Элькина Елена (elena@dsec.ru) (опубликовано в журнале "CNews" №4/2007)

Основные участники
Как-то в одной из статей автор сравнивал процесс обеспечения информационной безопасности с футбольным матчем: игроки – специалисты, так или иначе ответственные за поддержание информационной безопасности компании, тренер – руководитель отдела ИБ, спортинвентарь – технические средства защиты информации, владелец клуба – руководство компании, и, наконец, противник – злоумышленник, который тем или иным способом стремится нарушить защищенность ваших информационных ресурсов.
Даже не вдаваясь в подробности, это действительно неплохая аналогия. Но с одним сравнением согласиться трудно - обычных сотрудников компании автор статьи сравнивает с болельщиками, которые не могут повлиять на исход матча и не принимают участия в игре. И только иногда своим поведением они могут привести к начислению штрафных очков команде или ее дисквалификации. Но разве действия сотрудников компании не становятся часто основными причинами нарушения информационной безопасности, когда они открывают вложения в письмах от таинственных незнакомцев, работают дома с конфиденциальными документами, держат записанный пароль недалеко от компьютера, хранят на ноутбуках информацию в незашифрованном виде и т.д. По статистике около 80% нарушений ИБ связаны с небрежностью, недостаточной компетентностью и безответственностью персонала. Не смотря на то, что неумышленные действия обычно наносят меньший ущерб, чем умышленные, благодаря своему количеству они являются зачастую значительно более серьезной угрозой, чем умышленные нарушения, которые встречаются значительно реже. В итоге сотрудники часто воспринимаются специалистами по защите информации как основные нарушители. Таким образом, если вернуться к аналогии с футболом, сотрудники - это скорее болельщики, которых выпустили на поле: кто-то мешается под ногами, кто-то заслоняет обзор игрокам, кто-то нечаянно загоняет мяч в свои же ворота. Единственная разница – в футболе игроки – основные действующие лица и роль болельщиков – наблюдать, а в футбол можно играть и без них. В бизнесе же сотрудники – необходимый атрибут деятельности компании и одна из основных задач специалистов отдела ИБ – предоставить сотрудникам постоянный доступ к информационным ресурсам и обеспечить их целостность и конфиденциальность.

Выбор оружия
В той же статье, о которой шла речь ранее, основная идея, которую автор хотел донести до читателя, заключается в том, что также как в футболе спортинвентарь имеет большое, но не решающее значение, технические средства защиты информации вторичны. Самое главное оружие для победы – мастерство тренера и игроков, а в нашем случае – специалистов по защите информации.  И вряд ли с этим кто-то будет спорить.
Но давайте вернемся к болельщикам на футбольном поле или обычным сотрудникам компании. Они могут стать как верными и надежными союзниками, так и пешками в руках противника.  Ведь даже хорошие средства защиты с правильными настройками не помогут в большинстве случаев избежать последствий атаки с использованием социальной инженерии и других, вызванных недостаточной осведомленностью пользователей компании. Соответственно, первоочередная задача игроков и тренера или специалистов по ИБ обучить пользователей правилам игры, которые приведут всю команду к победе.
Умышленные действия пользователей мы не рассматриваем, т.к. в этом случае сотрудник является изначально нашим противником и с ним надо бороться. Методы предотвращения появления внутренних противников и их обращения в союзников требуют рассмотрения в отдельной статье. Можно лишь отметить, что при правильном отношении пользователей к обеспечению информационной безопасности, когда они умеют идентифицировать инциденты ИБ и осознают возможные последствия, внутреннему нарушителю, действующему умышленно, зачастую будет значительно сложнее осуществить  задуманное.

