SlideShare a Scribd company logo

Awareness(no video)

Download as PPTX, PDF
A
a_a_a

User awarness

1 of 17
Эффективная программа повышения осведомленности персонала в вопросах ИБ Владимир Ткаченко, CISA Директор ООО «Агентство Активного Аудита» Член Наблюдательного совета ВОО «Украинская группа по информационной безопасности»
РЕАЛЬНАЯ СТАТИСТИКА (из отчетов о тесте на проникновение) 2010 При массовой рассылке (фишинговая атака) – из 150 целей получено 20 паролей сотрудников компании (13,33%), кроме того почтовый сервер разрешил подобную массовую рассылку от имени одного из сотрудников Заказчика (начальника департамента ИТ). 2011 Многие сотрудники компании не имеют представления о фишинговых атаках и не сумели их идентифицировать. Реактивные действия соответствующих подразделений не сумели предотвратить развитие атаки. Через сутки после проведения атаки пароли не сменили 14 пользователей. Через 6 дней - 10 пользователей. В результате сбора информации с почтовых ящиков было получено множество конфиденциальных данных. 2012 При массовой рассылке (фишинговая атака) из 120 целей получено около 30 паролей сотрудников компании (25%). Данные пароли также давали возможность дополнительно авторизоваться на корпоративных ресурсах. 2012 При массовой рассылке (фишинговая атака) из 900 целей зарегистрировано 110 вводов паролей сотрудников компании (12%). 30% сотрудников компании раскрыли конфиденциальную информацию по телефону входе осуществления звонков. 09.10.2012 © Владимир Ткаченко, CISA 2
Мамо, шо маю робити? – Security awareness, доню! ЧТО ТАКОЕ программа повышения осведомленности персонала (пользователей) в вопросах ИБ? Программа повышения осведомленности это – комплекс мероприятий направленный на противодействие угрозам и уязвимостям ИБ. Зачем? 1) См. слайд выше - предотвратить риски утечки, хищения, информации (потеря конфиденциальности); 2) Предотвратить несанкционированные действия по модификации, копированию информации (потеря целостности); 3) Снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности компании; 4) Обеспечить понимание персоналом своих обязанностей по информационной безопасности и внедрить «модель поведения» при инцидентах ИБ; 5) Принятие новых нормативных актов (напр., Закон о ПДн), изменение политик и/или технологий в области ИБ, изменение бизнес процессов, работа с персоналом третьей компании, новый менеджмент … Как? NIST SP800-50 Building an The New User’s Guide: How Information Technology to raise information security Security Awareness and awareness (Nov 2010) Training Program (Oct 2003) 70! 140 !!!!! 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 3
Этапы реализации программы Этап I – Обоснование и планирование (Plan & Assess) Оценить тематику и Сланировать Назначить ответственных Определить участников потенциальные Получить бюджет внедрение (составить за реализацию и аудиторию решения План реализации) Этап II – Реализация и управление программой (Execute & Manage) Подготовить мероприятия и Определить средства доставки Провести мероприятия по Документировать полученные материалы информации программе результаты (за период действия) Этап III – Оценка эффективности и корректирующие действия (Evaluate & Adjust) Провести оценку эффективности Скорректировать тематику и цели Скорректировать программу по Реализовать скорректированные мероприятий (если необходимо) результатам оценки мероприятия 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 4
Элементы программы повышения осведомленности  Плакаты (постеры) – в присутственных местах (кухни, коридоры, шкафы, стены в помещении)  Скринсейверы (на рабочих станциях), баннеры на корпоративном сайте /портале  Сообщения при загрузке и/или выключении компьютера  Комиксы (статические картинки с сюжетом по теме ИБ)  Флеш – мультики  Флеш-игры  Видеоролики  Средства канцелярской наглядной агитации (ручки, степлеры, дыроколы, внешние носители, стикеры и пр)  Тесты, конкурсы, презентации, интерактивное обучение  Все что еще вы сможете придумать для внедрения идей (положений) ИБ в компании (расстрел пейнтбольными шариками нарушителей политики чистого стола и т. п.) 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 5
Элементы программы пример плакатов 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 6
Элементы программы пример плакатов 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 7
Элементы программы пример плакатов 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 8
Элементы программы пример комикса 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 9
Элементы программы пример комикса (продолжение) 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 10
Элементы программы пример флеш мульта 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 11
Элементы программы пример видеоролика 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 12
Элементы программы пример канцелярии 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 13
Средства доставки контента персоналу • Корпоративный Web-портал • Корпоративный Web-сайт (раздел или страничка по ИБ) • Сообщение ОС на сетевую папку с контентом • Авторан на сетевую папку с контентом • Размещение контента в местах частого присутствия персонала (кухни, комнаты для переговоров и т. п.) • Демонстрация роликов на плазменных панелях, экранах 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 14
Методы оценки эффективности • КPI (Key Performance Indicators) • KRI (Key Risk Indicators) • Benchmarking (внешний напр. при аудите) Способы оценки эффективности: • анкетная оценка (метод выборочного интервью с участниками программы); • результаты тестов персонала по тематике ИБ; • адекватное финансирование программы; • уровень посещаемости инструктажей ИБ; • наличие конкурсов, награжденных призами …; • наличие каналов доставки контента (WEB, TV, E-mail…) 09.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15
Команда реализующая программу Кто ?  Отдел кадров (НR) – непосредственное участие в реализации программы (организация и проведение тренингов, анализ результатов, контроль за проведением и т.п.)  Отдел ИБ (CISO) - согласование тематики, участие в инструктажах, презентациях и в оценке эффективности  Бухгалтерия (фин планирование) (CFO) – бюджетирование и контроль расходов  Отдел маркетинга (СМО) – ТОЛЬКО согласование корпоративного стиля в макетах материалов !!!!  Отдел ИТ (CIO) – только консалтинг по актуализации тем и организация доставки контента 09.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16
Вопросы info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88

