Download - Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный инструмент снижения
Свириденко Вячеслав
Заместитель директора по продажам
Повышение осведомленности персонала – эффективный инструмент снижения числа инцидентов ИБ
Учебный центр «Информзащита»
Ведущий специализированный центр по вопросам обучения безопасности организаций
Имеет Лицензию Департамента образования г. Москвы на ведение образовательной деятельности и государственную аккредитацию образовательного учреждения ДПО в области ИБ
За 17 лет работы подготовлено более 55 000 специалистов
Более 150 учебных курсовСвыше 20 высококвалифицированных
преподавателей-практиковСовременные аудитории, развитая лабораторная
база для реализации учебных практикумов
2
Специализация Учебного центра
Информационная безопасность
Экономическая безопасность
Транспортная безопасность
Кадровая безопасность
Защита от утечек
3
Учредители и Топ менеджментСпециалисты подразделений Информационной безопасности
• Руководители отдела ИБ• Специалисты отдела ИБ• Аудиторы ИБ• Аналитики по вопросам ИБ• Эксперты по вопросам ИБ• Администраторы средств защиты
информации• Администраторы ИБ • Специалисты удостоверяющих центров• Специалисты по технической защите
информации
Специалисты подразделений Экономической безопасности
Руководители отдела ЭБСпециалисты отдела ЭБАудиторы ЭБ Аналитики по вопросам ЭБ Эксперты по вопросам ЭБ
4
Категории слушателейСпециалисты подразделений Информационных технологий
• Руководители отдела ИТ• Специалисты отдела ИТ• Системные администраторы• Сетевые администраторы
Разработчики ПО• Разработчики Web-приложений• Разработчики ПО
Специалисты подразделений HR, Маркетинга, Юр. отдела, Склада и др.
• Руководители отдела • Специалисты отдела
Осведомленность персонала в вопросахинформационной безопасности
5
Кому это может быть нужно?
6
1. Финансовые компании, которым необходимо соответствовать стандартам:•СТО БР ИББС-1.0-2010: Система менеджмента информационной безопасности организаций банковской системы Российской Федерации• PCI DSS 2.0: Требование 12. Разработать и поддерживать
политику информационной безопасности для всего персонала организации
2. Компании, проходящие проверку на соответствие Международному стандарту менеджмента безопасностиISO/IEC 27002:2005: Обеспечение осведомленности, обучение и подготовка в области информационной безопасности
3. Компании с большой численностью персонала
4. Компании, в которых обрабатываются персональные данные и где введен режим коммерческой тайны
Почему именно этого персонала?Исследования, проводимые ежегодно отечественными и зарубежными компаниями показывают, что 60-80% всех инцидентов, связанных с нарушениями политик ИБ, происходит по вине персонала.
7
80%
20%
Размер ущерба от различных угроз Ошибки персонала Сбои оборудования и
электроснабжения Нечестные сотрудники (мошенники) Обиженные сотрудники Вирусы Внешние нападения
В конце 2014 года Ernst&Young выпустила пресс-релиз, в котором говориться: «Неосведомленность сотрудников в вопросах соблюдения правил информационной безопасности занимает первое место в списке основных уязвимостей в России».
Неумышленные потенциально опасные действия пользователя могут быть вызваны следующими причинами:
незнанием и недооценкой потенциальных опасностей, а также непониманием их связи с выполняемыми действиями;незнанием работниками правил и требований обеспечения ИБ;непониманием необходимости соблюдения
правил и требований;нежеланием выполнять требования,
установленные в организации;невнимательностью работников к правилам и требованиям обеспечения ИБ.
Причины совершения неумышленных нарушений ИБ
8
«Трудности перевода»
Персонал не владеющий специальными знаниями, как правило, не способен адекватно воспринимать информационные посылы специалистов по безопасности, которые, в свою очередь, могут не обладать достаточным уровнем методического мастерства.
Элементарно! М….
9
Типовой результат стандартного вводного инструктажа
10
Комплексная Программа повышения осведомленности персонала по вопросам информационной безопасности
1) Обучение работников организации
2) Поддержание атмосферы информационной безопасности
3) Оценка эффективности и актуализация
12
Формы корпоративного обучения
Очное обучение (в т.ч., выездное)
Дистанционное обучение:• обучение в формате вебинаров• обучение с использованием электронных курсов
Электронные курсы.
Разработано более 30 электронных курсов по различным направлениям ИБ
Геймификация
«Скажи мне — и я забуду, покажи мне — и я запомню, дай мне сделать — и я пойму» (с) Конфуций
14
Электронные курсы.Курс - интерактивная игра «Повышение осведомленности персонала в вопросах информационной безопасности», 2 академических часа
Темы игры:Тема 1. Рабочее место пользователя (компьютер).Тема 2. Неправомерное использование рабочего времени.Тема 3. Конфиденциальная информация.Тема 4. Внешние носители информации.Тема 5. Программное обеспечение.Тема 6. Парольная защита. Тема 7. Антивирусная защита.Тема 8. Работа с электронной почтой. Тема 9. Работа с сетью Интернет. Тема 10. Мобильные устройства/Удаленный доступ.Итоговые упражнения.
Поддержание атмосферы ИБ
Наиболее часто используют следующее:плакатыэкранные заставки (скринсейверы)баннерыflash-ролики видеороликипамятки, буклетысувенирная продукция
Повышение осведомлённости в области ИБ – это не профильное обучение.Чем проще и доступнее будут изложены материалы – тем легче они будут запоминаться сотрудниками компании.
16
17
Поддержание атмосферы ИБ - плакаты
18
Поддержание атмосферы ИБ - скринсейверы
19
Поддержание атмосферы ИБ - скринсейверы
20
Поддержание атмосферы ИБ – памятка
21
Поддержание атмосферы ИБ – флеш-игры
Тематического квеста по ИБ для привлечения персонала компании к вопросам соблюдения правил и регламентов ИБ.
Сценарий и дизайн квеста разработан в соответствии с корпоративным стилем и культурой Заказчика (на основе brandbook/web-guideline и т.п.)
22
24
Поддержание атмосферы ИБ – флешролики
Сценарий разрабатывается в соответствии с организационно-распорядительной документацией заказчика в области ИБ.
24
Поддержание атмосферы ИБ – видеоролики
Продолжительность видеоролика - 15 - 20 минут.
25
Поддержание атмосферы ИБ – тематические рассылки
26
Поддержание атмосферы ИБ – сувенирная продукция
Стикеры для записей Сувенирные кружки - хамелеоны Объемные наклейки на монитор компьютера Календари и др…
27
Оценка эффективности и актуализация
В рамках выполнения рассылок осуществляется проверка знаний пользователями:
• политики использования паролей;• правил соблюдения лицензионной
чистоты;• правил противодействия вирусным
атакам;• правил пользования электронной
почты и интернетом;• правил безопасного использования
служебных мобильных устройств.
Рассылка санкционированных Заказчиком провокационных сообщений по корпоративной электронной почте и по SMS/MMS, мотивирующих пользователей на нарушение действующих у Заказчика правил и политик информационной безопасности.
Благодарим за вниманиеКонтакты:
Учебный центр «Информзащита»Москва, ул. Образцова, 38
(495) 980-2345 (доб. 04)[email protected]