21 ноября, среда 01:16
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Обучение и повышение осведомленности сотрудников в области ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Обучение и повышение осведомленности сотрудников в области ИБ

    Торващи, предлагаю в этой теме делиться опытом о выполнении требований Стандарта Банка России в части обучения персонала ИБ:

    8.9. Требования к разработке и организации реализации программ по обучению и повышению осведомленности в области ИБ
    8.9.1. Должна быть организована документально оформленная и утвержденная руководством работа с персоналом организации БС РФ в направлении повышения ос-ведомленности и обучения в области ИБ, включая разработку и реализацию планов и программ обучения и повышения осведомленности в области ИБ и контроля результа-тов выполнения указанных планов.
    8.9.2. В планах обучения и повышения осведомленности должны быть установ-лены требования к периодичности обучения и повышения осведомленности.
    8.9.3. Программы обучения и повышения осведомленности должны включать информацию:
    - по существующим политикам ИБ;
    - по применяемым в организации БС РФ защитным мерам;
    - по правильному использованию защитных мер в соответствии с внутренними документами организации БС РФ;
    - о значимости и важности деятельности работников для обеспечения ИБ орга-низации БС РФ.
    8.9.4. В организации БС РФ должен быть определен перечень документов, яв-ляющихся свидетельством выполнения программ обучения и повышения осведомлен-ности в области ИБ. В частности, такими документами могут являться:

    документы (журналы), подтверждающие прохождение руководителями и работниками организации БС РФ обучения в области ИБ с указанием уровня образова-ния, навыков, опыта и квалификации обучаемых;

    документы, содержащие результаты проверок обучения работников органи-зации БС РФ;

    документы, содержащие результаты проверок осведомленности в области ИБ в организации БС РФ.
    8.9.5. Для работника, получившего новую роль, должно быть организовано обу-чение или инструктаж в области ИБ, соответствующее полученной роли.
    8.9.6. В организации БС РФ должны быть документально определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполне-ние указанных ролей.

  • #2
    barmalei,
    мы пока только в начале пути - поставил кадрам систему дистанционного обучения Moodle. На данный момент в ней только тест по ПОД/ФТ, но и в таком варианте система свою полезность доказала. По крайней мере проверяющие удовлетворились выгрузкой протокола с оценками.
    В планах нарисовать обучающий курс и тест по обращению ЭЦП (как наиболее острому и одновременно - одному из наиболее любимых ЦБ, моменту ИБ).
    Я словно лист на ветру, посмотри как я лечу...

    Комментарий


    • #3
      У нас в организации в части обучения и повышения осведомлённости сделано следующее:
      Раз в год 2-хдневный корпоративный семинар с привлечением специалистов из центра, филиалов, сторонних организаций.
      Программа дистанционного обучения разработки "АИС".
      Ряд курсов дистанционного обучения внутренней разработки.
      Выделенный вэб-ресурс по тематике ИБ (форум, нормативная документация, новости).

      Комментарий


      • #4
        barmalei,
        Торващи, предлагаю в этой теме делиться опытом о выполнении требований Стандарта Банка России в части обучения персонала ИБ:
        Чем мог я с тобой поделился, а для темы напишу:
        Самый лучший эффект даёт не обучение, а метод "кнута и пряника". Как ни странно. Что поделать? С людьми приходится работать...

        Комментарий


        • #5
          С кнутом хорошо - это предмет многоразового использования, а вот пряники быстро кончаются

          Комментарий


          • #6
            SAndreyV,
            а вот пряники быстро кончаются
            Это точно. А иногда их просто показывают издалека (но так и не дают)

            Комментарий


            • #7
              Коллеги опыт показывает, что повысить осведомленность и получить от этого максимум эффекта можно только полностью погрузив сотрудников в среду ИБ.