Recommended

Управление рисками
Управление рискамиУправление рисками
Управление рискамиРуслан Кучер
 
Основные риски проектов внедрения
Основные риски проектов внедренияОсновные риски проектов внедрения
Основные риски проектов внедренияДиалог Информационные Технологии
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...UISGCON
 
Риски в разработке ПО связанные с требованиями
Риски в разработке ПО связанные с требованиямиРиски в разработке ПО связанные с требованиями
Риски в разработке ПО связанные с требованиямиPeoplemind
 
Риски при реализации крупных проектов и методы их минимизации
Риски при реализации крупных проектов и методы их минимизацииРиски при реализации крупных проектов и методы их минимизации
Риски при реализации крупных проектов и методы их минимизацииsoftlab
 
Успешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедУспешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедDocsvision
 
Управление рисками в проектах. Попытка сравнения
Управление рисками в проектах. Попытка сравнения Управление рисками в проектах. Попытка сравнения
Управление рисками в проектах. Попытка сравнения Евгений Пикулев
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 

Recommended

Управление рисками
Управление рискамиУправление рисками
Управление рискамиРуслан Кучер
 
Основные риски проектов внедрения
Основные риски проектов внедренияОсновные риски проектов внедрения
Основные риски проектов внедренияДиалог Информационные Технологии
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...UISGCON
 
Риски в разработке ПО связанные с требованиями
Риски в разработке ПО связанные с требованиямиРиски в разработке ПО связанные с требованиями
Риски в разработке ПО связанные с требованиямиPeoplemind
 
Риски при реализации крупных проектов и методы их минимизации
Риски при реализации крупных проектов и методы их минимизацииРиски при реализации крупных проектов и методы их минимизации
Риски при реализации крупных проектов и методы их минимизацииsoftlab
 
Успешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедУспешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедDocsvision
 
