Защита персональных данных состоит из комплекса технических и организационных мероприятий: в данной статье рассматриваются особенности организационных аспектов защиты в части обучения персонала и даётся пошаговое описание их эффективного внедрения.

Шаг 1. Осознание

Согласно исследованиям, основным источником утечек персональных данных в компаниях являются рядовые сотрудники: порядка 80% таких утечек происходит по их вине будь то намеренные действия или случайные ошибки. Что же получается: главный враг компании — сотрудники? На самом деле — нет. Проблема в том, что меры защиты внедряются как факт и рядовым сотрудникам, которые постоянно обрабатывают персональные данные, зачастую не объясняют, для чего это сделано. Представьте себе ситуацию, когда после аудита всех процессов обработки персональных данных в организации (а это может быть порядка 30 или даже 50 процессов!) выпускается отчет с описанием найденных нарушений и недостатков, а также разрабатывается комплект документов — порядка 20 штук (без учёта форм, в которые вносятся персональные данные, например, формы, которые заполняют работники или клиенты, которые также необходимо будет переработать после проведения внутреннего аудита). И вот благодаря стараниям активного специалиста по защите информации в компании внедряется несколько десятков внутренних распорядительных документов и с десяток новых форм в сложившиеся зрелые процессы обработки персональных данных. Естественно, это воспринимает в штыки сотрудниками: с их точки зрения — это дополнительная нагрузка и способ подловить и наказать работника. Ведь не стоит забывать о том, что помимо защиты персональных данных, любой компании существуют еще отраслевые стандарты по обеспечению безопасности информации, например, банковская тайна, налоговая, врачебная, служебная... и, как правило, нормативная нагрузка на рядового сотрудника становится колоссальной. Неудивительно, если внутри он испытывает тихий ужас, когда понимает, скольким политикам, положениям, регламентам, инструкциям он должен следовать в своей ежедневной работе.

Как же помочь в этой ситуации офицеру безопасности? Ведь он делает благое для компании, а значит — и всех сотрудников — дело.

Как заставить работать механизмы организационной защиты персональных данных?

Ответ прост: заставлять нельзя. Наиболее эффективным будет тот труд, который является осознанным и мотивированным.

И если специалист по информационной безопасности понимает, зачем он защищает персональные данные, то дело за малым — объяснить это всем сотрудникам компании. Поначалу кажется, что путь этот будет тернист и долог, однако первый шаг мы уже с вами сделали — осознали, что проведение обучения в компании необходимо.

Шаг 2. Выбор учителя

В первую очередь следует оценить свои силы и возможности: имеются ли временные и человеческие ресурсы у подразделения, занимающегося защитой персональных данных, на обучение всех сотрудников компании? Если ответ положительный, то можно смело переходить к Шагу 3. Если же таких ресурсов не хватает, то здесь придётся немного задержаться и выбрать компанию, которая сможет провести такое обучение. Универсального списка таких компаний нет, но есть несколько подсказок, как оценить эффективность предлагаемых услуг до начала первого занятия. Во-первых, самым эффективным способом является получение рекомендаций от коллег по цеху: наверняка ваша компания не единственная в своей отрасли и скорее всего у топ-менеджмента или руководители направлений есть знакомые специалисты в иных компаниях вашей области. Первое с чего можно начать — это попросить у них помощи и узнать, проходил ли кто-либо внутреннее обучение силами сторонних партнёров. Насколько им это понравилось? Насколько было эффективно? Какова стоимость обучения? Кстати о стоимости: основная проблема при защите персональных данных в частности и при построении системы защиты в целом является бюджетирование. Как правило, бизнес (и тут мы не можем его винить) не всегда охотно выделяет деньги на защиту информации, так как совершенно не видно прямой выгоды от такого вложения. Здесь вам, как офицеру безопасности, придется проявить дипломатию: возможно где-то оперировать успешным опытом коллег, где-то штрафами в сфере защиты персональных данных, а где-то провалами в бизнесе и возникающими из-за этого репутационными рисками. Небольшая подсказка: в случае согласования бюджета на построение системы защиты информации лучше делать акцент, что целью её является не получение прибыли, а сохранении уже существующих активов.

Основным плюсом приглашения внешней организации для обучения сотрудников является экономия вашего времени. Однако не стоит забывать, что любой внешний проект требует тщательного внутреннего контроля.

Основным плюсом проведение обучения собственными силами является то, что вы как никто другой хорошо знаете процессы обработки персональных данных в компании, а возможно знаете и большинство людей, которые участвуют в этих процессах, и к вам они будут относиться более лояльно и внимательно нежели к внешним организациям.

Самый простой способ рассчитать экономическую эффективность от приглашения внешней организации является подсчёт ваших трудозатрат на проведение обучения. Если проведение обучения вашими силами будет стоить компании дороже, а у вас есть альтернатива в виде хорошего интегратора, то на наш взгляд выбор очевиден.

