Введение
Исследования в области ИБ неизменно подтверждают, что основным источником утечек персональных данных в компаниях являются рядовые сотрудники: порядка 80% таких инцидентов происходит именно по вине персонала, будь то намеренные действия или случайные ошибки. Получается, главный враг компании — её работники?
На самом деле — нет. Проблема состоит в том, что меры защиты внедряются как факт, и рядовым сотрудникам, которые постоянно обрабатывают персональные данные, зачастую не объясняют, для чего это сделано. В итоге обеспечение безопасности информации начинает выглядеть как очередная бессмысленная рутина. Поэтому накопление знаний и повышение осведомлённости — это хороший способ снизить количество утечек.
Поговорим о существующих проблемах в соответствующей области и о возможном их решении с помощью обучения.
План тренировок сотрудников
Прежде чем создать план обучения и начать его наполнение, необходимо понять, на кого он рассчитан. Практически в любой организации можно выделить несколько групп сотрудников:
- топ-менеджмент;
- информационная безопасность;
- ИТ-служба;
- иные сотрудники.
Вне зависимости от того, сколько человек работает в вашей компании, деление на четыре группы поможет вам составить наиболее эффективное наполнение обучающего курса. Вот весьма универсальный план обучения, который подойдёт для представителей всех групп:
Часть 1. Введение
- Структура Федерального закона №152-ФЗ: что и зачем регулируют закон и подзаконные акты.
- Что следует считать персональными данными.
- Автоматизированная и неавтоматизированная обработка данных.
- Ответственность за нарушение Федерального закона №152-ФЗ.
- Отраслевая специфика обработки персональных данных.
Часть 2. Практические аспекты защиты
- Обследование.
- Разработка и внедрение документации.
- Построение системы защиты.
- Как защищать персональные данные после внедрения всех процедур.
- Истории из практики.
Часть 3. Прохождение проверок Роскомнадзора
- Сценарий проверки: от получения приказа о начале проверки до вручения предписания по завершению.
- Как работать с результатами проверки.
- Истории из практики.
Проверка эффективности обучения
Здесь мы не будем отступать от цикла PDCA (англ. Plan-Do-Check-Act — планирование, действие, проверка, корректировка), разработанного Уолтером Эндрю Шьюхартом, консультантом по теории управления качеством.
Следующим шагом после проведения обучения является проверка его эффективности. Сразу оговоримся, что у большинства людей ещё со школьных времён остался страх перед всевозможными контрольными, тестовыми, проверочными работами и фразой, произносимой за 5 минут до конца урока: «А теперь достаём двойные листочки…». Действенным является подход, когда преподаватель получает обратную связь в конце каждого обучающего блока и в конце всего курса в целом; поэтому не забудьте выделить время после каждой лекции для вопросов и обсуждения непонятных моментов — таким образом ваши ученики получат возможность применить полученные знания в мини-дискуссиях и сразу уяснить какие-либо спорные моменты.
После завершения всего курса в целом неплохо было бы разослать каждому слушателю материалы, которые использовались для его обучения, а также некую памятку с основными тезисами и ссылками на документы, с помощью которых можно более подробно ознакомиться с базой знаний по защите персональных данных или освежить в памяти те или иные моменты.
Возьмите себе на вооружение и регулярные рассылки: полезно раз в квартал направлять всем работникам небольшую памятку по парольной политике, политике чистого стола, правилам уничтожения бумажных документов, требованиям по блокировке рабочих станций и т.п., а также контрольный список (чек-лист), с помощью которого каждый работник может проверить, насколько хорошо он выполняет требования информационной безопасности.
Для беспристрастной оценки результативности проведённого курса вам необходимо некоторое время, так как лучшим показателем является снижение количества инцидентов, связанных с утечками персональных данных. Для получения таких сведений вы можете пользоваться несколькими инструментами, например DLP (системой предотвращения утечек информации): практически все современные решения этого класса обладают модулем составления отчётности. Сравните и проанализируйте статистику инцидентов до проведения курса, спустя месяц после него, спустя 3 месяца и через полгода. Это — один из самых эффективных способов узнать, достигли ли вы своей цели, или требуются какие-то дополнительные мероприятия.
