АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Обучение осведомлённости в области интернет-безопасности

Экспертиза РАН

Logo-ran-black.png
Проведена экспертиза
Российской академией наук
Подробнее
Aprove.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проведена экспертиза
Российской академией наук
Подробнее

Обучение осведомлённости в области интернет-безопасности (англ. Internet Security Awareness Training, ISAT) — это система обучения, предназначенная для членов организации по вопросам защиты различных информационных активов этой организации. Обучение осведомлённости в области интернет-безопасности является подмножеством общего обучения по вопросам информационной безопасности (SAT).

Подобное обучение рекомендуется проводить даже для малых и средних предприятий, однако для организаций, обязанных соблюдать государственные нормативы (например, закон Грэмма — Лича — Блайли, Payment Card Industry Data Security Standard, Health Insurance Portability and Accountability Act, закон Сарбейнса — Оксли), формальное проведение ISAT, как правило, требуется ежегодно для всех сотрудников[1]. Часто такое обучение проводится в формате онлайн-курсов.

Обучение ISAT также известно как программа SETA (англ. Security Education, Training, and Awareness); суть в том, чтобы обучить сотрудников принципам управления информационной безопасностью, повысить их осведомлённость и сформировать правильное поведение[2]. Эффективная подготовка и вовлечённость персонала позволяют организации снижать ключевые риски утечек и киберинцидентов[2]. Программа ISAT ориентируется на роль конкретного пользователя — для должностей с повышенным уровнем риска могут назначаться дополнительные специализированные курсы[2].

undefined

Структура и содержание обучения

Для обучения существуют общие темы, однако каждой организации необходимо вырабатывать собственную стратегию охвата на основе специфических потребностей, чтобы обучение было практичным и касалось действительно актуальных проблем безопасности. Поскольку ландшафт угроз быстро меняется, рекомендуется регулярно пересматривать программу обучения, чтобы оставаться в курсе современных угроз[3].

Стандартные темы, затрагиваемые на обучении ISAT[4]:

  • Методы защиты конфиденциальной информации на персональных компьютерах, включая политику паролей;
  • Основные вопросы компьютерной безопасности: спам, вредоносное ПО, фишинг, социальная инженерия и др.;
  • Последствия некачественной защиты информации — возможное увольнение, экономический ущерб для предприятия, вред лицам, чьи конфиденциальные данные разглашены, а также гражданско-правовые и уголовные санкции.

Осведомлённость в сфере интернет-безопасности — это понимание того, что существуют злоумышленники, стремящиеся получить доступ или украсть данные организации (особенно логины и пароли, с целью доступа к банковским счетам и ценным IT-ресурсам). Поэтому важна профилактика подобных рисков[5].

В стандартный охват программы обычно входят такие темы, как безопасность паролей, предупреждение фишинга по электронной почте, основы противодействия социальной инженерии, безопасность мобильных устройств, защита конфиденциальных данных и деловая переписка. Для сотрудников, занятых в технических или специализированных ролях, могут быть предусмотрены углублённые тренинги[2]. При выборе внешних платформ для обучения организации важно оценивать их возможности и ставить конкретные задачи: формировать у сотрудников понимание рисков, объяснять модели поведения и действия в случае безопасности, использовать понятный язык и учитывать экономическую эффективность[6].

Содержимое ISAT рекомендуется выстраивать согласно корпоративной политике, чтобы обучение проходили все сотрудники[7]. В качестве источников применяются:

  • Документ Национального института стандартов и технологий (NIST) 800-50: Building an Information Technology Security Awareness and Training Program;
  • Стандарт ISO 27002:2013 (практические рекомендации по управлению информационной безопасностью);
  • Стандарт ISO 27001:2013 (системы управления информационной безопасностью);
  • COBIT 5, Приложение F.2: Подробные рекомендации по управлению IT-сервисами, инфраструктурой и обучению безопасности.

Важно концентрировать обучение на актуальных для организации угрозах и их последствиях, дополняя программу практическими кейсами и примерами. Хорошей практикой выступает также периодическое информирование клиентов компаний о новых сценариях угроз[8].

Стратегия охвата тем в SAT обычно определяется политикой организации, которая регулирует глубину и масштаб тренингов — локально, глобально или на уровне отдельных подразделений[2].

