3. Кому это нужно?
#FORUMBS
1. Финансовые компании, которым необходимо
соответствовать стандартам:
• СТО БР ИББС-1.0-2014
• PCI DSS 2.0
2. Компании, проходящие проверку на соответствие
Международному стандарту менеджмента
безопасности ISO/IEC 27002:2005: Обеспечение
осведомленности, обучение и подготовка в области
информационной безопасности
«Стоит задача сформировать систему сертификации в поднадзорных
организациях. Основой должен стать закон о техническом регулировании,
который позволяет это сделать. Есть задача перевести стандарты Банка
России в разряд ГОСТов»
А.М. Сычев, Уральский форум
4. Почему именно этого персонала?
#FORUMBS
• Исследования, проводимые ежегодно отечественными и зарубежными
компаниями показывают, что 60-80% всех инцидентов, связанных с
нарушениями политик ИБ, происходит по вине персонала.
80%
20%
Размер ущерба от различных угроз
Ошибки персонала
Сбои оборудования и
электроснабжения
Нечестные сотрудники
(мошенники)
Обиженные сотрудники
Вирусы
Внешние нападения
В конце 2014 года Ernst&Young выпустила пресс-релиз, в котором говориться:
«Неосведомленность сотрудников в вопросах соблюдения правил
информационной безопасности занимает первое место в списке основных
уязвимостей в России».
5. Причины совершения неумышленных
нарушений ИБ #FORUMBS
Неумышленные потенциально опасные действия пользователя могут быть вызваны
следующими причинами:
незнанием и недооценкой потенциальных
опасностей, а также непониманием их
связи с выполняемыми действиями;
незнанием работниками правил и
требований обеспечения ИБ;
непониманием необходимости соблюдения
правил и требований;
нежеланием выполнять требования,
установленные в организации;
невнимательностью работников к правилам
и требованиям обеспечения ИБ.
6. «Трудности перевода»
#FORUMBS
Персонал, не владеющий специальными знаниями, как правило, не способен
адекватно воспринимать информационные посылы специалистов по
безопасности, которые, в свою очередь, могут не обладать достаточным
уровнем методического мастерства.
Элементарно! М….
8. Комплексная программа повышения
осведомленности персонала по вопросам
информационной безопасности
#FORUMBS
1) Обучение работников организации
2) Поддержание атмосферы информационной безопасности
3) Оценка эффективности и актуализация
12. Электронные курсы
#FORUMBS
Темы:
Тема 1. Рабочее место пользователя
(компьютер).
Тема 2. Неправомерное
использование рабочего времени.
Тема 3. Конфиденциальная
информация.
Тема 4. Внешние носители
информации.
Тема 5. Программное обеспечение.
Тема 6. Парольная защита.
Тема 7. Антивирусная защита.
Тема 8. Работа с электронной почтой.
Тема 9. Работа с сетью Интернет.
Тема 10. Мобильные
устройства/Удаленный доступ.
Итоговые упражнения.
13. Поддержание атмосферы ИБ
#FORUMBS
Повышение осведомлённости в области ИБ – это не профильное обучение.
Чем проще и доступнее будут изложены материалы – тем легче они будут
запоминаться сотрудниками компании.
Наиболее часто используют следующее:
плакаты
экранные заставки (скринсейверы)
баннеры
flash-ролики
видеоролики
памятки, буклеты
сувенирная продукция
22. Оценка эффективности и актуализация
#FORUMBS
Рассылка санкционированных Заказчиком провокационных сообщений по
корпоративной электронной почте и по SMS/MMS, мотивирующих пользователей
на нарушение действующих у Заказчика правил и политик информационной
безопасности.
В рамках выполнения рассылок
осуществляется проверка знаний
пользователями:
• политики использования паролей;
• правил соблюдения лицензионной
чистоты;
• правил противодействия вирусным
атакам;
• правил пользования электронной
почты и интернетом;
• правил безопасного использования
служебных мобильных устройств.