Про повышение осведомленности сотрудников (Awareness and Training, NIST 800-50)

Повышение осведомленности и обучение персонала является очень важной и полезной мерой обеспечения информационной безопасности. Многие руководящие документы и стандарты требуют (рекомендуют) разработать соответствующую программу и запустить  процесс. Вот несколько ссылок:

• ISO 27001 (см. 4.2.2 e), 5.2.2,  A.8.2.2)
• ISO 22301 (см. 7.3)
• в COBIT 5  много упоминаний, самые значимые тут: Information Enabler:Awareness Material; Services, Infrastructure and Applications Enabler: Security Awareness; Enabler: Culture, Ethics and Behaviour; Process: BAI08 Manage Knowledge, APO07.03 Manage Human Resources. Maintain the skills and competencies of personnel.
• часто встречается и в SANS top 20

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

К сожалению, как правильно создавать программу повышения осведомленности и обучения персонала, как внедрять процесс обучения и регулярно улучшать его мы в них не найдем. Для поиска новых хороших идей нам будет полезен документ  NIST SP 800-50 "Building an Information Technology Security Awareness and Training Program" . Да. он ужен не новый (октябрь 2003), но все равно остается полезным и актуальным (да, и аналогов я вроде не встречал).

• Select awareness and training topics // Выбрать темы обучения и повышения осведомленности
• Find sources of awareness and training material // Найти необходимые ресурсы
• Implement awareness and training material, using a variety of methods // Внедрить материалы по повышению осведомленности
• Evaluate the effectiveness of the program // Оценить программу
• Update and improve the focus as technology and organizational priorities change // Обновлять и совершенствовать программу

• свои роли и ответственность
• требования и процедуры информационной безопасности, принятые в организации
• общие вопросы использования ИТ-ресурсов и обеспечения информационной безопасности

• перечень ролей и ответственности
• рекомендации по разработке программы повышения осведомленности и обучения (включая структуру плана)
• рекомендации по оценке персонала и оценке программы
• советы по разработке обучающих материалов, включая перечень рекомендуемых тем
• мысли и идеи по ресурсам, необходимым для разработки обучающих материалов, и рекомендации по передаче этой задачи на аутсорсинг
• техники представления (распространения) обучающих материалов
• советы по пересмотру обучающих материалов и программы
• индикаторы успеха программы обучения
• различные шаблоны документов и примеры постеров (они будут далее)

К примеру, NIST рекомендует включать в программу повышения осведомленности следующие разделы (темы) :

• использование паролей (создание, частота смены, сложность и безопасность )
• защита от вредоносного ПО
• последствия несоблюдения политики ИБ
• появление электронных писем от незнакомых людей и открытие вложений
• использование сети Интернет (включая мониторинг компанией активности пользователей)
• спам
• резервное копирование и восстановление информации
• вопросы социальной инженерии 
• управление инцидентами (кому звонить?, что делать?)
• защита от просмотра информации посторонними ("shoulder surfing") (включая политику "чистого экрана", ввод паролей, PIN-кодов и пр.)
• безопасность оборудования от окружающей среды (огонь, вода, пыль, физический доступ)
• передача информации и оборудования третьим лицам
• работа из дома и использование корпоративных систем для личных целей
• использование портативных (?мобильных) устройств (с учетом физической безопасности и подключения к неизвестным сетям wifi)
• передача конфиденциальной (чувствительной) информации по сети Интернет (в том числе использование криптографии)
• безопасность ноутбуков вне территории организации
• использование персонального ПО и АО
• использование корпоративных систем
• регулярное обновление корпоративных систем и ПО
• использование лицензионного ПО
• вопросы контроля доступа (включая минимальные привилегии и разделение обязанностей)
• персональная ответственность пользователей и соглашение о неразглашении
• контроль доступа на территорию и правила взаимодействия с посетителями
• безопасность рабочих мест (включая политику "чистого экрана", доступа посетителей и коллег, контроля доступа и пр,)
• защита конфиденциальной информации
• правила использования электронной почты (включая корпоративный этикет)