Важность проведения обучения

Исследования показывают, что хорошо организованное обучение по безопасности позволяет существенно снизить вероятность киберинцидентов, связанных с человеческим фактором. По отчёту Ponemon Institute, регулярные тренинги могут сократить случаи успешных фишинговых атак на 70 %. Аналитический доклад Data Breach Investigations Report (DBIR) компании Verizon за 2023 год отмечает, что 74 % нарушений связаны с человеческим фактором, что подчёркивает важность постоянного обучения сотрудников[9].

Сотрудники организации играют ключевую роль в возникновении (или предотвращении) инцидентов безопасности; необходимо обучение их новым угрозам, формирование навыков защиты конфиденциальной информации, а также создание культуры активного реагирования на подозрительные действия[10].

Обновлённая SAT-программа позволяет снизить число успешных атак особенно в части фишинга. Сотрудники, проходившие подобное обучение, лучше идентифицируют мошеннические письма и действуют правильно[11].

В условиях роста фишинговых атак особое значение приобретает формирование знаний о природе этих угроз и методах противопоставления; SAT способствует значительному снижению успешных атак подобного рода[12].

Требования нормативных актов

Ряд отраслевых стандартов и законов обязывает организации формально проводить обучение по вопросам безопасности — например, Gramm-Leach-Bliley Act (GLBA) в сфере финансовых услуг, Федеральный закон США о модернизации информационной безопасности (Federal Information Security Modernization Act of 2014) для госорганов, а также Общий регламент ЕС по защите данных (GDPR)[13].

Федеральный закон о модернизации информационной безопасности (FISMA)

Сотрудники и подрядчики государственных учреждений США обязаны ежегодно проходить обучение по информационной безопасности, при этом программа должна учитывать особенности их профессиональных рисков[14].

Закон о переносимости и подотчётности страхования здоровья (HIPAA)

Закон требует от медицинских организаций внедрения программ по обучению правилам безопасности и приватности данных; сотрудники должны быть ознакомлены и обучены соответствующим образом[15].

Стандарт безопасности данных индустрии платёжных карт (PCI DSS)

Payment Card Industry Security Standards Council, образованный крупнейшими платёжными системами, разработал стандарт DSS, предусматривающий формальное обучение сотрудников по вопросам безопасности (требование 12.6)[16].

Законы отдельных штатов США

Некоторые штаты США вводят обязательное обучение сотрудников по вопросам безопасности, другие рекомендуют его на добровольной основе. Примеры штатов с обязательными программами:

  • Колорадо (The Colorado Information Security Act, Colorado Revised Statutes 24-37.5-401 et seq.)[17];
  • Коннектикут (13 FAM 301.1-1 Cyber Security Awareness Training (PS800)[18];
  • Флорида (Florida Statutes Chapter 282)[19];
  • Джорджия (распоряжение губернатора GA E.O.182)[20];
  • Иллинойс (округ Кук)[21];
  • Индиана (IN H 1240)[22];
  • Луизиана (LA H 633, Административный департамент штата)[23];
  • Мэриленд (20-07 IT Security Policy)[24];
  • Монтана (обязательное обучение сотрудников исполнительной власти)[25];
  • Небраска[26];
  • Невада (стандарт 123 — IT Security)[27];
  • Нью-Джерси (NJ A 1654)[28];
  • Огайо (IT-15 — Security Awareness and Training)[29];
  • Пенсильвания[30];
  • Техас[31];
  • Юта[32];
  • Виргиния[33];
  • Другие штаты также внедряют подобные меры.

Техники и методы обучения

Рассмотрим наиболее распространённые техники обучения (могут сочетаться в зависимости от особенностей организации)[3]:

  • Интерактивное видеотренинговое обучение — использование двухсторонней аудио- и видеосвязи для доведения информации.
  • Веб-обучение — самостоятельное освоение сотрудниками курса через интернет, обычно с тестированием для проверки усвоения материала.
  • Локальное, компьютерное обучение — для офисов без доступа к интернету: курсы устанавливаются на ПК и проходятся в автономном режиме.
  • Очное обучение с инструктором — популярный вариант для первичного обучения новых сотрудников; редко применяется в крупных компаниях как основной формат.
  • Обучение с элементами геймификации — внедрение игровых механик, баллов, рейтингов, наград, что повышает вовлечённость и мотивацию сотрудников[34].