              Сначала многие пытаются сопротивляться, затем, когда сотрудники начинаю привыкать 5-8 месяцев постоянного поддержания среды (люди окружены памятками, тематические хранители экранов по ИБ, на корпоративных ВЕБ сайтах и порталах тематические баннеры по ИБ, обучении и инструктаж, обучающие мультики по ИБ) и сотрудники начнут сами поддерживать среду ИБ (защищенности). Через 1-1,5 года нужно будет прилагать минимум усилий, так как люди сами своим поведением будут показывать друг другу пример правильного поведения. Все новые сотрудники быстро после инструктажа будут брать пример поведения всей массы как эталон поведения.

              Главное в 1-й период (5-8месяцев) не прерывать воздействие, любое прекращение воздействие приведет к необходимости начать 1-й этап заново.

              Конечно, можно создавать данное окружение полностью самому, придумать плакаты по ИБ, разработать программы повышения осведомленности, выполнять инструктаж, показывая на пальцах многие понятия. Я так и поступил 4 года назад в одной нефтяной Компании в северном регионе, но есть и более эффективный способ.

              Дайте шанс своим сотрудникам поступить правильно!
              Последний раз редактировалось box_roller; 27.11.2009, 17:37. Причина: реклама

              Комментарий


              • #8
                Сообщение от GlukMaster Посмотреть сообщение
                Дайте шанс своим сотрудникам поступить правильно!
                А вы сейчас все-таки CSO или гендиректор?

                Комментарий


                • #9
                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  А вы сейчас все-таки CSO или гендиректор?
                  Это и сложный и простой вопрос ;-)

                  Генеральный директор ЗАО "Анализ защищенности" и CSO по приглашению нескольких своих крупных Клиентов. Курирую развитие СУИБ у Клиентов и когда им нужна помощь в выработке стратегии развития их Компании, то помогаю им. Также, если верить Компании Академия АйТи (http://academy.it.ru/ru/program/scho...oduct_id4=3062), то они переподготавливают на CSO (9 месячное обучение), хотя после обучения в дипломе, почему-то написано: «Менеджер» специализация «Обеспечение непрерывности и безопасности бизнеса». :-D

                  Получается, что мне крупно повезло - являюсь счастливым обладателем данного Диплома.

                  Вот и получается, что Генеральный директор и CSO.
                  Последний раз редактировалось GlukMaster; 28.11.2009, 00:05.

                  Комментарий


                  • #10
                    Дорогой GlukMaster.
                    Посетил Ваш сайт. Возникло несколько вопросов.

                    1. Кто все же ваши клиенты, на которых вы ссылаетесь? По ссылке клиенты только клиенты Qualys. Я понимаю, что это Ваш партнер, но если каждый партнер например Microsoft будет вывешивать список клиентов Microsoft у себя на сайте, это может быть расценено как несколько ... нечестно. Или как?
                    2. На сайте заявлено, что компания предоставляет сервис PCI DSS ASV (http://penetrationtest.ru/service/PCI_DSS.html). Однако я не нашел ее в списке ASV List (https://www.pcisecuritystandards.org...sv_report.html). Т.е. формально вы не можете осуществлять подобную деятельность. Или как?
                    3. В разделе "Компетенции" присутствует достаточно много красивых сертификатов (кстати, не нашел аттестата зрелости и табеля за 3й класс, окончание начальной школы, как-никак). Однако мною не обнаружено ни одной лицензии на осуществление работ связанных с защитой информации. Их нет? Или как?
                    4. В одной из ваших услуг упоминается полиграф (http://penetrationtest.ru/service/See.html). Это для "красного словца"? Или как?

                    Комментарий


                    • #11
                      Сообщение от an CSO Посмотреть сообщение
                      Дорогой GlukMaster.
                      Посетил Ваш сайт. Возникло несколько вопросов.
                      Уважаемый, анонимный, «доброжелатель».

                      Спасибо что проявили интерес ко мне, Компании и сайту Компании.

