CC BY
74
А. В. КАЛАЧ A. V. KALACH
начальник кафедры безопасности информации и защиты сведений, составляющих государственную тайну ФКУ ВО Воронежский институт ФСИН России, доктор химических наук, профессор, полковник внутренней службы
А. С. КРАВЧЕНКО A. S. KRAVCHENKO
начальник кафедры информационной безопасности
телекоммуникационных систем
ФКУ ВО Воронежский институт ФСИН России,
кандидат технических наук, доцент,
майор внутренней службы
Современные технологии формирования культуры кибербезопасности
Modern technologies for building a culture of cybersecurity
Аннотация. В статье рассматривается понятие культуры кибербезопасности и подходы к его определению, изложены подходы к воспитанию культуры кибербезопасности у различных категорий населения, сделан акцент на важности этого для создания безопасного информационного общества, проанализирован зарубежный опыт создания среды для целенаправленного воспитания культуры кибербезопасности, приведены типовые мероприятия, проводимые в развитых странах.
Ключевые слова: информационные технологии, безопасность информации, культура безопасности информации, культура кибербе-зопасности, требования к участникам информационного взаимодействия.
Annotation. In the article the authors consider the concept of cybersecurity culture and approaches to its definition, outline approaches to the education of cybersecurity culture in different categories of the population, emphasize the importance of this for the creation of a safe information society, analyse foreign experience in creating an environment for targeted education of cybersecurity culture, and provide model activities carried out in developed countries.
Key words: information technologies, safety of information, information safety culture, culture of cyber security, requirement to participants of information exchange.
На современном этапе развития общества, когда определяющими используемыми технологиями являются информационные, любой активный субъект, понимается ли под
ним организационная структура либо индивид, вынужденно является участником отношений по обеспечению безопасности принадлежащих ему информационных ресурсов.
26
vedomosti.fsin@list.ru www.or.fsin.su
Сложность информационных технологий, включенных в них средств и методов определяет тот факт, что защита информационных ресурсов не может ограничиваться применением технических методов или принятием организационных регламентов.
Насущной проблемой становится формирование культуры безопасности информации (кибербезопасности в частности), под которой мы понимаем навыки, умения и набор установок, которыми пользуется человек, защищая различные сферы своей жизни от угроз безопасности информации. Каждый субъект информационного взаимодействия должен осознавать ценность информационных ресурсов, понимать причины принятия конкретных мер обеспечения безопасности информационных ресурсов.
Начало осознанного этапа формирования культуры безопасности информации европейскими государствами связывают с опубликованием в 2002 году документа «Руководящие принципы по безопасности информационных систем и сетей: на пути к культуре безопасности», разработанного международной экономической организацией развитых стран Organisation for Economic Co-operation and Development, который лег в основу резолюции Генеральной ассамблеи ООН A/RES/57/239 «Создание глобальной культуры кибербезопасности» [1].
Очевидно, что оговариваемая резолюцией глобальная культура кибербе-зопасности должна формироваться на начальном этапе формирования и внедрения систематизированной централизованной системы обеспечения безопасности информационных ресурсов. Видится вполне реальным, что ее наличие может в существенной степени снизить риски реализации угроз безопасности информации даже без технических и организационных мер ее обеспечения.
В резолюции A/RES/57/239 среди прочих прописаны требования ко всем
участникам информационного взаимодействия [1]:
1) ответственность: участники отвечают за безопасность информационных систем и сетей сообразно с ролью каждого из них. Участники должны подвергать свои политику, практику, меры и процедуры регулярному обзору и оценивать, соответствуют ли они среде их применения;
2) этика: поскольку информационные системы и сети проникли во все уголки современного общества, участникам необходимо учитывать законные интересы других и признавать, что их действия или бездействие могут повредить другим;
3) демократия: безопасность должна обеспечиваться так, чтобы это соответствовало ценностям, которые признаются демократическим обществом, включая свободу обмена мыслями и идеями, свободный поток информации, конфиденциальность информации и коммуникации, надлежащую защиту информации личного характера, открытость и гласность.
