Журнал "Information Security/ Информационная безопасность" #1, 2023

Информационная рассылка Подразумевается периодическая рас- сылка коротких информационных мате- риалов по вопросам информационной безопасности по электронной почте, например раз в неделю. Такую рассылку целесообразно делать дифференцированной для разных групп работников. Например, для основной массы сотрудников можно разослать информацию, направленную на повыше- ние базовых навыков кибербезопасности в современных реалиях, а для сотрудников, обеспечивающих функционирование, – уже более специфический материал, отно- сящийся к информационным ресурсам, находящимся в их поле зрения. Изменение законодательства по информационной безопасности Речь идет о периодическом ознаком- лении сотрудников с изменениями зако- нодательства. Обзор изменений можно делать как своими силами, так и взять готовые (например, в данном журнале). В таких обзорах заинтересованы все структурные подразделения организа- ции. В обзоры для руководства необхо- димо включать описание того, как изме- нения законодательства влияют на дея- тельность организации. Например, о вве- дении новых штрафов за нарушение правил обработки персональных данных: теперь организация, нарушившая пра- вила локализации баз данных при сборе ПДн, может быть оштрафована на ощу- тимую сумму в 6 млн руб., а при повтор- ном нарушении – 18 млн руб. Можно брать обзоры, публикуемые в этом журнале, и делать из них реферат для руководства с акцентированием внимания на актуальных для деятель- ности организации моментах. Обучающие курсы, тренинги Подразумеваются обучающие курсы по актуальным для организации направ- лениям информационной безопасности (безопасность персональных данных, безопасность критической информа- ционной инфраструктуры). Удобным и эффективным вариантом будет нали- чие внутренних, разработанных под кон- кретную организацию, обучающих кур- сов, которые можно назначать при прие- ме на работу, а также с определенной периодичностью (раз в год) или при наступлении какого-либо события, например произошла актуализация курса или сотрудник стал источником инцидента и т.п. Повышение квалификации В данном случае речь идет прежде всего о плановом повышении квалифи- кации сотрудников организации, занятых в обеспечении безопасности информа- ционных ресурсов. Необходимость дан- ного обучения предусмотрена, как пра- вило, нормативно-правовыми актами, например, п. 12 Требований к созданию систем безопасности значимых объектов критической информационной инфра- структуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21.12.2017 № 235) установлена необхо- димость повышения квалификации по направлению "информационная безопас- ность" работников, занятых в обеспече- нии безопасности значимых объектов КИИ, не реже одного раза в пять лет. Здесь следует обратить внимание на такие моменты, как: l минимальный срок освоения програм- мы повышения квалификации в области информационной безопасности не может быть менее 40 часов 1 ; l согласование программы повышения квалификации с регулятором не являет- ся обязательным требованием 2 , но такие программы есть, и в ряде случаев (обычно для служащих государственных органов) требуется повышение квали- фикации именно по согласованным программам; l при выборе программы лучше пред- варительно ознакомиться с ее ведущими (преподавателями) и их практическим опытом; l наиболее эффективно обучение, при котором есть возможность разобрать с ведущими проблемные вопросы (прак- тические кейсы) обучающихся. Киберучения. Антифишинговые тренировки. Red Teaming. Киберполигоны Эти темы были подробно раскрыты мною в предыдущем номере журнала "Information Security/Информационная безопасность" № 6, 2022. Митапы (Meetup) Это добровольные мероприятия по повышению осведомленности среди пер- сонала, основная цель которых – разви- тие интереса к информационной без- опасности и информирование о ее важ- ности. На митапы можно приглашать всех сотрудников организации в сво- бодное от работы время (или частично с захватом рабочего/нерабочего време- ни). Темы, рассматриваемые на митапах, должны быть интересными и касаться широкого круга лиц. Например, личная кибергигиена: тематика хоть и не связана с безопасностью организации напрямую, но вовлечение большого числа сотруд- ников и привлечение внимания к угрозам в цифровом пространстве положительно скажется на отношении персонала к вопросам информационной безопас- ности. Можно проводить митапы в виде игр (деловых, настольных) по информа- ционной безопасности. Информационный материал, исполь- зуемый в мероприятиях по повышению осведомленности, должен постоянно актуализироваться, а практическую отработку навыков следует проводить на максимально приближенной к реаль- ной инфраструктуре организации (в идеале в реальной инфраструктуре с соблюдением необходимых предосто- рожностей). l • 33 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Таблица 2. Система мероприятий по повышению осведомленности для разных групп работников Категория Мероприятия Руководство (менеджмент) Информирование о рисках и угрозах, их влиянии на бизнес Информационная рассылка Изменение законодательства по инфор- мационной безопасности Работники, эксплуатирующие информа- ционные ресурсы (пользователи) Информационная рассылка Обучающие курсы, тренинги Антифишинговые тренировки Киберучения (без отработки навыков на киберполигонах) Митапы (Meetup) Работники, обеспечивающие функциони- рование информационных ресурсов Информационная рассылка Обучающие курсы, тренинги Антифишинговые тренировки Киберучения (с отработкой навыков на киберполигонах) Работники, обеспечивающие безопас- ность информационных ресурсов Повышение квалификации Обучающие курсы, тренинги Изменение законодательства по информационной безопасности Киберучения (с отработкой навыков на киберполигонах), Red Teaming 1 См. приказ Минобрнауки России от 19.10.2020 № 1316. 2 См. приказ Минобрнауки России от 19.10.2020 № 1316.