Эффективная программа повышения осведомленности             персонала в вопросах ИБ  Владимир Ткаченко, CISA  Директор ООО...
РЕАЛЬНАЯ СТАТИСТИКА (из отчетов о тесте на проникновение) 2010 При массовой рассылке (фишинговая атака) – из 150 целей пол...
Мамо, шо маю робити? – Security awareness, доню!ЧТО ТАКОЕ программа повышения осведомленности персонала (пользователей) в ...
Этапы реализации программы                                     Этап I – Обоснование и планирование (Plan & Assess)        ...
Элементы программы повышения осведомленности Плакаты (постеры) – в присутственных местах (кухни, коридоры,  шкафы, стены ...
Элементы программы пример плакатов12.10.2012   © Владимир Ткаченко, CISA - Агентство Активного Аудита   6
Элементы программы пример плакатов12.10.2012   © Владимир Ткаченко, CISA - Агентство Активного Аудита   7
Элементы программы пример плакатов12.10.2012   © Владимир Ткаченко, CISA - Агентство Активного Аудита   8
Элементы программы пример комикса12.10.2012   © Владимир Ткаченко, CISA - Агентство Активного Аудита   9
Элементы программы пример комикса (продолжение)12.10.2012   © Владимир Ткаченко, CISA - Агентство Активного Аудита   10
Элементы программы пример флеш мульта12.10.2012   © Владимир Ткаченко, CISA - Агентство Активного Аудита   11
Элементы программы пример видеоролика12.10.2012   © Владимир Ткаченко, CISA - Агентство Активного Аудита   12
Элементы программы пример канцелярии12.10.2012   © Владимир Ткаченко, CISA - Агентство Активного Аудита   13
Средства доставки контента персоналу             • Корпоративный Web-портал             • Корпоративный Web-сайт (раздел и...
Методы оценки эффективности• КPI (Key Performance Indicators)• KRI (Key Risk Indicators)• Benchmarking (внешний напр. при ...
Команда реализующая программу Кто ?  Отдел кадров (НR) – непосредственное участие в реализации   программы (организация и...
Вопросыinfo@auditagency.com.uawww.auditagency.com.ua     044 228 15 88
Upcoming SlideShare
Loading in …5
×

Владимир Ткаченко - Эффективная программа повышения осведомленности в вопросах ИБ

783 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
783
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Владимир Ткаченко - Эффективная программа повышения осведомленности в вопросах ИБ