Обучение рекомендуется проводить при приёме на работу и не реже одного раза в год — для всех лиц, имеющих доступ к информационным системам организации. Основной акцент делается на выявлении признаков атак и защите данных (пароли, шифрование, защищённые сессии)[35].

ISAT также информирует о новейших угрозах, способах атак, корпоративных политиках в области безопасности и базовых принципах кибергигиены[35].

При выборе средств обучения исследования показали, что высокоинтерактивные форматы необязательно повышают уровень усвоения: решающее значение имеет качество содержания программы[36].

Сервисы SAT нередко интегрируются с другими инструментами для сотрудников компании:

  • Мониторинг утечек в даркнете — отслеживание появления корпоративных email-адресов или доменов в базах утечек, оповещение администраторов;
  • Управление соответствием политикам — создание, распространение и контроль прочтения корпоративных киберполитик внутри организации;
  • Оценка рисков — анализ и выявление слабых мест инфраструктуры компании[37].

Примечания

  1. Information Security Awareness Training (ISAT). University of Virginia. Дата обращения: 4 ноября 2019. Архивировано 4 ноября 2019 года.
  2. 1 2 3 4 5 Caballero, Albert (1 января 2017). “Security Education, Training, and Awareness”. Computer and Information Security Handbook [англ.]: 497—505. DOI:10.1016/B978-0-12-803843-7.00033-8. ISBN 978-0-12-803843-7.
  3. 1 2 Wilson, M; Hash, J (2003). “Building an Information Technology Security Awareness and Training Program”. Gaithersburg, MD: 34. DOI:10.6028/nist.sp.800-50.
  4. Content. isat.acer.org. Дата обращения: 13 марта 2021. Архивировано 2 июля 2021 года.
  5. Sharf, Elad (июль 2016). “Information exchanges: regulatory changes to the cyber-security industry after Brexit: Making security awareness training work”. In Computer Fraud & Security. 7: 9—12. DOI:10.1016/S1361-3723(16)30052-5. Проверьте дату в |date= (справка на английском)
  6. Cooper, Michael H. Information security training // Proceedings of the 37th annual ACM SIGUCCS fall conference: Communication and collaboration. — New York, New York, USA : ACM Press, 2009. — P. 217. — ISBN 978-1-60558-477-5. — doi:10.1145/1629501.1629541.
  7. Cybersecurity Awareness Training for Beginners. awarego.com (8 ноября 2022). Дата обращения: 5 июня 2023. Архивировано 8 августа 2024 года.
  8. Liska, Allan. Building a network security intelligence model. — Elsevier, 2015. — P. 124–125. — ISBN 978-0-12-802145-3. — doi:10.1016/b978-0-12-802145-3.00003-x.
  9. DBIR Report 2023 - Summary of Findings (англ.). Verizon Business. Дата обращения: 5 марта 2025. Архивировано 11 июля 2025 года.
  10. Best Practices for implementing a Security Awareness Program. Payment Card Industry Security Standards Council. Дата обращения: 27 июля 2021. Архивировано 9 июля 2021 года.
  11. Tschakert, Kai Florian; Ngamsuriyaroj, Sudsanguan (2019). “Effectiveness of and user preferences for security awareness training methodologies”. Heliyon. 5 (6). DOI:10.1016/j.heliyon.2019.e02010. ISSN 2405-8440. PMC 6606995. PMID 31338464.
  12. Carella, Anthony. Impact of security awareness training on phishing click-through rates // 2017 IEEE International Conference on Big Data (Big Data) / Anthony Carella, Murat Kotsoev, Traian Marius Truta. — IEEE, 2017. — P. 4458–4466. — ISBN 978-1-5386-2715-0. — doi:10.1109/bigdata.2017.8258485.
  13. Haney, Julie; Lutters, Wayne (2020). “Security Awareness Training for the Workforce: Moving Beyond "Check-the-Box" Compliance”. Computer. 53 (10): 91—95. DOI:10.1109/MC.2020.3001959. ISSN 0018-9162. PMC 8201414. PMID 34131349.