Предыстория
Итак, основа победы в игре, или вернее, в войне, т.к. трудно назвать борьбу за информационные ресурсы компаний игрой, заключается в нескольких основных составляющих: грамотные специалисты, управляющие информационной безопасностью,  хорошее техническое оснащение, правильное отношение руководства компании и, в не последнюю очередь, обученный и лояльный персонал компании.
Еще в 2001 году ведущие эксперты говорили о необходимости обучать информационной безопасности не только профильных специалистов, но и обычных пользователей. Но в то время обеспечение информационной безопасности в лучшем случае заключалось в наличии антивирусов и каких-то минимальных инструкциях, что уж говорить об обучении пользователей.
С начала 2002 года в Россию довольно медленными темпами стал приходить стандарт управления информационной безопасностью ISO 17799, в котором отдельной главой выделялся вопрос обеспечения безопасности персонала – наличие необходимых инструкций и периодическое обучение основным правилам в области ИБ. Однако, не смотря на то, что росло число специалистов, понимающих, что одними технологиями безопасность не обеспечишь, даже они говорили, что  до этого еще не доросли. Ведь если внедрение каких-то технических решений еще возможно реализовать силами системной администратора или в лучшем случае выделенного специалиста по информационной безопасности,  то внедрить в компании регулярный процесс повышения осведомленности пользователей в области ИБ возможно только при поддержке руководства. А в 2002 году получить ее было практически  нереально.
К 2005 году ситуация изменилась кардинально - на стандарт обратили серьезное внимание регулирующие органы РФ, большинство ведущих компаний ориентировались на стандарт при построении СУИБ. Но в вопросах обеспечения безопасности персонала в основном все сводилось к проверкам при  приеме сотрудника на работу, подписанию соглашения о конфиденциальности и определению ответственности за нарушение режима безопасности. Таким образом, большая часть главы стандарта про обучение пользователей все-таки оставалась нереализованной.
С 1 января 2007 года в России введен в действие ГОСТ 17799. Этому предшествовало повсеместное распространение ISO 17799 в российских компаниях в 2006 году. Нашей компании, как одному из ведущих участников рынка услуг по разработке СУИБ в соответствии с данным стандартом, подготовке компаний к сертификации по ISO 27001,  было легко наблюдать метаморфозу из никому практически не известного чужого стандарта, за пять лет ISO 17799 превратился в основной инструмент для отечественных специалистов при разработке и внедрении СУИБ.
Как следствие, все больше компаний стали понимать недостаточность использования одних лишь технологий. Все больше внимания стало уделяться вопросу повышения осведомленности пользователей. Для части компаний, относящихся к кредитно-финансовым учреждениям, не последнюю роль сыграл и стандарт Банка России, который прямо говорит: "…главный инструмент собственника — основанный на опыте прогноз, а также работа с персоналом организации по повышению его бдительности в возможных критических условиях, готовности и способности к адекватным действиям в условиях потенциальной злоумышленной активности".

Все средства хороши
Стандарт ISO 17799 определяет основную цель повышения осведомленности пользователей так: "…убедиться в том, что пользователи осведомлены об угрозах нарушения режима информационной безопасности и понимают значение защиты, а также имеют необходимые навыки для выполнения процедур, необходимых для нормального функционирования системы безопасности организации".
Для этого в соответствии со стандартом необходимо, чтобы пользователи:
- были знакомы с политикой безопасности компании;
- умели правильно пользоваться информационными ресурсами;
- могли идентифицировать инцидент информационной безопасности и знали порядок действий в случае возникновения инцидента;
- знали, какую ответственность понесут в случае нарушения информационной безопасности.
Вот основные задачи, которые стоят перед руководителем отдела безопасности. Ведь даже не смотря на то, что обучение персонала – прерогатива отдела кадров, повышение осведомленности пользователей в вопросах ИБ – это, по сути, закрытие одной из уязвимостей информационной системы. И традиционно, даже если формально по документам обучение проходит через отдел кадров, инициирует и контролирует процесс руководитель или ответственный сотрудник отдела информационной безопасности.
Обучение персонала никогда не было особой проблемой, если руководитель хотел повысить квалификацию своих сотрудников. Однако в нашем случае перед руководителем отдела безопасности стоит значительно более сложная задача. Вот примерный перечень основных проблем:
- Сотрудники воспринимают "в штыки" все правила, т.к. они мешают им работать и не приносят никакой пользы, соответственно, трудно достичь эффективных результатов от обычных учебных курсов без дополнительной мотивации и хорошо налаженной системы контроля знаний и навыков.
- Основам ИБ необходимо обучать всех сотрудников, которые вовлечены в обработку информационных ресурсов компании, что требует значительных финансовых вложений, а также остановки рабочего процесса целых отделов.
- Обучение должно быть как общим правилам, так и внутренним, принятым в компании, в соответствии с корпоративной политикой информационной безопасности.
На Западе на сегодняшний день довольно хорошо развито направление различных решений для повышения осведомленности пользователей, которые помогают  справиться с обозначенными проблемами. В качестве основных предлагаемых на рынке решений представлены следующие продукты:

• обычные курсы, которые в основном предназначены для обучения сотрудников при приеме на работу или разрабатываемые на заказ по материалам политики безопасности заказчика;
• корпоративные системы дистанционного обучения с набором теоретических и практических материалов, системой планирования обучения и системой контроля знаний;
• скринсэйверы, флэш-ролики;
• печатные материалы – постеры, календари и т.п. соответствующей тематики;
• новостные рассылки по информационной безопасности для пользователей;
• различные решения для периодического тестирования практических навыков пользователей.

Кроме обучения, все продукты помогают решить такую важную задачу, как изменение отношения пользователей к обеспечению информационной безопасности, которое пока в основном резко негативное. Подобное отношение явилось результатом того, что сначала вводились различные технические ограничения, запретительные инструкции, и только сейчас пользователям начинают объяснять, зачем нужны те или иные правила.
В 2006 году практически впервые стали появляться подобные решения и в России. И в результате достаточной зрелости российских компаний  в том же 2006 обозначился на них спрос.  О какой-то зрелости рынка пока говорить рано, но уже сегодня на рынке представлены комплексные решения российских производителей, включающие большую часть перечисленных продуктов. На Западе для этого существует термин - Security Awareness, включающий в себя весь комплекс решений по повышению осведомленности пользователей в области информационной безопасности.
Каждый элемент Security Awareness по-своему интересен:

• Обычные курсы – разработанные специалистами курсы для пользователей, которые преподаются в очной форме, являются обязательными при приеме на работу нового сотрудника. И если потом обучение может быть дистанционным, то первый инструктаж все-таки желательно проводить лично, чтобы передать человеку определенный настрой, а это можно сделать только при непосредственном общении.
• корпоративные системы дистанционного обучения (e-Learning) позволяют донести до любого количества сотрудников необходимые знания и проконтролировать полученные знания. При этом достигается значительная экономия – например, когда компания IBM ввела  e-Learning курс для каждого нового менеджера, программа сэкономила $24 миллиона, стоимость одного дня обучения снизилась в 3 раза - с $400 до $135. При этом объем учебного контента увеличился в 5 раз. В принципе, не имеет большой разницы, какую оболочку использовать, т.к. все существующие на данный момент системы примерно схожи по функциям и их легко адаптировать под какие-то конкретные запросы. Важнее правильно выбрать разработчика наполнения системы.
• Скринсэйверы, флеш-ролики, постеры и т.д., если они сделаны грамотно, помогают пользователям запомнить основные правила без временных затрат и с минимальными финансовыми вложениями для компании.
• Новостные рассылки, которые содержат интересные и актуальные нетехнические новости хороши тем, что сотрудники постоянно видят, что все угрозы, про которые им рассказывают те же скринсэйверы, постеры и т.д.  – не выдумка специалистов отдела ИБ, а реальные события, которые происходят каждый день.
• И, наконец, решения для контроля пользователей, как, например, тестирование реакции сотрудников на письма с вложениями и т.п., позволяют лучше всего проверить полученные знания на практике.

Таким образом, мы видим, что на сегодняшний день в руках специалистов по информационной безопасности есть все инструменты для превращения сотрудников компании в верных союзников. Или хотя бы в нейтральных сторонников, а не противников. Остается только воспользоваться предлагаемыми инструментами и сделать правильный выбор в соответствии со своими потребностями.

наверх