Управление рисками в проектах. Попытка сравнения
Управление рисками в проектах. Попытка сравнения Управление рисками в проектах. Попытка сравнения
Управление рисками в проектах. Попытка сравнения Евгений Пикулев
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 
Управление рисками проекта
Управление рисками проектаУправление рисками проекта
Управление рисками проектаMikhail Sofonov, PMP, P2M, PRINCE2
 
Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)Anna Sokolova
 
мастер класс риски ет 70715
мастер класс риски ет 70715мастер класс риски ет 70715
мастер класс риски ет 70715Evgeny Tyrtyshny
 
Управление рисками
Управление рискамиУправление рисками
Управление рискамиAlbina Iskhakova
 
Управление рисками в разработке программного обеспечения
Управление рисками в разработке программного обеспеченияУправление рисками в разработке программного обеспечения
Управление рисками в разработке программного обеспеченияru_Parallels
 
Управление рисками. Когда и как?
Управление рисками. Когда и как?Управление рисками. Когда и как?
Управление рисками. Когда и как?Infor-media
 
Сценарное планирование
Сценарное планированиеСценарное планирование
Сценарное планированиеGrigoriy Pechenkin
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...UISGCON
 
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению АктивамиComarch SA
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Антикоррупция
АнтикоррупцияАнтикоррупция
АнтикоррупцияAlexei Fedotov
 
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010Dmitry Andreev
 
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и AgileАндрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и AgileScrumTrek
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Автоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в ВнешэкономбанкеАвтоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в ВнешэкономбанкеWebSoft
 
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirementsGlib Pakharenko
 
Мониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПОМониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПОЕвгений Рожков
 
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowCircum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowSergiy Povolyashko, PMP
 
RST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringToolsRST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringToolsRussianStartupTour
 
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009Gena Drahun
 
Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015Igor Zvyaghin
 
Project Management Анар Умурзакова
Project Management Анар УмурзаковаProject Management Анар Умурзакова
Project Management Анар УмурзаковаSamson Bezmyatezhny
 

More Related Content

What's hot

Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)Anna Sokolova
 
мастер класс риски ет 70715
мастер класс риски ет 70715мастер класс риски ет 70715
мастер класс риски ет 70715Evgeny Tyrtyshny
 
Управление рисками
Управление рискамиУправление рисками
Управление рискамиAlbina Iskhakova
 
Управление рисками в разработке программного обеспечения
Управление рисками в разработке программного обеспеченияУправление рисками в разработке программного обеспечения
Управление рисками в разработке программного обеспеченияru_Parallels
 
Управление рисками. Когда и как?
Управление рисками. Когда и как?Управление рисками. Когда и как?
Управление рисками. Когда и как?Infor-media
 
Сценарное планирование
Сценарное планированиеСценарное планирование
Сценарное планированиеGrigoriy Pechenkin
 

What's hot (7)

Управление рисками проекта
Управление рисками проектаУправление рисками проекта
Управление рисками проекта
 
Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)
 
мастер класс риски ет 70715
мастер класс риски ет 70715мастер класс риски ет 70715
мастер класс риски ет 70715
 
Управление рисками
Управление рискамиУправление рисками
Управление рисками
 
Управление рисками в разработке программного обеспечения
Управление рисками в разработке программного обеспеченияУправление рисками в разработке программного обеспечения
Управление рисками в разработке программного обеспечения
 
Управление рисками. Когда и как?
Управление рисками. Когда и как?Управление рисками. Когда и как?
Управление рисками. Когда и как?
 
Сценарное планирование
Сценарное планированиеСценарное планирование
Сценарное планирование
 

Similar to Awareness(no video)

Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...UISGCON
 
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению АктивамиComarch SA
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Антикоррупция
АнтикоррупцияАнтикоррупция
АнтикоррупцияAlexei Fedotov
 
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010Dmitry Andreev
 
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и AgileАндрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и AgileScrumTrek
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Автоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в ВнешэкономбанкеАвтоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в ВнешэкономбанкеWebSoft
 
Мониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПОМониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПОЕвгений Рожков
 
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowCircum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowSergiy Povolyashko, PMP
 
