2. Учебный центр «Информзащита»
Ведущий специализированный центр по вопросам
обучения безопасности организаций
Имеет Лицензию Департамента образования г.
Москвы на ведение образовательной деятельности и
государственную аккредитацию образовательного
учреждения ДПО в области ИБ
За 17 лет работы подготовлено более 55 000
специалистов
Более 150 учебных курсов
Свыше 20 высококвалифицированных
преподавателей-практиков
Современные аудитории, развитая лабораторная
база для реализации учебных практикумов
2
4. Учредители и Топ менеджмент
Специалисты подразделений
Информационной безопасности
• Руководители отдела ИБ
• Специалисты отдела ИБ
• Аудиторы ИБ
• Аналитики по вопросам ИБ
• Эксперты по вопросам ИБ
• Администраторы средств защиты
информации
• Администраторы ИБ
• Специалисты удостоверяющих центров
• Специалисты по технической защите
информации
Специалисты подразделений
Экономической безопасности
Руководители отдела ЭБ
Специалисты отдела ЭБ
Аудиторы ЭБ
Аналитики по вопросам ЭБ
Эксперты по вопросам ЭБ
4
Категории слушателей
Специалисты подразделений
Информационных технологий
• Руководители отдела ИТ
• Специалисты отдела ИТ
• Системные администраторы
• Сетевые администраторы
Разработчики ПО
• Разработчики Web-приложений
• Разработчики ПО
Специалисты подразделений HR,
Маркетинга, Юр. отдела, Склада и др.
• Руководители отдела
• Специалисты отдела
6. Кому это может быть нужно?
6
1. Финансовые компании, которым необходимо
соответствовать стандартам:
•СТО БР ИББС-1.0-2010: Система менеджмента информационной
безопасности организаций банковской системы Российской
Федерации
• PCI DSS 2.0: Требование 12. Разработать и поддерживать
политику информационной безопасности для всего персонала
организации
2. Компании, проходящие проверку на соответствие
Международному стандарту менеджмента безопасности
ISO/IEC 27002:2005: Обеспечение осведомленности, обучение и
подготовка в области информационной безопасности
3. Компании с большой численностью персонала
4. Компании, в которых обрабатываются персональные
данные и где введен режим коммерческой тайны
7. Почему именно этого персонала?
Исследования, проводимые ежегодно отечественными
и зарубежными компаниями показывают, что 60-80%
всех инцидентов, связанных с нарушениями политик ИБ,
происходит по вине персонала.
7
80%
20%
Размер ущерба от различных
угроз
Ошибки персонала
Сбои оборудования и
электроснабжения
Нечестные сотрудники (мошенники)
Обиженные сотрудники
Вирусы
Внешние нападения
В конце 2014 года Ernst&Young выпустила пресс-релиз, в котором говориться:
«Неосведомленность сотрудников в вопросах соблюдения правил
информационной безопасности занимает первое место в списке основных
уязвимостей в России».
8. Неумышленные потенциально опасные действия пользователя могут быть
вызваны следующими причинами:
незнанием и недооценкой потенциальных
опасностей, а также непониманием их связи с
выполняемыми действиями;
незнанием работниками правил и требований
обеспечения ИБ;
непониманием необходимости соблюдения
правил и требований;
нежеланием выполнять требования,
установленные в организации;
невнимательностью работников к правилам и
требованиям обеспечения ИБ.
Причины совершения неумышленных нарушений ИБ
8
9. «Трудности перевода»
Персонал не владеющий специальными знаниями, как правило, не способен адекватно
воспринимать информационные посылы специалистов по безопасности, которые, в свою
очередь, могут не обладать достаточным уровнем методического мастерства.
Элементарно! М….
9
11. Комплексная Программа повышения осведомленности
персонала по вопросам информационной безопасности
1) Обучение работников организации
2) Поддержание атмосферы информационной безопасности
3) Оценка эффективности и актуализация
12. 12
Формы корпоративного обучения
Очное обучение (в т.ч., выездное)
Дистанционное обучение:
• обучение в формате вебинаров
• обучение с использованием электронных курсов
14. Геймификация
«Скажи мне — и я забуду, покажи мне — и я запомню, дай мне сделать —
и я пойму» (с) Конфуций
14
15. Электронные курсы.
Курс - интерактивная игра «Повышение осведомленности персонала в
вопросах информационной безопасности», 2 академических часа
Темы игры:
Тема 1. Рабочее место пользователя
(компьютер).
Тема 2. Неправомерное использование
рабочего времени.
Тема 3. Конфиденциальная информация.
Тема 4. Внешние носители информации.
Тема 5. Программное обеспечение.
Тема 6. Парольная защита.
Тема 7. Антивирусная защита.
Тема 8. Работа с электронной почтой.
Тема 9. Работа с сетью Интернет.
Тема 10. Мобильные устройства/Удаленный
доступ.
Итоговые упражнения.
16. Поддержание атмосферы ИБ
Наиболее часто используют следующее:
плакаты
экранные заставки (скринсейверы)
баннеры
flash-ролики
видеоролики
памятки, буклеты
сувенирная продукция
Повышение осведомлённости в области ИБ – это не профильное обучение.
Чем проще и доступнее будут изложены материалы – тем легче они будут
запоминаться сотрудниками компании.
16
21. 21
Поддержание атмосферы ИБ – флеш-игры
Тематического квеста по ИБ для привлечения
персонала компании к вопросам соблюдения
правил и регламентов ИБ.
Сценарий и дизайн квеста разработан в
соответствии с корпоративным стилем и культурой
Заказчика (на основе brandbook/web-guideline и
т.п.)
23. 24
Поддержание атмосферы ИБ – флешролики
Сценарий разрабатывается в соответствии с
организационно-распорядительной документацией
заказчика в области ИБ.
26. 26
Поддержание атмосферы ИБ – сувенирная продукция
Стикеры для записей
Сувенирные кружки - хамелеоны
Объемные наклейки на монитор компьютера
Календари и др…
27. 27
Оценка эффективности и актуализация
В рамках выполнения рассылок
осуществляется проверка знаний
пользователями:
• политики использования паролей;
• правил соблюдения лицензионной
чистоты;
• правил противодействия вирусным
атакам;
• правил пользования электронной
почты и интернетом;
• правил безопасного использования
служебных мобильных устройств.
Рассылка санкционированных Заказчиком провокационных сообщений по
корпоративной электронной почте и по SMS/MMS, мотивирующих пользователей
на нарушение действующих у Заказчика правил и политик информационной
безопасности.
Обучение может проходить как в очной, так и в дистанционной форме. Очное обучение проводится в группах до 30 человек на территории заказчика.
Более распространенный сегодня формат обучения –дистанционный, который позволяет:
охватить одновременно большую аудиторию слушателей
проводить обучение без отрыва от производства
значительно сократить расходы