                      К сожалению, я не могу ответить на ваши вопросы в данной теме т.к. Ваши вопросы не имеют отношения к теме «Обучение и повышение осведомленности сотрудников в области ИБ». Отвечая на Ваши вопросы, я нарушу многие правила данного форума http://dom.bankir.ru/faq.php?faq=for...q_common_rules (как минимум пункты: 15, 16 и подпункты). О чем меня уже просветил модератор личным письмом по поводу ответов на другие вопросы.

                      Напишите мне личное письмо и я постараюсь ответить на все Ваши вопросы.

                      Спасибо.

                      Комментарий


                      • #12
                        Сообщение от GlukMaster Посмотреть сообщение
                        Коллеги опыт показывает, что повысить осведомленность и получить от этого максимум эффекта можно только полностью погрузив сотрудников в среду ИБ.
                        Эх, про "полное погружение в ИБ" у Алексея Лукацкого на блоге такие 2 ролика от Циско знатные были ...

                        Ссылку давать не буду, наверное, это неправильно ...

                        Комментарий


                        • #13
                          Сообщение от NGBank Посмотреть сообщение
                          Эх, про "полное погружение в ИБ" у Алексея Лукацкого на блоге такие 2 ролика от Циско знатные были ...

                          Ссылку давать не буду, наверное, это неправильно ...
                          http://lukatsky.blogspot.com/2009/11/cisco_26.html

                          Комментарий


                          • #14
                            an CSO,

                            Похоже, мы имеем дело с "Боевым НЛП" )

                            Комментарий


                            • #15
                              по моему самый эффективный способ повышения знаний - это проведение учебы по любым новым нормативным документам и обязательный круглый стол с вопросами-ответами.

                              Комментарий


                              • #16
                                Сообщение от melifaroh Посмотреть сообщение
                                по моему самый эффективный способ повышения знаний - это проведение учебы по любым новым нормативным документам и обязательный круглый стол с вопросами-ответами.
                                Ага, особенно тогда, когда пользователям с высокой колокольни на все новый нормативы. А на круглые столы им тем более плевать, т.к. им работать надо ;-)р

                                Комментарий


                                • #17
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  Ага, особенно тогда, когда пользователям с высокой колокольни на все новый нормативы. А на круглые столы им тем более плевать, т.к. им работать надо ;-)
                                  работать надо всем, и для сотрудников ИБ проведение круглых столов тоже ведь не основная деятельность. ну понятно что когда человек совсем не заинтересован то его бесполезно учить любыми способами. тем не менее, на мой взгляд обучение в виде последовательного диалога по мере необходимости - лучше всего. а вопрос заинтересованности - это уже другое.

                                  Комментарий


                                  • #18
                                    Мы в организации для повышения осведомленности сделали следующее:
                                    1. Раз в неделю все сотрудники получают письма, в которых освещаются различные темы по ИБ. Темы каждый раз разные, стараемся подбирать соответствующие картинки и излагать материал понятный конечному пользователю.
                                    2. Запустили скринсейверы по ИБ. Как уже говороли, чем чаще будет освещаться вопрос, тем глубже он проникнет в мозг

                                    Далее в планах: постеры, ручки, блокноты и пр...

                                    Но здесь, ведь главное не только повышать осведомленность персонала, но и произвести оценку того, насколько персонал грамотен в вопросах ИБ(усвоен материал или нет). Тут уже нужно проводить тестирование. Хотя, буду рад, если подскажите и другие способы оценки полученных знаний?