RST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringToolsRST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringToolsRussianStartupTour
 
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009Gena Drahun
 
Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015Igor Zvyaghin
 
Project Management Анар Умурзакова
Project Management Анар УмурзаковаProject Management Анар Умурзакова
Project Management Анар УмурзаковаSamson Bezmyatezhny
 
МАСТЕР-КЛАСС.Эффективное юзабилити
МАСТЕР-КЛАСС.Эффективное юзабилитиМАСТЕР-КЛАСС.Эффективное юзабилити
МАСТЕР-КЛАСС.Эффективное юзабилитиSQALab
 
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowCircum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowSergiy Povolyashko
 

Similar to Awareness(no video) (20)

Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
 
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
Антикоррупция
АнтикоррупцияАнтикоррупция
Антикоррупция
 
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010
 
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и AgileАндрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Автоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в ВнешэкономбанкеАвтоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в Внешэкономбанке
 
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
 
Мониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПОМониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПО
 
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowCircum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. Moscow
 
RST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringToolsRST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringTools
 
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009
 
Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015
 
Project Management Анар Умурзакова
Project Management Анар УмурзаковаProject Management Анар Умурзакова
Project Management Анар Умурзакова
 
Проект "Фабрика знаний"
Проект "Фабрика знаний"Проект "Фабрика знаний"
Проект "Фабрика знаний"
 
МАСТЕР-КЛАСС.Эффективное юзабилити
МАСТЕР-КЛАСС.Эффективное юзабилитиМАСТЕР-КЛАСС.Эффективное юзабилити
МАСТЕР-КЛАСС.Эффективное юзабилити
 
CCPM DBR Vebinar 28 01 2010
CCPM DBR Vebinar 28 01 2010CCPM DBR Vebinar 28 01 2010
CCPM DBR Vebinar 28 01 2010
 
Тема 6
Тема 6Тема 6
Тема 6
 
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowCircum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. Moscow
 

Awareness(no video)

