Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Information SecurityAwareness Program.КонцепцияКузнецов ГеоргийДепартамент по защите информацииДирекция по безопасностиООО...
INFORMATION SECURITY AWARENESS PROGRAMКак эффективно организовать сотрудников на соблюдение  правил информационной  безопа...
INFORMATION SECURITY AWARENESS PROGRAM           Нарушение политики ИБ      5%                     По вине собственных10% ...
ПРИЧИНЫ НАРУШЕНИЙ ИБИсследование компании Gartner 2010:   29% респондентов из 574 обследованных организаций сообщили: в  ...
КЛЮЧЕВЫЕ ВОПРОСЫЧто такое «осведомленность»    персонала в вопросах      информационной       безопасности?               ...
Что такое «осведомленность» персонала ввопросах информационной безопасности?                   Континуум получения знаний ...
Что такое «осведомленность» персонала в             вопросах информационной безопасности?Осведомленность в вопросах       ...
Каковы цели и задачи работ по повышению          осведомленности сотрудников по вопросам ИБ?Основные сложности проведения ...
КЛЮЧЕВЫЕ ВОПРОСЫКаковы цели и задачи работ  по повышению уровня     осведомленности      сотрудников по         вопросам  ...
Каковы цели и задачи работ по повышениюуровня осведомленности сотрудников повопросам ИБ?                   Цель:          ...
Задачи внедрения             Программы повышения осведомленности   Информирование сотрудников о существующих угрозах    (...
Задачи внедрения             Программы повышения осведомленности   Выработка у сотрудников Компании умений (навыков) прав...
Задачи внедрения              Программы повышения осведомленности                 Требования стандарта ISO/IEC 27002:20058...
КЛЮЧЕВЫЕ ВОПРОСЫФормы и методы повышения    осведомленности      сотрудников                      Кузнецов Г.Н.           ...
Формы и методы повышения             осведомленности сотрудников   Краткий инструктаж при приеме на работу   Обучение (к...
Формы и методы повышения осведомленностиДистанционное обучение                        Дистанционное                       ...
Формы и методы повышения осведомленностиВводный инструктаж для новых сотрудников                   Обучение сотрудников на...
Формы и методы повышения осведомленностиРаспространение кратких памяток                       Буклет-памятка по ИБ        ...
Формы и методы повышения осведомленностиПоддержание атмосферы ИБ                   Screen Saver :                   • Скри...
Формы и методы повышения осведомленностиПоддержание атмосферы ИБ                                  Кузнецов Г.Н.           ...
Формы и методы повышения осведомленностиПоддержание атмосферы ИБ            Видеоролик                                  Ку...
КЛЮЧЕВЫЕ ВОПРОСЫКакими силами и в каких  формах реализовать программу повышения   осведомленности?                     Куз...
Кто участвует в организации и реализации             Программы повышения осведомленности?   Кто руководит?   Кто финанси...
Кто участвует в организации и реализации             Программы повышения осведомленности?Функции топ-менеджмента при внедр...
Кто участвует в организации и реализации             Программы повышения осведомленности?Функции подразделения ИБ при внед...
Распределение ролей при внедрении              Программы повышения осведомленности   Офис управления проектами выполняет ...
КЛЮЧЕВЫЕ ВОПРОСЫКак оценить эффективность  Программы повышения     осведомленности?                      Кузнецов Г.Н.    ...
Как оценить эффективность             Программы повышения осведомленности?   Разработка системы периодической проверки зн...
Как оценить эффективность              Программы повышения осведомленности?                             Исследования CSI, ...
Как оценить эффективность            Программы повышения осведомленности?Открытые проверки: Тесты, зачеты, экзамены; Опр...
СПАСИБО          Кузнецов Г.Н.          ДЗИ ДБ ООО «ДТЭК»          +38-050-347-24-32          +38-062-389-43-46
Upcoming SlideShare
Loading in …5
×