                                    Комментарий


                                    • #19
                                      Сообщение от RustemN Посмотреть сообщение
                                      Но здесь, ведь главное не только повышать осведомленность персонала, но и произвести оценку того, насколько персонал грамотен в вопросах ИБ(усвоен материал или нет). Тут уже нужно проводить тестирование. Хотя, буду рад, если подскажите и другие способы оценки полученных знаний?
                                      Главное, чтобы инцидентов было меньше. Ради это security awareness program и запускается. Вот и измеряйте число инцидентов до и после повышения осведомленности. Или просто динамику. И пользователей отвлекать не будете от работы ;-)

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        Вот и измеряйте число инцидентов до и после повышения осведомленности. Или просто динамику.
                                        Не показатель, т.е. конечно показатель, но при статичном мироукладе
                                        В противном случае имеем, например, в мае число инцидентов было равно 100.
                                        В июне было бы 200 (ну, положим) но awareness снизил до 90 случаев.
                                        В итоге считаем динамику со 100 до 90 - снижение на 10%
                                        А реально надо считать с 200 до 90, т.е. снижение на 55%

                                        Может быть, тут был бы более уместен в качестве метрики тест на проникновение с использованием социальной инженерии - откройте это затрояненное письмо, сообщите этот root'овый пароль, ...
                                        Соотношение плюх до и после будет показателем эффективности обучения.

                                        Комментарий


                                        • #21
                                          Сообщение от SAndreyV Посмотреть сообщение
                                          Не показатель, т.е. конечно показатель, но при статичном мироукладе
                                          Ну мы не вдавались в особенности измерения. Речь шла о том, что исходить надо из цели повышения осведомленности и тогда все сразу встанет на свои места. Сразу станет понятно, ЧТО измерять.

                                          Сообщение от SAndreyV Посмотреть сообщение
                                          Может быть, тут был бы более уместен в качестве метрики тест на проникновение с использованием социальной инженерии - откройте это затрояненное письмо, сообщите этот root'овый пароль, ...
                                          Измерять надо действия в реальной, а не смоделированной ситуации.

                                          Комментарий


                                          • #22
                                            Измерять надо действия в реальной, а не смоделированной ситуации.

                                            А по мне, так важен результат, а не процесс (в данном случае ). И если для получения корректного результата надо измерить что-то эфемерное, то почему бы и нет?
                                            А приведённый мною ранее вариант можно ещё и усугубить:
                                            В мае было 100 инцидентов;
                                            В июне было бы 200 без awareness;
                                            В июне стало 120 после проведения awareness.

                                            В предлагаемой Вами методике имеем ухудшение показателей после проведения обучения (со 100 инцидентов скакнули до 120).

                                            P.S.: В бытность своего обучения в институте припоминаю, как для расчёта различных моментов, действующих на диск с вырезанным в нём диском меньшего размера, мы принимали следующее положение: имеется не один просверленный диск, а два диска - один бОльшего размера и второй диск меньшего размера, но с отрицательной массой. И не смотря на нереальность данного положения вещей задача прекрасно решалась в реальном мире
                                            Последний раз редактировалось SAndreyV; 29.12.2009, 11:18.

                                            Комментарий


                                            • #23
                                              Коллеги а есть ли у кого тесты для проверки знаний по ИБ

                                              Комментарий


                                              • #24
                                                Вот здесь есть пару тестов по ИБ.
                                                http://quiz.forensics.ru/?A0=4&A1=1&...8=1&A9=1&A10=2
                                                А так, Вы сами можете сформировать тесты на основе внутренних нормативных документов организации.

                                                Комментарий


                                                • #25
                                                  Сообщение от SAndreyV Посмотреть сообщение
                                                  Измерять надо действия в реальной, а не смоделированной ситуации.

                                                  А по мне, так важен результат, а не процесс (в данном случае ).
                                                  Не могу согласиться. Аргументирую - обучение ИБ это все таки процесс. И результаты этого процесса как то мало связаны, если вообще связаны, с количественными показателями "инцидентов".

