Обучение сотрудников основам киберграмотности (Security Awareness) на объектах КИИ

Security Awareness на объектах КИИ — это не «факультатив», а прямое требование Приказа ФСТЭК № 239. До 70% атак на критическую инфраструктуру начинаются с действий самих сотрудников. В этой статье — полная методика построения программы обучения.

Пошаговый алгоритм запуска программы обучения сотрудников ИБ

Запуск программы Security Awareness на объекте КИИ — это проект, который требует системного подхода. Ниже — проверенный на практике алгоритм, который мы рекомендуем субъектам КИИ на основании опыта работы в 60+ городах России.

Этап 1. Оценка текущего уровня (2–3 недели)

• Провести «нулевую» фишинг-рассылку без предупреждения. Зафиксировать базовый показатель phish-prone percentage.
• Собрать данные о прошлых инцидентах ИБ, связанных с человеческим фактором.
• Провести анонимный опрос сотрудников: знание парольной политики, правила обращения со съёмными носителями, понимание понятия «фишинг».
• Проанализировать существующую организационно-распорядительную документацию по ИБ на предмет полноты раздела ИПО.

Этап 2. Разработка программы (2–4 недели)

• Определить целевые группы сотрудников и темы обучения (см. матрицу ролей в разделе 3).
• Выбрать платформу Security Awareness или формат обучения (внутренний vs. аутсорсинг).
• Разработать календарный план на 12 месяцев: микрокурсы, фишинг-тесты, киберучения, тестирование знаний.
• Подготовить ОРД: регламент информирования и обучения персонала (закрывает требование ИПО.0).
• Согласовать бюджет и KPI с руководством.

Этап 3. Пилотный запуск (4–6 недель)

• Обучить пилотную группу (50–100 сотрудников из разных подразделений).
• Провести 2–3 цикла фишинг-тренировок с разными сценариями.
• Собрать обратную связь: удобство платформы, понятность материалов, вовлечённость.
• Скорректировать программу по результатам пилота.

Этап 4. Масштабирование и непрерывная работа (от 3 месяцев)

• Распространить программу на всех сотрудников, имеющих доступ к объектам КИИ.
• Встроить Security Awareness в процесс онбординга новых сотрудников (ответственность HR).
• Запустить ежемесячный цикл: микрокурс → фишинг-тест → анализ результатов → адресное дообучение.
• Ежеквартально актуализировать сценарии фишинга с учётом актуальных угроз.

Метрики эффективности: как измерить реальный уровень киберграмотности

Программа Security Awareness без измеримых результатов — это расходная статья, которую первой урежут при оптимизации бюджета. CISO обязан показать руководству конкретные цифры, а HR — зафиксировать прогресс обучения. Ниже — набор метрик, которые мы рекомендуем отслеживать ежемесячно.

• Phish-prone percentage (PPP) — доля сотрудников, кликнувших по фишинговой ссылке или открывших вложение. Целевой показатель для зрелой программы — менее 5 %.
• Time-to-report (TTR) — среднее время от получения подозрительного письма до уведомления SOC или ИБ-подразделения. Целевой показатель — менее 10 минут.
• Report rate — доля сотрудников, сообщивших о фишинге, от общего числа получивших тестовое письмо. Цель — более 60 %.
• Completion rate — процент прохождения обучающих курсов. Цель — не менее 95 %.
• Repeat offenders — число сотрудников, повторно кликнувших по фишингу после прохождения обучения. Цель — менее 2 %.
• Инцидентная метрика — количество реальных инцидентов ИБ, связанных с человеческим фактором, в динамике квартал к кварталу.

Эти метрики напрямую закрывают требование ИПО.4 Приказа ФСТЭК № 239 (контроль осведомлённости персонала). При аудите перед проверкой ФСТЭК наличие дашборда с динамикой PPP и TTR за последние 12 месяцев — один из самых убедительных доказательств реально работающей системы обучения.

Типичные ошибки при внедрении Security Awareness на объектах КИИ

За годы работы с субъектами КИИ мы выделили семь наиболее частых ошибок, которые превращают программу Security Awareness из инструмента защиты в «бумажную» формальность.

1. «Обучение раз в год». Ежегодный инструктаж под подпись — это не Security Awareness, а фиксация формального выполнения. Навыки забываются через 2–3 месяца без подкрепления. Рекомендуемый минимум — ежемесячные микрокурсы.
2. Одинаковые сценарии для всех. Письмо «вы выиграли iPhone» научит распознавать массовый фишинг, но не подготовит к целевому BEC-письму «от генерального директора». Сценарии должны быть ролевыми.
3. Наказание за ошибки. Штрафы и выговоры за клик по тестовому фишингу демотивируют и формируют «культуру сокрытия». Сотрудники перестают сообщать о реальных подозрительных письмах. Правильный подход — позитивное подкрепление и адресное дообучение.
4. Отсутствие поддержки руководства. Если CEO и топ-менеджеры не проходят обучение, рядовые сотрудники воспринимают программу как «необязательную». Руководство должно быть в первой волне.
5. Игнорирование операторов АСУ ТП. На промышленных объектах КИИ персонал АСУ ТП часто исключается из программы «потому что они не работают с email». Это ошибка: атаки через съёмные носители, фальшивые обновления ПЛК и социальную инженерию при звонках остаются реальной угрозой.
6. Нет интеграции с SOC. Обучение «сообщайте о подозрительных письмах» бесполезно, если у сотрудника нет удобного инструмента (кнопка в почтовом клиенте, бот в мессенджере) и если SOC не обрабатывает эти сигналы. Подключение к коммерческому SOC решает вторую часть проблемы.
7. Отсутствие метрик. Без измеримых показателей невозможно доказать эффективность ни руководству, ни ФСТЭК. Метрики — единственный язык, на котором Security Awareness разговаривает с бизнесом.