Шаг 3. План тренировок

Прежде чем создать план обучения и начать его наполнение, необходимо понять, на кого он рассчитан. Практически в любой организации можно выделить несколько групп сотрудников:

  1. топ-менеджмент;
  2. информационная безопасность;
  3. ИТ-служба;
  4. иные сотрудники.

Вне зависимости от того, сколько человек работает в вашей компании, деление всего на четыре группы поможет вам составить наиболее эффективное наполнение обучающего курса.

А вот и достаточно универсальный план обучения, который подойдёт для представителей всех групп:

Часть 1. Введение

  1. структура 152-ФЗ: что и зачем регулирует закон и подзаконные акты;
  2. что считать персональными данными;
  3. автоматизированная и неавтоматизированная обработка;
  4. ответственность за нарушение 152-ФЗ;
  5. специфика обработки персональных данных для отрасли.

Часть 2. Практические аспекты защиты

  1. обследование;
  2. разработка и внедрение документации;
  3. построение системы защиты;
  4. как защищать персональные данные после внедрения всех процедур;
  5. истории из практики.

Часть 3. Прохождение проверок Роскомнадзора

  1. сценарий проверки: от получения приказа о начале проверки до вручения предписания по завершению;
  2. как работать с результатами проверки;
  3. истории из практики.

Шаг 4. Наполнение сосуда истиной

Несмотря на универсальность самого плана, акценты, расставленные в курсе, должны меняться в зависимости от группы.

Здесь вам необходимо проявить творческий подход или даже провести предварительное анкетирование и уточнить у представителей различных групп, что именно им было бы интересно узнать в рамках проводимого обучения.

Если у ваших коллег возникают трудности с ответом на этот вопрос, то и здесь мы можем дать вам небольшую подсказку.

Как правило, с бизнесом принято разговаривать на языке денег. Выше уже упоминалось, что за нарушения в сфере защиты обработки персональных данных следуют штрафы, но зачастую для крупного и даже среднего бизнеса они не очень велики. Поэтому основная проблема при утечках персональных данных — это репутационные риски и потеря клиентов. В курсе для топ-менеджмента мы рекомендуем делать акцент именно на этом. Полезным будет привести в пример случаи утечек в компаниях вашей и смежных отраслей, а также результаты различных судебных разбирательств и последствия, с которыми столкнулись компании-нарушительницы.

При составлении курса для представителей подразделения информационной безопасности и ИТ можно сделать акцент на то, что профессиональный комплексный подход к вопросу защиты персональных данных значительно снизит количество инцидентов в этой области и, как следствие, нагрузку на данные подразделения в части обработки инцидентов, а также трудозатраты на устранение их последствий. Таким образом, вместо того, чтобы внедрять всё новые и новые средства защиты от утечек, вы защищаете себя иным образом через повышение уровня осведомленности коллег.

В курсе для последней группы — иных сотрудников, которые непосредственно осуществляют обработку персональных данных, — основной акцент следует сделать на том, зачем внедряются все эти процедуры защиты.

Сотрудники должны понимать, во-первых, что такое персональные данные и для чего их необходимо защищать. В чьих интересах они действуют, когда следует требованиям тех самых двадцати новых распорядительных документов. Основная цель курса для данной группы — это повышение уровня осведомленности и осознанности своих действий. Однако за этим простым постулатом кроется ряд проблем. Основная из которых — это человеческий фактор: во многих компаниях месяцами или даже годами происходит формирование тех или иных бизнес-процессов, и когда на горизонте появляется офицер информационной безопасности с горящими глазами, сообщающий, что отныне мы будем жить совершенно по-другому, естественно это вызывает отторжение. Поэтому обучение данной группы должно проходить в легкой игровой форме. Используйте все возможности прогресса, до которых сможете дотянуться: придумайте сценарии для обучающих роликов, закажите забавные плакаты (кстати, очень эффективный способ помочь людям запомнить простые аспекты информационной безопасности, например, необходимость блокировки рабочих компьютеров и запрет хранения паролей в открытом виде), создайте увлекательные презентации, проработайте интересные кейсы (можете опираться на судебную практику российских или иностранных судебных органов). В конце концов, можно устроить самый настоящий квест по защите персональных данных, объединив его с тимбилдингом (ищите союзников в кадровой службе или у иных коллег, которые занимаются организацией массовых мероприятий). Основная мысль, которую необходимо донести до каждого сотрудника во время обучения, — у вас есть общая цель и цель эта не выявление нерадивых сотрудников, а повышение общего уровня безопасности компании и, как следствие, снижение потерь от утечек и повышение лояльности бизнеса к своим подчинённым: ведь если сотрудник ответственно относятся к информационным активам, которыми владеет компания, то и бизнес будет ответственно относиться к человеческим ресурсам.