                                                  Ответь на простые вопросы:
                                                  1. Зачем юзеру знания о правилах парольной защиты, если его система принудительно заставляет периодически менять эти пароли и не принимает пароли тривиальные? От того, что юзер загромоздит свою память этими правилами будет ему работать легче?
                                                  2. Если информацию не крадут, то заслуга ли это службы ИБ по воспитанию юзерей и настройке политик? Или её не крадут по иной причине, типа "неуловимого Джо"?
                                                  3. Если мы регистрируем инциденты, которые заливают нашу систему неудержимым потоком, то может надо в консерватории что поправить? Что неоптимально мы построили технологический процесс и он юзерам неудобен?
                                                  4. Если юзер периодически забывает свои пароли, то зависит ли это от степени информированности в ИБ юзера? Или оно больше связано с бурно проведенными выходными, отпуском?

                                                  Можно еще накидать вопросов подобных.
                                                  Система безопасности должна быть несминаема как бетон и в тоже время прозрачна как стекло. И здесь "обучение пользователей" есть не приобретение заний по ИБ юзерами, но их информирование о проводимых безопасниками и информатизаторами мероприятий в части ИБ. Это неше аргументирование тех или иных неудобств, которые мы доставляем юзерам. При этом это и способ обратной связи, выявление тех мест, которые доставляют юзерам максимальное неудобство и поиск по ним иных, более приемлемых решений.

                                                  Поэтому "обучение ИБ" это прежде всего процесс. И этот процесс слабо скоррелирован с количеством зарегистрированных инцидентов. Ведь большинство инцидентов больше связано или с ошибочными действиями, или с модернизацией эксплуатируемого ПО. А это прежде всего недоработки информатизации и безопасности, что предоставили юзерам избыточные полномочия, инструмент с избыточным функционалом. И здесь напрашивается парадоксальный вывод - чем меньше юзер знает и умеет, тем и инцидентов у этого юзера меньше. Но с ростом квалификации...

                                                  Обучение направлено прежде всего на информирование юзерей о том, что служба безопасности тему блюдет, что в системе баловаться не следует, что "шалости" легко выявляются и могут быть жестко, вплоть до увольнения, пресечены. Юзер, зная это, особо шалить не будет, чем облегчит жизнь спецам СБ по разбору системых логов.

                                                  Но никогда это обучение не спасет нас от "покражи" информации если она представляет ценность. Более того, "пократь" информацию юзер может даже при самой жесткой системе ИБ. Так как голова юзерская при выходе на улицу не отвинчивается и на хранение в СБ не сдается. А самая ценная информация вообще заключается в двух словах: "продавать" или "покупать". И чтобы эту информацию вынести - совершенно не требуется ломать компьютерные системы.

                                                  Поэтому обучение ИБ - это прежде всего процесс. А результат достигается иными методами. Прежде всего правильной организацией, обустройством, технологического процесса.

                                                  Комментарий


                                                  • #26
                                                    Возможно Вы не прочитали данный топик полностью.
                                                    Я не согласен с метрикой Алексея, а не с приведёнными Вами аргументами. Давно уже аксиомой считается, что ИБ это не продукт, а процесс - и тут у меня возражений быть не может.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от SAndreyV Посмотреть сообщение
                                                      Возможно Вы не прочитали данный топик полностью.
                                                      Я не согласен с метрикой Алексея, а не с приведёнными Вами аргументами. Давно уже аксиомой считается, что ИБ это не продукт, а процесс - и тут у меня возражений быть не может.
                                                      Главное, что мы оба согласны с тем, что есть теория ИБ и есть практическая её реализация. Так вот, в теории можно применять любые метрики для доказательства своей правоты. В том числе и показатель уменьшения инцидентов. Но на практике... Эксплуатирует ГУ БР по Ленобласти (а сейчас уже и много боьше регионов) определенную систему наблюдения за состоянием операционной (в компьютерном понимании а не в бухгалтерском) среды юзера. Так в ней, после каждой модификации типового программного обеспечения просто шквал инцидентов образуется (новые менюшки, новые системные вызовы и так далее). И, если мы этот девятый вал приплюсуем к _реальным_ инцидентам, то увидим, что в таком случае пользы от обучения - ноль. Ибо инцидентов в системе регистрируются тыщи.