Концепция. Security Awareness Programm

2,003 views

Published on

Security Awareness Programm

Published in: Education
  • Be the first to comment

Концепция. Security Awareness Programm

  1. 1. Information SecurityAwareness Program.КонцепцияКузнецов ГеоргийДепартамент по защите информацииДирекция по безопасностиООО «ДТЭК»
  2. 2. INFORMATION SECURITY AWARENESS PROGRAMКак эффективно организовать сотрудников на соблюдение правил информационной безопасности Компании? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  3. 3. INFORMATION SECURITY AWARENESS PROGRAM Нарушение политики ИБ 5% По вине собственных10% сотрудников По вине 3-х лиц 80% Технические сбои Другие Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  4. 4. ПРИЧИНЫ НАРУШЕНИЙ ИБИсследование компании Gartner 2010: 29% респондентов из 574 обследованных организаций сообщили: в их Компаниях в обязанности персонала ИТ-подразделений входит обучение сотрудников правилам соблюдения информационной безопасности Только в 36% организаций пользователей обучают необходимым навыкам Около 80% нарушений информационной безопасности связано с небрежностью, недостаточной компетентностью и безответственностью персонала Компании Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  5. 5. КЛЮЧЕВЫЕ ВОПРОСЫЧто такое «осведомленность» персонала в вопросах информационной безопасности? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  6. 6. Что такое «осведомленность» персонала ввопросах информационной безопасности? Континуум получения знаний в области ИБ  Осведомленность – это не профессиональное обучение  Цель проведения работ по осведомленности – только фокусирование внимания пользователей на безопасности (NIST Special Publication 800-16) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  7. 7. Что такое «осведомленность» персонала в вопросах информационной безопасности?Осведомленность в вопросах Знать об опасностях:ИБ – это:  Знать существующие угрозы  Уметь здраво оценивать свои действия (риски) Понимание того, какие проблемы ИБ могут возникнуть Знать и использовать приёмы повышения уровня ИБ:  Выработать привычки, способствующие Знание как их избегать поддержанию высокого уровня ИБ  Соблюдать и участвовать в выработке правил повышения уровня ИБ Знание как действовать в той или иной ситуации Уметь оповещать службу ИБ:  Знать координаты сотрудников подразделения ИБ, к кому можно обратиться при возникающих проблемах и инцидентах Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  8. 8. Каковы цели и задачи работ по повышению осведомленности сотрудников по вопросам ИБ?Основные сложности проведения работ по повышениюосведомленности сотрудников:  Необходимость обучить базовым знаниям в области ИБ и проконтролировать уровень знаний большого количества человек  Обучение, информирование и проверка знаний персонала в области информационной безопасности должны быть постоянным процессом  Необходимость обучить неспециализированным знаниям, которые не представляют для сотрудников Компании непосредственного интереса и не повышают их квалификацию как специалистов в их предметной области Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  9. 9. КЛЮЧЕВЫЕ ВОПРОСЫКаковы цели и задачи работ по повышению уровня осведомленности сотрудников по вопросам ИБ? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  10. 10. Каковы цели и задачи работ по повышениюуровня осведомленности сотрудников повопросам ИБ? Цель:  Снижение потерь (материальных, финансовых, ущерб деловой репутации и т.д.) от угроз, связанных с незнанием или непониманием сотрудниками основных положений нормативно-распорядительных документов в области ИБ, принятых в Компании, и элементарных правил по защите информации при работе с компьютерной техникой Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  11. 11. Задачи внедрения Программы повышения осведомленности Информирование сотрудников о существующих угрозах (опасностях) и проблемах ИБ, которые могут возникнуть при автоматизированной обработке информации, обновление (расширение) их теоретических и практических знаний в области ИБ; Доведение до сотрудников основных положений, ограничений и требований существующих нормативно-распорядительных документов, принятых в Компании; Мобилизация и мотивация конечных пользователей систем на сознательное выполнение ими требований, ограничений и правил обеспечения ИБ при использовании ИТ; Выработка у сотрудников умения здраво оценивать возможные последствия своих действий (адекватно оценивать связанные с ними риски ИБ); Выработка у сотрудников привычек, способствующих поддержанию высокого уровня ИБ. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  12. 12. Задачи внедрения Программы повышения осведомленности Выработка у сотрудников Компании умений (навыков) правильно и оперативно действовать при возникновении инцидентов ИБ; Доведение до сотрудников координат лиц, ответственных за обеспечение ИБ в компании, к которым необходимо обращаться за помощью и которых необходимо оперативно информировать о возникающих проблемах и инцидентах ИБ; Доведение до сотрудников Компании их обязанностей в области обеспечения ИБ и степени их ответственности в случае утечки конфиденциальной информации; Привлечение сотрудников Компании к участию в выработке и уточнении (адаптации к конкретным условиям применения) правил Политики ИБ Компании); Оценка эффективности, развитие и совершенствование проводимых мероприятий и Программы в целом. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  13. 13. Задачи внедрения Программы повышения осведомленности Требования стандарта ISO/IEC 27002:20058. Безопасность, связанная с персоналом8.2.2. Обеспечение осведомленности, обучение и подготовка в области ИБРекомендуемые мерыВсе сотрудники организации, и если это целесообразно, то также работники поконтракту и сторонние пользователи должны получить соответствующуюинформационную подготовку и регулярные обновления принятых в организацииполитик и процедур, относящихся к их рабочей функции.Мероприятия по обеспечению осведомленностиОбучению и подготовке в области ИБ должны быть целесообразными исоответствующими роли данного лица, его обязанностям и квалификации, а такжедолжны включать в себя информацию по известным угрозам ИБ, сведения о том, к комуследует обращаться за дополнительными консультациями по безопасности, а также онадлежащих каналах для уведомления об инцидентах, связанных с ИБ.Подготовка для повышения осведомленности предназначена для того, чтобы позволитьсотрудникам распознавать проблемы и инциденты, связанные с ИБ, и реагировать наних в соответствии с необходимостью и со своей ролью в рабочем процессе. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  14. 14. КЛЮЧЕВЫЕ ВОПРОСЫФормы и методы повышения осведомленности сотрудников Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  15. 15. Формы и методы повышения осведомленности сотрудников Краткий инструктаж при приеме на работу Обучение (курсы, семинары, тренинги, с демонстрацией атак и приемов защиты) Дистанционные (электронные) курсы и др. Инструктажи и зачеты по положениям Политики безопасности Рассылки по e-mail, разделы на корпоративных порталах (с примерами конкретных инцидентов в Компании, статистикой нарушений, результатами контроля подразделений) Распространение кратких памяток Средства наглядной агитации (плакаты) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  16. 16. Формы и методы повышения осведомленностиДистанционное обучение Дистанционное (электронное) обучение Позволяет более масштабно решать задачи обучения работников Компании, но имеет недостатки по сравнению с очным (низкая мотивация и др.) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  17. 17. Формы и методы повышения осведомленностиВводный инструктаж для новых сотрудников Обучение сотрудников на местах: • Курс может быть выполнен в виде презентации и размещен на рабочих компьютерах Компании • Предоставление новым сотрудникам мультимедиа- учебника на CD/DVD, включающем в себя теоретические и практические модули • Просмотр сотрудниками при приеме на работу видеоролика об основных правилах ИБ • Тестирование уровня знаний новых сотрудников по вопросам ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  18. 18. Формы и методы повышения осведомленностиРаспространение кратких памяток Буклет-памятка по ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  19. 19. Формы и методы повышения осведомленностиПоддержание атмосферы ИБ Screen Saver : • Скрин-сейверы в простой и ненавязчивой форме позволяют закрепить у пользователей основные правила в области информационной безопасности. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  20. 20. Формы и методы повышения осведомленностиПоддержание атмосферы ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  21. 