Ещё одним интересным способом определить, усвоили ли ваши коллеги курс, является социальная инженерия
Как бы странно это ни звучало, вам необходимо «поиграть в шпиона», чтобы понять, действительно ли люди стали осознавать важность защиты персональных данных и соблюдают ли они требования по защите информации. Способов проверить это — великое множество
Вновь проявите своё творческое начало: попробуйте пройти в офис без пропуска, сославшись на занятые руки и попросив подержать вам дверь, оставьте на кухне соблазнительную флешку с безобидным вирусом, положите распечатанные документы с воображаемыми конфиденциальными данными, снабдив их каким-нибудь привлекательным заголовком вроде «Зарплатные ведомости топ-менеджмента». Вы можете даже пригласить одного из коллег в качестве соискателя в отдел кадров и попросить его выяснить конфиденциальные данные, которые не должны быть доступны третьим лицам. Поле для деятельности здесь безгранично, а идеи можно черпать из статей об утечках информации в различных компаниях: изучите, какими способами пользовались злоумышленники, чтобы получить желаемое.
Безусловно, вы можете и провести тесты для своих учеников, однако мы рекомендуем делать это обезличенно. Попросите коллег анонимно написать обратную связь и обязательно скорректируйте курс с учётом выданных вам замечаний — ведь вам предстоит провести его ещё не раз
Как правило, такое обучение полезно и для каждого сотрудника при приёме на работу (вы можете автоматизировать данный процесс — обратите внимание на обучающие программы, в которые вы можете загрузить материалы), и раз в год в виде коллективного мероприятия
Гибкий подход к обучению сотрудников
Несмотря на универсальность самого плана, акценты, расставленные в курсе, должны меняться в зависимости от группы. Здесь вам необходимо проявить творческий подход или даже провести предварительное анкетирование и уточнить у представителей различных групп, что именно им было бы интересно узнать в рамках проводимого обучения.
Если у ваших коллег возникают трудности с ответом на этот вопрос, то мы можем дать вам небольшую подсказку. Как правило, с бизнесом принято разговаривать на языке денег. Выше уже упоминалось, что за нарушения в сфере защиты обработки персональных данных следуют штрафы, но часто для крупного и даже среднего бизнеса они не очень велики. Поэтому основная проблема при утечках персональных данных — это репутационные риски и потеря клиентов. В курсе для топ-менеджмента мы рекомендуем делать акцент именно на этом. Полезно будет привести в пример случаи утечек в компаниях вашей отрасли и смежных с ней, а также результаты различных судебных разбирательств и последствия, с которыми столкнулись компании-нарушительницы.
При составлении курса для представителей подразделения информационной безопасности и ИТ можно сделать акцент на том, что профессиональный комплексный подход к вопросу защиты персональных данных значительно снизит количество инцидентов в этой области и, как следствие, нагрузку на данные подразделения в части обработки инцидентов, а также трудозатраты на устранение их последствий. Таким образом, вместо того чтобы внедрять всё новые и новые средства защиты от утечек, вы защищаете себя иным образом — через повышение уровня осведомлённости коллег.
В курсе для последней группы — иных сотрудников, которые непосредственно осуществляют обработку персональных данных, — основной акцент стоит сделать на том, зачем внедряются все эти процедуры защиты. Сотрудники должны понимать, что такое персональные данные и для чего их необходимо защищать
Также людям важно иметь представление о том, в чьих интересах они действуют, когда следуют требованиям тех самых двадцати новых распорядительных документов. Основная цель курса для данной группы — повышение уровня осведомлённости и осознанности своих действий
Однако за этим простым постулатом кроется ряд проблем. Основная из них — это человеческий фактор: во многих компаниях формирование тех или иных бизнес-процессов происходит месяцами или даже годами, и когда на горизонте появляется офицер информационной безопасности с горящими глазами, сообщающий, что отныне мы все будем жить совершенно по-другому, то, естественно, возникает отторжение. Поэтому обучение данной группы должно проходить в лёгкой игровой форме. Используйте все возможности прогресса, до которых сможете дотянуться: придумайте сценарии для обучающих роликов, закажите забавные плакаты (кстати — очень эффективный способ помочь людям запомнить простые аспекты информационной безопасности вроде необходимости блокировать рабочие компьютеры и запрета на хранение паролей в открытом виде), создайте увлекательные презентации, проработайте интересные случаи из практики, в том числе — российских или иностранных судебных органов. В конце концов, можно устроить самый настоящий квест по защите персональных данных, объединив его с тимбилдингом (ищите союзников в кадровой службе или у иных коллег, которые занимаются организацией массовых мероприятий).