На рисунке 1 приведен перечень мер, принятых рядом стран для повышения осведомленности граждан в вопросах безопасности информации [2]. На наш взгляд, проблему формирования культуры кибербезопасности следует рассматривать по отношению к трем категориям субъектов информационного взаимодействия: обучающимся; сотрудникам /работникам, чья деятельность связана с вопросами сохранения целостности, конфиденциальности, доступности информационных ресурсов; гражданам, вовлеченным в информационное взаимодействие на бытовом уровне. Такое деление влечет за собой дифференциацию методов воздействия.
Следует подчеркнуть, что для решения задачи формирования культуры кибербезопасности не всегда подходят демократические решения. С большой
Ведомости уголовно-исполнительной системы № 11/2019
27
Рис. 1. Перечень мер, принимаемых развитыми странами для повышения культуры кибербезопасности
долей вероятности можно предположить, что не все сотрудники будут добровольно выполнять рекомендуемые требования учреждения по обеспечению безопасности, даже если они очевидны как в плане методики исполнения, так и целей своего существования. Как следствие, алгоритм решения должен быть адаптивен.
Первая категория из списка - обучающиеся, в нее входят все категории лиц, которые получают базовое образование, проходят переподготовку, повышение квалификации. Формирование их культуры кибербезопасности происходит в специально организованной образовательной среде, способной формировать теоретические и практические знания основ безопасности информации, а также вовлечь их в информационное взаимодействие с соблюдением требований безопасности.
На примере ФСИН России можно видеть, что в настоящее время существует потребность в высококвалифицированных кадрах, обладающих специальными компетенциями в области безопасности
информации и технической защиты информации при организации деятельности режимно-секретных подразделений ФСИН России, действующих в рамках законодательства при организации ведомственного документооборота в части, касающейся выполнения специальных требований безопасности информации в сфере защиты государственной тайны, служебной тайны, а также защиты персональных данных, обрабатываемых как на бумажных, так и на электронных носителях, в том числе с использованием системы электронного документооборота.
ФКОУ ВО Воронежский институт ФСИН России (далее - Воронежский институт) является единственным ведомственным образовательным учреждением, реализующим основные образовательные программы высшего и дополнительного профессионального образования по профилю информационной безопасности с учетом ведомственной специализации. С учетом требований федеральных государственных образовательных стандартов к подготовке выпускников, а также требова-
28
vedomosti.fsin@list.ru www.or.fsin.su
ний заказчика в лице ФСИН России к обучению сотрудников это накладывает на Воронежский институт повышенные обязательства в области организации образовательной среды, культивирующей культуру кибербезопасности среди обучающихся.
Воронежский институт может также положительно влиять на профессиональные навыки сотрудников ФСИН России и формирование ведомственной культуры кибербезопасности, так как занимает важную нишу в системе подготовки обучающихся в вопросах защиты государственной тайны и включен в перечень организаций, осуществляющих повышение квалификации специалистов в области защиты сведений, составляющих государственную тайну. Воронежский институт проводит курсы повышения квалификации по окончании которых выдается документ об образовании и (или) о квалификации, дающий право руководителям организаций, ответственным за защиту сведений, составляющих государственную тайну, считаться прошедшими государственную аттестацию (дает право на освобождение от государственной аттестации).
На указанном примере можно проиллюстрировать устройство системы целенаправленного и структурированного формирования киберкультуры лиц, включенных в образовательную среду. Сюда входят программы обучения курсантов, студентов факультета внебюджетного образования, слушателей курсов повышения квалификации и программ переподготовки, что составляет весь спектр категорий обучающихся. Доведение до обучающихся сведений из области безопасности информации предусмотрено образовательными программами как технического, так и юридического направлений, конечно, с учетом специфики образовательного процесса.
Вторая категория - сотрудники организаций, чья деятельность связана с по-
требностью обеспечения безопасности информационных ресурсов. Формирование их культуры кибербезопасности связано с иными обстоятельствами.
Обеспечение безопасности информации - это важнейшая составляющая безопасной работы организации, система управления играет самую важную роль в формировании культуры кибербезо-пасности сотрудников, она определяет политику обеспечения безопасности, занимается вопросами ресурсного обеспечения и, что немаловажно, воспитывает своим примером. Следует согласиться с утверждением о том, что на практике невозможна самоорганизация всех структур учреждения, а следовательно вопросы безопасности информации требуют регламентации. Установление правил и контроль их соблюдения неизбежны.