21. Формы и методы повышения осведомленностиПоддержание атмосферы ИБ Видеоролик Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  22. 22. КЛЮЧЕВЫЕ ВОПРОСЫКакими силами и в каких формах реализовать программу повышения осведомленности? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  23. 23. Кто участвует в организации и реализации Программы повышения осведомленности? Кто руководит? Кто финансирует? Кто организует и финансирует работу? Кто реализует программу повышения осведомленности? Кто контролирует и оценивает эффективность? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  24. 24. Кто участвует в организации и реализации Программы повышения осведомленности?Функции топ-менеджмента при внедрении Программы повышенияосведомленности Руководство компании инициирует процесс реализации Программы, принимает решения о финансировании и наделяет полномочиями подразделения и конкретных сотрудников для координации процесса внедрения программы Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  25. 25. Кто участвует в организации и реализации Программы повышения осведомленности?Функции подразделения ИБ при внедрении Программы повышенияосведомленности Департамент по защите информации несет ответственность за успешное внедрение и реализацию Программы, разрабатывает и корректирует существующую систему реагирования на инциденты ИБ, корректирует политику ИБ Компании Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  26. 26. Распределение ролей при внедрении Программы повышения осведомленности Офис управления проектами выполняет стандартные процедуры управления проектами при внедрении Программы. При отсутствии данного подразделения полномочия переходят в Департамент по защите информации. Учебное подразделение (корпоративный университет) – проводит или организует обучение (очное, дистанционное) в рамках Программы повышения осведомленности пользователей по вопросам ИБ для всех категорий сотрудников Компании. Подразделение корпоративных коммуникаций способствует продвижению Программы внутри организации, проводит рекламные кампании. Все структурные подразделения, включая отдел кадров, бухгалтерию, юридическую службу, ИТ-службы, аудит, хозяйственную службу, секретариат и т.д. обеспечивают активное участие во всех мероприятиях, проводимых в рамках Программы. Внешние специализированные организации (аутсорсинг) – предоставление интеллектуальных ресурсов на разных этапах реализации Программы (преподаватели, аудиторы и т.д.) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  27. 27. КЛЮЧЕВЫЕ ВОПРОСЫКак оценить эффективность Программы повышения осведомленности? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  28. 28. Как оценить эффективность Программы повышения осведомленности? Разработка системы периодической проверки знаний сотрудников по вопросам ИБ Разработка системы контроля выполнения требований политик, стандартов, инструкций и правил по обеспечению ИБ Организация проверочных мероприятий провокационного характера с использованием приемов социальной инженерии Ведение статистики нарушений и инцидентов ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  29. 29. Как оценить эффективность Программы повышения осведомленности? Исследования CSI, 2009Каким образом в Компаниях проводится оценка эффективности повышенияосведомленности сотрудниковБольшинство Компаний проверяют знания сотрудников при помощи тестирования илишь 13% проводят проверки с использованием приемов социальной инженерии Обучение не проводится 18% Эффективность не оценивается 35% Другое 4% Тесты, соц.инженерия 13% Статистика инцидентов 22% Отчетность персонала 25% Принудительное письменное или… 32% 0% 10% 20% 30% 40% Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  30. 30. Как оценить эффективность Программы повышения осведомленности?Открытые проверки: Тесты, зачеты, экзамены; Опросы, интервью, организационно-деятельностные игры; Анкетирование; Внешний или внутренний аудит.Скрытые проверки: Телефонные звонки или электронные письма провокационного характера; Использование приемов социальной инженерии; Мониторинг действий пользователей; Внешний или внутренний аудит; Контроль выполнения требований политик, стандартов, инструкций и правил по обеспечению ИБ.Сбор и анализ статистики инцидентов ИБ в Компании Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  31. 31. СПАСИБО Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК» +38-050-347-24-32 +38-062-389-43-46

×