  1. 1. Эффективная программа повышения осведомленности персонала в вопросах ИБ Владимир Ткаченко, CISA Директор ООО «Агентство Активного Аудита» Член Наблюдательного совета ВОО «Украинская группа по информационной безопасности»
  2. 2. РЕАЛЬНАЯ СТАТИСТИКА (из отчетов о тесте на проникновение) 2010 При массовой рассылке (фишинговая атака) – из 150 целей получено 20 паролей сотрудников компании (13,33%), кроме того почтовый сервер разрешил подобную массовую рассылку от имени одного из сотрудников Заказчика (начальника департамента ИТ). 2011 Многие сотрудники компании не имеют представления о фишинговых атаках и не сумели их идентифицировать. Реактивные действия соответствующих подразделений не сумели предотвратить развитие атаки. Через сутки после проведения атаки пароли не сменили 14 пользователей. Через 6 дней - 10 пользователей. В результате сбора информации с почтовых ящиков было получено множество конфиденциальных данных. 2012 При массовой рассылке (фишинговая атака) из 120 целей получено около 30 паролей сотрудников компании (25%). Данные пароли также давали возможность дополнительно авторизоваться на корпоративных ресурсах. 2012 При массовой рассылке (фишинговая атака) из 900 целей зарегистрировано 110 вводов паролей сотрудников компании (12%). 30% сотрудников компании раскрыли конфиденциальную информацию по телефону входе осуществления звонков.12.10.2012 © Владимир Ткаченко, CISA 2
  3. 3. Мамо, шо маю робити? – Security awareness, доню!ЧТО ТАКОЕ программа повышения осведомленности персонала (пользователей) в вопросах ИБ?Программа повышения осведомленности это – комплекс мероприятий направленный напротиводействие угрозам и уязвимостям ИБ.Зачем?1) См. слайд выше - предотвратить риски утечки, хищения, информации (потеря конфиденциальности);2) Предотвратить несанкционированные действия по модификации, копированию информации (потеря целостности);3) Снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности компании;4) Обеспечить понимание персоналом своих обязанностей по информационной безопасности и внедрить «модель поведения» при инцидентах ИБ;5) Принятие новых нормативных актов (напр., Закон о ПДн), изменение политик и/или технологий в области ИБ, изменение бизнес процессов, работа с персоналом третьей компании, новый менеджмент … Как? NIST SP800-50 Building an The New User’s Guide: How Information Technology to raise information security Security Awareness and awareness (Nov 2010) Training Program (Oct 2003) 70! 140 !!!!!12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 3
  4. 4. Этапы реализации программы Этап I – Обоснование и планирование (Plan & Assess) Оценить тематику и СланироватьНазначить ответственных Определить участников потенциальные Получить бюджет внедрение (составить за реализацию и аудиторию решения План реализации) Этап II – Реализация и управление программой (Execute & Manage) Подготовить мероприятия и Определить средства доставки Провести мероприятия по Документировать полученные материалы информации программе результаты (за период действия) Этап III – Оценка эффективности и корректирующие действия (Evaluate & Adjust) Провести оценку эффективности Скорректировать тематику и цели Скорректировать программу по Реализовать скорректированные мероприятий (если необходимо) результатам оценки мероприятия12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 4
  5. 5. Элементы программы повышения осведомленности Плакаты (постеры) – в присутственных местах (кухни, коридоры, шкафы, стены в помещении) Скринсейверы (на рабочих станциях), баннеры на корпоративном сайте /портале Сообщения при загрузке и/или выключении компьютера Комиксы (статические картинки с сюжетом по теме ИБ) Флеш – мультики Флеш-игры Видеоролики Средства канцелярской наглядной агитации (ручки, степлеры, дыроколы, внешние носители, стикеры и пр) Тесты, конкурсы, презентации, интерактивное обучение Все что еще вы сможете придумать для внедрения идей (положений) ИБ в компании (расстрел пейнтбольными шариками нарушителей политики чистого стола и т. п.)12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 5
  6. 6. Элементы программы пример плакатов12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 6
  7. 7. Элементы программы пример плакатов12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 7
  8. 8. Элементы программы пример плакатов12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 8
  9. 9. Элементы программы пример комикса12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 9
  10. 10. Элементы программы пример комикса (продолжение)12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 10
  11. 11. Элементы программы пример флеш мульта12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 11
  12. 12. Элементы программы пример видеоролика12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 12
  13. 13. Элементы программы пример канцелярии12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 13
  14. 14. Средства доставки контента персоналу • Корпоративный Web-портал • Корпоративный Web-сайт (раздел или страничка по ИБ) • Сообщение ОС на сетевую папку с контентом • Авторан на сетевую папку с контентом • Размещение контента в местах частого присутствия персонала (кухни, комнаты для переговоров и т. п.) • Демонстрация роликов на плазменных панелях, экранах12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 14
  15. 15. Методы оценки эффективности• КPI (Key Performance Indicators)• KRI (Key Risk Indicators)• Benchmarking (внешний напр. при аудите)Способы оценки эффективности:• анкетная оценка (метод выборочного интервью с участниками программы);• результаты тестов персонала по тематике ИБ;• адекватное финансирование программы;• уровень посещаемости инструктажей ИБ;• наличие конкурсов, награжденных призами …;• наличие каналов доставки контента (WEB, TV,E-mail…)12.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15
  16. 16. Команда реализующая программу Кто ?  Отдел кадров (НR) – непосредственное участие в реализации программы (организация и проведение тренингов, анализ результатов, контроль за проведением и т.п.)  Отдел ИБ (CISO) - согласование тематики, участие в инструктажах, презентациях и в оценке эффективности  Бухгалтерия (фин планирование) (CFO) – бюджетирование и контроль расходов  Отдел маркетинга (СМО) – ТОЛЬКО согласование корпоративного стиля в макетах материалов !!!!  Отдел ИТ (CIO) – только консалтинг по актуализации тем и организация доставки контента12.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16
  17. 17. Вопросыinfo@auditagency.com.uawww.auditagency.com.ua 044 228 15 88

×