Российские платформы обучения: обзор и критерии выбора

Рынок Security Awareness в России активно развивается. Для субъектов КИИ критически важно выбрать платформу, которая учитывает специфику критической инфраструктуры и соответствует требованиям Приказа ФСТЭК № 239. Ниже — ключевые критерии и обзор основных решений.

Критерии выбора платформы для объекта КИИ

• Ролевая сегментация. Возможность создавать отдельные учебные программы для разных групп сотрудников (офис, АСУ ТП, ИТ, руководство).
• Модуль фишинг-симуляций. Библиотека шаблонов писем, конструктор сценариев, автоматизация рассылки.
• Just-in-time обучение. Автоматический показ обучающего материала в момент ошибки сотрудника.
• Аналитика и отчётность. Дашборды с метриками PPP, TTR, report rate в разрезе подразделений, экспорт отчётов для ФСТЭК.
• Интеграция с корпоративными системами. LDAP/AD для синхронизации, API для SIEM/SOC, поддержка SSO.
• Локализация и размещение. Российская юрисдикция, возможность установки on-premise (для объектов с ограниченным доступом к интернету).
• Наличие в реестре российского ПО. Для значимых объектов КИИ использование решений из реестра Минцифры предпочтительно с учётом курса на импортозамещение.

Среди зарекомендовавших себя российских платформ — Kaspersky ASAP (Automated Security Awareness Platform), Solar Security Awareness от «Ростелекома», StopPhish, МегаФон Security Awareness, платформа Phishman. Каждая имеет свои сильные стороны: Kaspersky ASAP выделяется адаптивным обучением с автоподбором уровня сложности, Solar — интеграцией с экосистемой Solar SOC, StopPhish — гибкостью конструктора фишинговых сценариев.

Для объектов КИИ с изолированными сегментами сети (АСУ ТП, закрытые контуры) оптимальны решения с on-premise-развёртыванием. Облачные платформы подходят для офисного персонала и ИТ-подразделений, работающих в корпоративном сегменте.

Чек-лист CISO: годовой цикл Security Awareness для субъекта КИИ

Ниже — готовый к использованию чек-лист, который позволяет CISO и HR-директору спланировать годовой цикл обучения. Каждый пункт привязан к конкретной мере Приказа ФСТЭК № 239.

Данный чек-лист обеспечивает полное закрытие требований раздела ИПО Приказа ФСТЭК № 239 для значимых объектов КИИ любой категории. Для объектов первой и второй категории рекомендуется дополнительно включать: Red Team учения (имитация целевых атак), настольные штабные учения (table-top exercises) по отработке планов реагирования на инциденты, а также участие в межотраслевых киберучениях.

Важный организационный момент: успех программы Security Awareness на 80 % зависит от сотрудничества CISO и HR. Подразделение ИБ определяет содержание и метрики, HR обеспечивает охват, отслеживает прохождение и интегрирует обучение в систему оценки персонала. По опыту комплексных проектов защиты КИИ, организации, где HR-департамент является полноправным участником программы, достигают целевых показателей на 40 % быстрее.

Итог

Обучение сотрудников основам киберграмотности (Security Awareness) — это не дополнительная опция, а обязательный элемент системы безопасности значимого объекта КИИ, прямо предусмотренный Приказом ФСТЭК № 239. Без системной работы с человеческим фактором даже самые дорогие технические средства защиты не остановят целевую атаку, начинающуюся с фишингового письма.

Эффективная программа Security Awareness КИИ строится на четырёх принципах: ролевая сегментация обучения, регулярные фишинг-тренировки, измеримые метрики результативности и тесное взаимодействие CISO с HR. Внедрение занимает 3–4 месяца, а первые измеримые результаты — снижение PPP до 5–10 % — достижимы уже через полгода.

Помните: регулятор при проверке оценивает не наличие сертификатов о прохождении курсов, а реальную способность персонала противостоять атакам. Организации, выстроившие непрерывный цикл обучения с доказательной базой метрик, проходят проверки ФСТЭК без замечаний по разделу ИПО и значительно снижают вероятность успешной кибератаки на критическую инфраструктуру.

Нужна помощь с обучением персонала и построением системы Security Awareness на объектах КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку текущего уровня киберграмотности вашей организации и помогут выстроить программу, закрывающую все требования ФСТЭК.