись с
непониманием и скептическим отношением к проблеме внедрения программы обучения информационной безопасности сотрудников.
Система управления информационной безопасностью. Наиболее эффективным способом обеспечения успеха будет создание СУИБ, которая могла бы отвечать всем нормативно-правовым требованиям. Для этой цели можно использовать Стандарт информационной безопасности Международной организации по стандартизации / Международной электротехнической комиссии (ISO / IEC) 27001 [5]. Ранее известный как BS 7799, ISO / IEC 27001 в настоящее время является международно-признанным стандартом, который предоставляет компаниям основанный на риске подход к защите своей информации. Являясь международным стандартом, ISO / IEC 27001 предоставляет организациям независимую проверку того, что их система управления информационной безопасностью соответствует международно-признанному стандарту. Это даёт компании, её клиентам и партнерам уверенность в том, что они управляют своей безопасностью в соответствии с признанными и проверенными рекомендациями и регламентами.
Принимая основанный на рисках и стандартах подход к внедрению системы управления информационной безопасностью в соответствии с ISO / IEC 27001, компании получают преимущества за счет соответствия законодательным и отраслевым нормативным требованиям [6].
Важно отметить, что ISO / IEC 27001 можно просто использовать в качестве основы, на которой компания может внедрять и оценивать свою систему управления информационной безопасностью без необходимости аккредитации или регистрации. Это особенно полезно для компаний, желающих убедиться, что они внедряют эффективную СМИБ, но, возможно, не хотят затрат и накладных расходов на проведение аудита.
В Стандарте информационной безопасности ISO / IEC 27001 был ряд ключевых элементов. Рассмотрим их подробнее.
Одним из ключевых факторов успеха любой реализации ISO / IEC 27001 является комплексный подход к управлению рисками в системе управления информационной безопасностью предприятия или учреждения. Выявив все риски информационной безопасности, с которыми сталкивается организация, и уровень риска, который руководство и бизнес готовы принять, можно выбрать и внедрить наиболее подходящие средства для управления этими рисками в рамках приемлемых уровней риска.
Обычно выявляется риск несоблюдения различных нормативных и правовых требований. Некоторые из этих нормативных и правовых требований предусматривают, что сотрудники должны быть осведомлены о своих обязательствах в соответствии с этими правилами и должны пройти соответствующее обучение.
Кроме того, стандарт информационной безопасности ISO / IEC 27001 требует, чтобы оценка рисков проводилась регулярно, чтобы можно было измерять эффективность выбранных средств контроля, а также выявлять и управлять новыми рисками. Это гарантирует, что программа осведомленности о безопасности должна впоследствии обновляться при выявлении новых рисков. Это позволяет актуализировать программу и учитывать в ней современное состояние угроз и мер противодействия.
Поскольку отсутствие обучения сотрудников по вопросам соблюдения требований информационной безопасности было выявлено при оценке риска, им необходимо впоследствии управлять и принимать меры по устранению недостатка. Принимать такие меры в рамках бизнеса или предприятия относятся к компетенции высшего руководства. Одним из способов управления этим риском является реализация программы обучения по обеспечению информационной безопасности. Принятие такого решения должно было быть признано и одобрено старшим руководством, специалист подразделения информационной безопасности должен получить полную поддержку старших руководителей, чего так не хватало прежде.
После поддержки программы устранения рисков, вызванных нехваткой обучения, формируются необходимые программы, средства и ресурсы.
Непрерывное улучшение. Одним из ключевых преимуществ внедрения системы управления информационной безопасностью на основе стандарта информационной безопасности ISO / IEC 27001 является требование постоянного совершенствования СУИБ.
Возможность разработки обучающей программы по вопросам безопасности и конфиденциальности, которая отвечала бы реальным потребностям бизнеса, также обеспечивает успех обучения сотрудников и информационной безопасности в целом [7].