После разработки регламентов деятельности сотрудников системы обеспечения безопасности остается открытым вопрос человеческого фактора.
Кадровое обеспечение непостоянно, оно непрерывно меняется, появляются новые сотрудники, которые должны погрузиться в отработанную систему и перенимать опыт культуры кибербезопас-ности у среды, где принято бережное и внимательное обращение с информационными ресурсами. Однако передачи опыта недостаточно. Для успешного включения в деятельность сотрудник должен быть проинформирован о действующих регламентах обеспечения безопасности информации. Также значим фактор непрерывного обучения сотрудника на рабочем месте, которое представлено в виде тренингов, семинаров, курсов.
Таким образом, повышение осведомленности - это информирование, передача и формирование знаний, а культура -это поведение субъекта информационного взаимодействия, когда он подчиняется основным правилам кибербезопас-ности в своей деятельности на уровне привычки.
Ведомости уголовно-исполнительной системы № 11/2019
29
Формирование культуры кибербезо-пасности возможно только тогда, когда субъект в полной мере знает и понимает, чему служит цель соблюдения правил, иначе он будет их игнорировать.
Особенности обучаемого субъекта, который не погружен в среду образовательной организации, можно обобщенно описать так: просматривает текст, а не читает его слово за словом; проверяет смартфон девять раз в час, 27 раз в день использует интернет, на привлечение его внимания и выработку заинтересованности есть только пять секунд, требователен к содержанию учебного материала, привык получать информацию по конкретизированному запросу и в 60 раз быстрее воспринимает графику, чем текст.
Исходя из этого, наиболее перспективным видится обучение в форме симуляции жизненных ситуаций (кибер-учения), представления материала в виде баннеров и плакатов, микрообучения, а также обучающих игр.
Следует принимать во внимание, что каждый человек индивидуален и восприятие разных методов обучения у людей разное. Чем больше привлечено внимание обучаемого, тем больше шансов на успех.
При обучении следует придерживаться следующих правил: рассматриваемые вопросы не должны носить абстрактный характер, а должны соответствовать ситуациям, встречающимся на практике; обучение организуется без отрыва от основных обязанностей и не мешает их выполнению, предлагает выполнимые на практике решения.
Третья выделенная нами категория субъектов требует особого внимания. В идеальном случае специалисты ки-бербезопасности, обученные в рамках образовательных организаций, а также сотрудники организаций, получившие необходимые знания под руководством работодателя, будут проводниками
культуры кибербезопасности, обучая своих близких. Тогда возможна ситуация принятия требований безопасности информации приоритетными для общества, для обеспечения его нормального развития в условиях преобладания информационных технологий.
Для обоснования актуальности формирования культуры кибербезопасно-сти как средства обеспечения безопасности информационных ресурсов можно привести целый перечень потенциальных рисков, угроз, реализация которых приводит к возникновению финансового ущерба: это непосредственные потери вследствие недополученной выгоды, имиджевые потери, потери, вызванные необходимостью реализации компенсационных мероприятий по устранению последствий, и другие.
По данным отчетов организаций, которые на постоянной основе проводят обучение своих сотрудников обеспечению безопасности информации и создают условия для формирования культуры кибербезопасности, в статистике реализованных угроз безопасности происходят изменения. Так, например, рост социальной инженерии как средства получения конфиденциальной информации падает в силу того, что количество кибербезграмотных людей сокращается. ф
1. Создание глобальной культуры ки-бербезопасности : резолюция Генеральной ассамблеи ООН 57/239 от 20.12.2002. URL: https://undocs.Org/ru/A/RES/57/239 (дата обращения: 06.02.2019).
2. Summary of responses to the survey on the implementation of the OECD guidelines for the security of information systems and networks: towards a culture of security. URL: http://www. oecd.org/officialdocuments/publicdisplaydo cumentpdf/?cote = DSTI/ICCP/REG(2003)8 /FINAL&docLanguage=En (дата обращения: 06.02.2019).
30
vedomosti.fsin@list.ru www.or.fsin.su