                                                      Вариант номер два: организуем на рабочей станции юзера так называемую замкнутую программную среду, то есть запуск задач юзерских по выверенному белому списку. Юзет может делать только то, что ему явно разрешено. Причем так, как это определено в policy. И какие здесь могут быть инциденты от юзера, по всем рукам повязанного? И где здесь пользы от обучения ИБ? Я лучше этой группе юзеров расскажу как человеков при тяжелых травмах реанимировать, что можно делать и как, и чего делать нельзя категорически. Пользы от этого много больше будет, чем от загрузки им в мозг принципов полномочных правил доступа.

                                                      Обучение ИБ реально сыграет только тогда, когда юзер работает в "открытой" системе а не в замкнутой песочнице. Тогда юзер подумает, а стоит ли ему отрывать приаттаченый к письму URL или это "провокация" :-) Учить нужно преимущественно эту категорию юзерей. А остальных - постольку-поскольку. Поскольку отчетность требует.

                                                      Комментарий


                                                      • #28
                                                        С наступившим годом всех нас.
                                                        Мне несколько не понятно следующее:
                                                        Из обсуждения следует, что Обучение ИБ - это "сюда не ходи, здесь не стой" в отношении защитных мер. Однако под инцидентом понимается отклонение от штатного ведения какого-либо процесса. Причем не важно какого именно процесса, лишь бы этот процесс действительно существовал. А обучение свелось к "никому не говори свой пароль".
                                                        В такой ситуации говорить о связи инцидентов и обучения несколько странно.
                                                        Вероятно я ошибаюсь, но не пойму в каком месте.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Идущий Посмотреть сообщение
                                                          В такой ситуации говорить о связи инцидентов и обучения несколько странно.
                                                          Вероятно я ошибаюсь, но не пойму в каком месте.
                                                          Нет. Не ошибаешься. Здесь чуть ниже опубликована ссылка на тесты по ИБ. Наверное, многие (и я не исключение) туда сходили. Но мне в голову никак не приходит простая связка - а как эти тесты полезны для обучения _бухгалтерского_ пероснала информационной безопасности? Если мы готовим безопасника (системного администратора, рулящего компьютерной безопасностью) то как тесты на "введение в специальность" они еще применимы. Но бухгалтеру то зачем знание номера ГОСТа, по которому ЭЦП генерится? А чему может учить профессионал-безопасник? В этом и заключается самая большая проблема - определить цели обучения среди определенной целевой группы. Причем определить реально, без пустозвонства и громких лозунгов (которых я наслушался вдосталь), за которыми кроме того же звона в пустоте ничего не стоит... Сумеешь такую цель определить, сумеешь разделить работу в ИБ профессионала и бухгалтера, сумеешь эти "работы" формализовать - вот тебе и готовая программа для обучения.

                                                          Однако, зачем морщить лоб? Можно пойти по пути наименьшего сопротивления и рассказывать юзерям страшилки про вирусы да про правила парольной защиты. При том, что всё это эффективно реализуется соответствующими "роботами" (то есть без вмешательства оператора, на автомате). Занятие по утвержденному плану провел, благодарные слушатели в журнале расписались - пункт плана закрыт, можно расслабиться. А если какие мурзилки с веселыми картинками на экран юзеру кидать, то вообще - высший пилотаж. Все генералы умрут от счатья. Вот только смысл???

                                                          Комментарий


                                                          • #30
                                                            Смысл не в том чтобы пользователь знал правила формирования паролей и работы антивируса, ведь и так он простой пароль не введет и антивирус защищен от изменений настроек, а в том чтобы пользователь понимал что он несет какую-то ответственность, и что надо соблюдать какие-то там правила, и если он не будет уверен стоит ли делать что-то (например сувать домашнюю флешку в рабочий комп) то он не станет этого делать, потому как приходили безопасники и что-то там бухтели на счет этого. Сотрудник должен чувствовать определенный контроль над собой, если это производство конечно, а не художественная мастерская.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X