Наряду с предоставлением прочной основы для разработки программы обучения по вопросам безопасности и конфиденциальности, СУИБ использует стандарт для:
• соблюдение законодательства:
Наличие структурированной системы управления информационной безопасностью облегчает задачу определения требований соответствия законодательству. Это также сделало включение новых или изменение прежних требований соответствия программ обучения осведомленности и информационной безопасности и конфиденциальности более эффективным и действенным процессом.
• Улучшенное управление:
Наличие единой программы обучения по вопросам безопасности и конфиденциальности также обеспечивает уверенность руководства в соблюдении
ключевых элементов информационной безопасности, изучению которых и посвящено обучение персонала. Эта информация позволяет руководству обеспечить прозрачную и эффективную кадровую политику, направленную на назначение на ключевые посты сотрудников, обладающих знаниями в области информационной безопасности. Тестовые материалы, разработанные для поддержки учебной программы, также позволили руководству быстро определить, где были пробелы в обучении и какие дополнительные инвестиции необходимо было сделать для устранения этих пробелов.
• Улучшение отношений с клиентами и партнёрами:
Продемонстрировав, что компания серьезно относится к информационной безопасности, клиенты и торговые партнеры могут уверенно обращаться к ней,
Библиографический список
зная, что она применила независимый проверяемый подход к управлению рисками информационной безопасности.
Выводы. Благодаря использованию программы обучения по вопросам информационной безопасности и конфиденциальности в соответствии с ISO / IEC 27001 в отличие от прежних не структурированных и не систематизированных отдельных программ, снижается стоимость обучения персонала и повышается отдача от обучения и оправдываются вложенные инвестиции в обучение.
Хотя ISO / IEC 27001 не гарантирует 100%-ную безопасность (в принципе никакой стандарт или система не может), он позволяет компании применять качественный подход к защите данных своих клиентов и, в конечном итоге, к защите конфиденциальности личной информации своих клиентов.
1. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895).
2. Pedley D., McHenry D., Motha H., Shah J (2018). Understanding the UK cyber security skills labour market.
3. Основные понятия национальной кибербезопасности государств, входящих в Северо-Атлантический альянс: монография. Б.А. Швырев. Москва, 2018.
4. Policy paper «Initial National Cyber Security Skills Strategy: increasing the UK's cyber security capability - a call for views, Executive Summary». 3 May 2019. Department for Digital, Culture, Media & Sport. Available at: https://www.gov.uk/government/publications/cyber-security-skills-strategy/initial-national-cyber-security-skills-strategy-increasing-the-uks-cyber-security-capability-a-call-for-views-executive-summary
5. Оригинал ISO 27001 Британского института стандартов ISO 17799. Available at: http://www.standardsdirect.org/iso17799.htm
6. Руководство по ISO17799. Available at: http://iso-17799.safemode.org/
7. ISO 17799: 2005 Охват информационной безопасности. Гари Хинсон. Available at: http://iso-17799.safemode.org/indexade7.html?page=ISO_17799_and_information_ security_awareness
References
1. Doktrina informacionnoj bezopasnosti Rossijskoj Federacii (utv. Prezidentom RF ot 9 sentyabrya 2000 g. N Pr-1895).
2. Pedley D., McHenry D., Motha H., Shah J (2018). Understanding the UK cyber security skills labour market.
3. Osnovnye ponyatiya nacional'noj kiberbezopasnosti gosudarstv, vhodyaschih v Severo-Atlanticheskij al'yans: monografiya. B.A. Shvyrev. Moskva, 2018.