Шаг 5. Распорядок дня

Помимо составления плана обучения рекомендуется также подумать над его эффективным графиком: как правило, сотрудникам очень сложно покинуть свои рабочие места на несколько часов и прослушать курс, который рассчитан на целый день, — это не только затормозит бизнес-процессы, но и вызовет негатив с их стороны. Поэтому мы предлагаем вам разбить курс на несколько уроков, например, по 2 часа, что является не слишком большой нагрузкой для бизнес-процессов, и проводить этот курс раз в два дня. Таким образом, для каждой группы обучение займёт всего одну неделю, если проводить его в понедельник, среду и пятницу, и ваших коллег будет достаточно времени, чтобы осознать и усвоить материал, а также задать интересующие вопросы. С таким распорядком вы сможете обучить все четыре группы всего лишь за месяц.

Если число сотрудников вашей компании достаточно велико, например, от нескольких сотен до нескольких тысяч человек, то четвёртую группу необходимо заменить на руководителей направлений, которым в дальнейшем необходимо будет передать полученные знания своим подчинённым.

Шаг 6. Хорош тот учитель, который сам не боится учиться

Тут мы не будем отступать от цикла PDCA (англ. Plan-Do-Check-Act — Планирование-Действие-Проверка-Корректировка), разработанного консультантом по теории управления качеством Уолтера Эндрю Шьюхарт.

Следующим шагом после проведения обучения является проверка его эффективности. Сразу оговоримся, что у большинства людей еще со школьных времен остался страх перед всевозможными контрольными, тестами, проверочными работами и фразой, произносимой за 5 минут до конца урока: «А теперь достаем двойные листочки...».

Эффективным является подход, когда преподаватель получает обратную связь в конце каждого обучающего блока и в конце всего курса в целом — поэтому не забудьте выделить время после каждой лекции для вопросов и обсуждения непонятных моментов — таким образом, у ваших учеников будет возможность применить полученные знания в мини-дискуссиях и уяснить для себя какие-то спорные моменты день в день.

После завершения всего курса в целом неплохо было бы, во-первых, разослать каждому слушателю материалы, которые использовались для его обучения, а также некую памятку, где были бы отмечены основные аспекты и ссылки на те документы, в которых слушатели более подробно могут ознакомиться с базой знаний по защите персональных данных или освежить в памяти те или иные моменты обучения.

Возьмите себе на вооружение и регулярные рассылки: неплохо было бы раз в квартал направлять всем работникам небольшую памятку по парольной политике, политике чистого стола, правила уничтожения бумажных документов, требования блокировки рабочих станций и некий чек-лист, с помощью которого каждый работник может проверить, насколько полно он выполняет требования информационной безопасности.

Чтобы беспристрастно оценить результаты проведенного курса вам необходимо некоторое время, так как лучшим показателем успешного курса является снижение количества инцидентов, связанных с утечками персональных данных. Для получения информации по инцидентам вы можете пользоваться несколькими инструментами, например, DLP (система предотвращения утечек информации): практически все современные DLP обладают модулем составление отчётности.

Сравните и проанализируйте статистику инцидентов до проведения курса, спустя месяц после курса, спустя 3 месяца и спустя полгода. Это один из самых эффективных способов узнать достигли ли вы своей цели либо требуются какие-то дополнительные мероприятия. Еще одним интересным методом узнать, усвоили ли ваши коллеги курс, является социальная инженерия. Как бы ни странно это звучало, но вам необходимо поиграть в шпиона, чтобы понять, действительно ли люди стали осознавать важность защиты персональных данных и соблюдают ли они требования по защите информации. Способов это проверить великое множество. Можете проявить свое творческое начало (да, в очередной раз — без этого никуда!), например, пройти в офис без пропуска, попросив поддержат вам дверь, сославшись на занятые руки; оставить на кухне соблазнительную флешку с безобидным вирусом; положить распечатанные документы с воображаемыми конфиденциальными данными, обозвав их каким-нибудь привлекательным заголовком «Зарплатные ведомости топ-менеджмента». Вы можете даже пригласить одного из коллег в качестве соискателя в отдел кадров и попросить его выяснить конфиденциальные данные, которые не должны быть доступны третьим лицам. Здесь просто такие безграничное поле для деятельности, а идеи можно черпать из статей об утечках информации в различных компаниях: изучите, какими способами пользовались злоумышленники, чтобы получить желаемое.

Безусловно, вы можете провести тесты для своих учеников, однако мы рекомендуем проводить эти тесты обезличенными. Так для себя вы поймете, насколько успешно был усвоен материал. Попросите учеников анонимно написать обратную связь и обязательно проведите корректировку курса с учётом выданных вам замечаний — ведь с этот курс вам предстоит провести ещё не раз: как правило, такое обучение эффективно проводить и для каждого сотрудника индивидуально при приеме на работу (вы можете автоматизировать данный процесс — обратите внимание на обучающие программы, в которые вы можете загрузить материалы) и раз в год в виде коллективного мероприятия.

Оцените эффективность курса и проведите свою работу над ошибками — совершенствуйтесь: ведь обучая кого-то и у вас есть уникальная возможность научиться новому.

СПЕЦПРОЕКТ КОМПАНИИ CROSS TECHNOLOGIES