  14. Federal Information Security Modernization Act. www.cisa.gov. Дата обращения: 27 июля 2021. Архивировано 26 декабря 2019 года.
  15. The Security Rule (англ.). hhs.gov. United States Office for Civil Rights (10 сентября 2009). Дата обращения: 5 июля 2021. Архивировано 6 октября 2025 года.
  16. Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards. www.pcisecuritystandards.org. Дата обращения: 5 июля 2021. Архивировано 5 октября 2025 года.
  17. For State Employees - Colorado Governor's Office of Information Technology. www.oit.state.co.us. Дата обращения: 27 июля 2021. Архивировано 10 сентября 2015 года.
  18. 13 FAM 301.1 Mandatory Security Training for All Department Employees. fam.state.gov. Дата обращения: 27 июля 2021. Архивировано 27 июня 2025 года.
  19. Statutes & Constitution :View Statutes: Online Sunshine. www.leg.state.fl.us. Дата обращения: 27 июля 2021. Архивировано 23 августа 2025 года.
  20. Bill Resource. custom.statenet.com. Дата обращения: 27 июля 2021. Архивировано 23 января 2025 года.
  21. Cybersecurity Training for Cook County, Illinois, Employees (англ.). GovTech (7 ноября 2013). Дата обращения: 27 июля 2021. Архивировано 10 ноября 2013 года.
  22. Bill Resource. custom.statenet.com. Дата обращения: 27 июля 2021. Архивировано 6 декабря 2020 года.
  23. Bill Resource. custom.statenet.com. Дата обращения: 27 июля 2021. Архивировано 11 марта 2023 года.
  24. 20-07 IT Security Policy. doit.maryland.gov. Дата обращения: 27 июля 2021. Архивировано 30 апреля 2025 года.
  25. Security Training Resources. sitsd.mt.gov. Дата обращения: 27 июля 2021. Архивировано 8 апреля 2025 года.
  26. NVeLearn. nvelearn.nv.gov. Дата обращения: 27 июля 2021. Архивировано 23 сентября 2011 года.
  27. State Security Policies Standards & Procedures. it.nv.gov. Дата обращения: 27 июля 2021. Архивировано 12 июня 2025 года.
  28. Bill Resource. custom.statenet.com. Дата обращения: 27 июля 2021. Архивировано 20 августа 2025 года.
  29. State of Ohio Information Security and Privacy > Government > State Government > Security > Training and Awareness. infosec.ohio.gov. Дата обращения: 27 июля 2021. Архивировано 3 декабря 2016 года.
  30. Cybersecurity for Commonwealth Agencies and Employees (амер. англ.). Office of Administration. Дата обращения: 27 июля 2021. Архивировано 23 декабря 2016 года.
  31. Certified Cybersecurity Training Programs, 154. dir.texas.gov. Дата обращения: 27 июля 2021. Архивировано 4 сентября 2019 года.
  32. 2021 Security Awareness Training. dts.utah.gov. Дата обращения: 27 июля 2021. Архивировано 3 марта 2021 года.
  33. Bill Resource. custom.statenet.com. Дата обращения: 27 июля 2021. Архивировано 6 декабря 2020 года.
  34. Adding Personality To Cyber Security (брит. англ.). www.metacompliance.com (23 октября 2023). Дата обращения: 5 марта 2025. Архивировано 29 июля 2025 года.
  35. 1 2 Lincke, Susan. SECURITY PLANNING: an applied approach.. — Springer International, 2016. — P. 176–177. — ISBN 978-3-319-36560-2.
  36. Jenkins, Jeffrey L. Forget the Fluff: Examining How Media Richness Influences the Impact of Information Security Training on Secure Behavior // 2012 45th Hawaii International Conference on System Sciences / Jeffrey L. Jenkins, Alexandra Durcikova, Mary B. Burns. — Maui, HI, USA : IEEE, 2012. — P. 3288–3296. — ISBN 978-1-4577-1925-7. — doi:10.1109/HICSS.2012.285.
  37. Mezquita, Ty The Hidden Benefits of Awareness Training for MSPs (амер. англ.). CyberHoot (18 января 2022). Дата обращения: 27 января 2022. Архивировано 12 августа 2025 года.

Категории