4. Policy paper «Initial National Cyber Security Skills Strategy: increasing the UK's cyber security capability - a call for views, Executive Summary». 3 May 2019. Department for Digital, Culture, Media & Sport. Available at: https://www.gov.uk/government/publications/cyber-security-skills-strategy/initial-national-cyber-security-skills-strategy-increasing-the-uks-cyber-security-capability-a-call-for-views-executive-summary
5. Original ISO 27001 Britanskogo instituta standartov ISO 17799. Available at: http://www.standardsdirect.org/iso17799.htm
6. Rukovodstvo po ISO17799. Available at: http://iso-17799.safemode.org/
7. ISO 17799: 2005 Ohvat informacionnoj bezopasnosti. Gari Hinson. Available at: http://iso-17799.safemode.org/indexade7.html?page=ISO_17799_and_information_security_ awareness
Статья поступила в редакцию 14.07.19
УДК 378.016
Vnuchkova T.N., Cand. of Sciences (Philology), senior lecturer, Altai State Medical University (Barnaul Russia), E-mail: [email protected]
Komissarova L.M., Cand. of Sciences (Philology), senior lecturer, Altai State University (Barnaul Russia), E-mail: [email protected]
CONTEXTUAL METHOD IN TRAINING OF EXPERTS ON ADVERTIZING AND PUBLIC RELATIONS. The article studies a contextual method of training in advertizing and public relations which, is offered to be considered as an instrument of development of skills in systematization of information and a professional reflection in different communication technologies. For demonstration of opportunities of the method designed by the authors of the modern Product Placement technology is chosen. The contextual method is represented as a universal tool of the analysis of semantic links in works of culture, literature and art as objects of marketing communications of the companies' brands. On the basis of the models used in Product Placement three types of a context are allocated and described: visual, verbal and behavioural. The types of the context are included into a peculiar catalog of contexts with the mastered procedures of the contextual analysis which authors suggest to add in further researches.
Key words: contextual method, cognitive dissonance, communication technologies, embedded advertizing, Product Placement.
Т.Н. Внучкова, канд. филол. наук, доц., Алтайский государственный медицинский университет, г. Барнаул, E-mail: [email protected]
Л.М. Комиссарова, канд. филол. наук, доц., Алтайский государственный медицинский университет, г. Барнаул, E-mail: [email protected]
КОНТЕКСТНЫЙ МЕТОД В ОБУЧЕНИИ СПЕЦИАЛИСТА ПО РЕКЛАМЕ И СВЯЗЯМ С ОБЩЕСТВЕННОСТЬЮ
Статья посвящена контекстному методу обучения в рекламе и связях с общественностью, который предлагается рассматривать как инструмент развития навыков по систематизации информации и профессиональной рефлексии в различных коммуникационных технологиях. Для демонстрации возможностей метода авторами избрана современная технология Product Placеment. Контекстный метод представляется авторами как универсальный инструмент анализа семантических связей в произведениях культуры, литературы и искусства как объектах маркетинговых коммуникаций компаний-брендов. На основании используемых в Product P^me^ моделей выделены и описаны три вида контекста: визуальный, вербальный и поведенческий. Виды контекста входят в своеобразный каталог контекстов с освоенными процедурами контекстного анализа, который авторы предлагают дополнять в дальнейших исследованиях.
Ключевые слова: контекстный метод, когнитивный диссонанс, коммуникационные технологии, скрытая реклама, Product Placеment.
В настоящее время в сфере образования наступает этап, когда необходимо переходить от обсуждения общих проблем к задачам, возникающим в практической деятельности в конкретной профессиональной отрасли [1]. В прак-тиориентированных специальностях, к которым относится «Реклама и связи с общественностью», все острее встает вопрос о нетеоретическом владении профессией. Помимо других практических навыков готовность применять современные коммуникационные технологии - одно из самых важных требований рынка, предъявляемых к будущим профессиональным коммуникаторам [2]. Это овладение невозможно без ввода в практическую деятельность методов, позволяющих развивать профессиональную рефлексию [3].
В настоящей статье мы обратимся к контекстному методу, который предлагаем использовать в распространенной в рекламе и PR коммуникационной технологии - Product P^me^. Этот метод развивает когнитивные навыки обучающегося вследствие того, что упорядочивает знания об объекте в ходе контекстного анализа, результаты которого образуют «многомерную систему контекстов, «конструирующих» данное явление для воспринимающего его субъекта» [4, с. 2]. Овладение этим методом позволит специалисту сформировать устойчивые навыки работы в проектном менеджменте, в работе с потребительским опытом клиента, навыки визуального конструирования и многие другие.