Основная мысль, которую необходимо донести до каждого сотрудника во время обучения, — идея о том, что у вас есть общая цель, и состоит она не в выявлении «нерадивых» работников, а в повышении общего уровня безопасности компании и, как следствие, в снижении потерь от утечек и повышении лояльности бизнеса к своим подчинённым: ведь если сотрудники ответственно относятся к информационным активам, которыми владеет компания, то и бизнес будет благожелательно относиться к персоналу.
Грамотный график обучения
Помимо составления плана рекомендуется также подумать над его эффективным графиком. Как правило, сотрудникам очень сложно покинуть свои рабочие места на несколько часов и прослушать курс, который рассчитан на целый день: это не только затормозит бизнес-процессы, но и вызовет негативную реакцию. Поэтому мы предлагаем вам разбить курс на несколько уроков — например, по 2 часа, что является не слишком большой нагрузкой — и проводить этот курс раз в два дня. Таким образом для каждой группы обучение займёт всего одну неделю, если проводить его в понедельник, среду и пятницу, и у ваших коллег будет достаточно времени, чтобы осознать и усвоить материал, а также задать интересующие вопросы. С таким распорядком вы сможете обучить все четыре группы всего лишь за месяц.
Если число сотрудников вашей компании велико (например, от нескольких сотен до нескольких тысяч человек), то четвёртую группу необходимо составить из руководителей направлений, которые в дальнейшем передадут полученные знания своим подчинённым.
Что включает в себя переподготовка по информационной безопасности?
«Информационная безопасность и защита персональных данных» (ПП-173) – программа, которая подходит, для:
- руководителей в области определения политики и планирования деятельности;
- начальников подразделений по научным исследованиям и разработкам
- руководителям служб и подразделений в сфере информационно-коммуникационных технологий;
- специалистам органов государственной власти;
- системным аналитикам;
- разработчикам и аналитикам программного обеспечения;
- специалистам по компьютерным сетям;
- специалистам-техникам по эксплуатации информационно-коммуникационных технологий;
- специалистам-техникам по компьютерным сетям и системам.
Справка! С 1 июля 2016 года работодатели должны применять профессиональные стандарты в своей работе (ФЗ-122): это требование касается работников сферы защиты персональных данных и информационной безопасности.
Диплом свидетельствует о получении специалистом дополнительного профессионального образования. По итогам прохождения обучения слушатель получает квалификацию «Специалист по защите информации в автоматизированных системах» (Приказ Минобрнауки России от 09.12.2016 N 1551).
Курс рассчитан на 520 часов лекционных и практических занятий, которые охватывают вопросы:
- участие в эксплуатации подсистем управления информационной безопасностью различных объектов информатизации;
- работы по установке, настройке и обслуживанию технических и программно-аппаратных средств защиты информации;
- участие в организации контрольных проверок работоспособности применяемых программно-аппаратных, криптографических и технических средств защиты информации.
- комплекс мер по информационной безопасности с учетом его правовой обоснованности, административно-управленческой и технической реализуемости и экономической целесообразности;
- анализ информационной безопасности объектов и систем на соответствие требованиям стандартов в области защиты информации;
- аттестация объектов информатизации по требованиям безопасности информации
Справка! Программа профессиональной переподготовки «Информационная безопасность и защита персональных данных» составлена с учетом требований №273-ФЗ, Приказа Минобразования РФ №499 и Профстандарта 06.033.