  • 1. Эффективная программа повышения осведомленности персонала в вопросах ИБ Владимир Ткаченко, CISA Директор ООО «Агентство Активного Аудита» Член Наблюдательного совета ВОО «Украинская группа по информационной безопасности»
  • 2. РЕАЛЬНАЯ СТАТИСТИКА (из отчетов о тесте на проникновение) 2010 При массовой рассылке (фишинговая атака) – из 150 целей получено 20 паролей сотрудников компании (13,33%), кроме того почтовый сервер разрешил подобную массовую рассылку от имени одного из сотрудников Заказчика (начальника департамента ИТ). 2011 Многие сотрудники компании не имеют представления о фишинговых атаках и не сумели их идентифицировать. Реактивные действия соответствующих подразделений не сумели предотвратить развитие атаки. Через сутки после проведения атаки пароли не сменили 14 пользователей. Через 6 дней - 10 пользователей. В результате сбора информации с почтовых ящиков было получено множество конфиденциальных данных. 2012 При массовой рассылке (фишинговая атака) из 120 целей получено около 30 паролей сотрудников компании (25%). Данные пароли также давали возможность дополнительно авторизоваться на корпоративных ресурсах. 2012 При массовой рассылке (фишинговая атака) из 900 целей зарегистрировано 110 вводов паролей сотрудников компании (12%). 30% сотрудников компании раскрыли конфиденциальную информацию по телефону входе осуществления звонков. 09.10.2012 © Владимир Ткаченко, CISA 2
  • 3. Мамо, шо маю робити? – Security awareness, доню! ЧТО ТАКОЕ программа повышения осведомленности персонала (пользователей) в вопросах ИБ? Программа повышения осведомленности это – комплекс мероприятий направленный на противодействие угрозам и уязвимостям ИБ. Зачем? 1) См. слайд выше - предотвратить риски утечки, хищения, информации (потеря конфиденциальности); 2) Предотвратить несанкционированные действия по модификации, копированию информации (потеря целостности); 3) Снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности компании; 4) Обеспечить понимание персоналом своих обязанностей по информационной безопасности и внедрить «модель поведения» при инцидентах ИБ; 5) Принятие новых нормативных актов (напр., Закон о ПДн), изменение политик и/или технологий в области ИБ, изменение бизнес процессов, работа с персоналом третьей компании, новый менеджмент … Как? NIST SP800-50 Building an The New User’s Guide: How Information Technology to raise information security Security Awareness and awareness (Nov 2010) Training Program (Oct 2003) 70! 140 !!!!! 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 3
  • 4. Этапы реализации программы Этап I – Обоснование и планирование (Plan & Assess) Оценить тематику и Сланировать Назначить ответственных Определить участников потенциальные Получить бюджет внедрение (составить за реализацию и аудиторию решения План реализации) Этап II – Реализация и управление программой (Execute & Manage) Подготовить мероприятия и Определить средства доставки Провести мероприятия по Документировать полученные материалы информации программе результаты (за период действия) Этап III – Оценка эффективности и корректирующие действия (Evaluate & Adjust) Провести оценку эффективности Скорректировать тематику и цели Скорректировать программу по Реализовать скорректированные мероприятий (если необходимо) результатам оценки мероприятия 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 4
  • 5. Элементы программы повышения осведомленности  Плакаты (постеры) – в присутственных местах (кухни, коридоры, шкафы, стены в помещении)  Скринсейверы (на рабочих станциях), баннеры на корпоративном сайте /портале  Сообщения при загрузке и/или выключении компьютера  Комиксы (статические картинки с сюжетом по теме ИБ)  Флеш – мультики  Флеш-игры  Видеоролики  Средства канцелярской наглядной агитации (ручки, степлеры, дыроколы, внешние носители, стикеры и пр)  Тесты, конкурсы, презентации, интерактивное обучение  Все что еще вы сможете придумать для внедрения идей (положений) ИБ в компании (расстрел пейнтбольными шариками нарушителей политики чистого стола и т. п.) 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 5
  • 6. Элементы программы пример плакатов 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 6
  • 7. Элементы программы пример плакатов 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 7
  • 8. Элементы программы пример плакатов 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 8
  • 9. Элементы программы пример комикса 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 9
  • 10. Элементы программы пример комикса (продолжение) 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 10
  • 11. Элементы программы пример флеш мульта 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 11
  • 12. Элементы программы пример видеоролика 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 12
  • 13. Элементы программы пример канцелярии 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 13
  • 14. Средства доставки контента персоналу • Корпоративный Web-портал • Корпоративный Web-сайт (раздел или страничка по ИБ) • Сообщение ОС на сетевую папку с контентом • Авторан на сетевую папку с контентом • Размещение контента в местах частого присутствия персонала (кухни, комнаты для переговоров и т. п.) • Демонстрация роликов на плазменных панелях, экранах 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 14
  • 15. Методы оценки эффективности • КPI (Key Performance Indicators) • KRI (Key Risk Indicators) • Benchmarking (внешний напр. при аудите) Способы оценки эффективности: • анкетная оценка (метод выборочного интервью с участниками программы); • результаты тестов персонала по тематике ИБ; • адекватное финансирование программы; • уровень посещаемости инструктажей ИБ; • наличие конкурсов, награжденных призами …; • наличие каналов доставки контента (WEB, TV, E-mail…) 09.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15
  • 16. Команда реализующая программу Кто ?  Отдел кадров (НR) – непосредственное участие в реализации программы (организация и проведение тренингов, анализ результатов, контроль за проведением и т.п.)  Отдел ИБ (CISO) - согласование тематики, участие в инструктажах, презентациях и в оценке эффективности  Бухгалтерия (фин планирование) (CFO) – бюджетирование и контроль расходов  Отдел маркетинга (СМО) – ТОЛЬКО согласование корпоративного стиля в макетах материалов !!!!  Отдел ИТ (CIO) – только консалтинг по актуализации тем и организация доставки контента 09.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16