Документ посвящён повышению осведомлённости пользователей в области информационной безопасности на примере ООО «Аэроэкспресс». Подробно рассматриваются методы обучения сотрудников, включая внутренние и внешние тренинги, а также важность соблюдения законодательных требований. Основное внимание уделяется роли человеческого фактора в нарушениях информационной безопасности и статистике по этому вопросу.

1. 1
Повышение осведомлённости
пользователей по вопросам ИБ

2. 2
Митюшов Алексей Николаевич
заместитель директора департамента ИТ
по информационной безопасности
ООО «Аэроэкспресс»

3. 3
Повышение осведомлённости пользователей
• Фискальный регистратор
• Сканер штрих кодов
• Бесконтактный считыватель карт
• Банковский POS-терминал
• Чековый термопринтер
СОСТАВ АРМ БК: ЗАЧЕМ???

4. 4
Пирамида «Элементы ИБ»
ЛЮДИ
БИЗНЕС-ПРОЦЕССЫ
ТЕХНОЛОГИИ
Персонал и
руководство
IT, средства связи и т.п.

5. 5
СТАТИСТИКА ПО НАРУШЕНИЯМ ИБ
• Фискальный регистратор
• Сканер штрих кодов
• Бесконтактный считыватель карт
• Банковский POS-терминал
• Чековый термопринтер
СОСТАВ АРМ БК:
 Более, чем в 70 % случаев нарушения ИБ
связаны с человеческим фактором
 Основная причина – это незнание и
неосведомлённость пользователей
(43 % случаев)

6. 6
НЕ ОСВЕДОМЛЁН = ПОТЕНЦИАЛЬНЫЙ
НАРУШИТЕЛЬ
Организация работы кассира:

7. 7
• Эргономичный интерфейс
• Поддержка нескольких языков
• Голосовая помощь
• Продажа широкого спектра проездных
документов:
• тарифов (кроме метро и
льготников)
• Удобный купюро -приемник,
поддержка оплаты пластиковыми
картами
• Мониторинг работы
Билетный автомат:
Соблюдение законодательных и отраслевых
требований – одна из целей
информационной безопасности

8. 8
152 ФЗ «О Персональных данных»
98 ФЗ «О Коммерческой тайне»
Отраслевые требования банковской сферы
Стандарты PSI DSS, ISO 27001
ЗАКОНОДАТЕЛЬНЫЕ И ОТРАСЛЕВЫЕ
ТРЕБОВАНИЯ
Турникетная линия

9. 9
1. Краткий инструктаж и знакомство с основными
документами по ИБ при приёме на работу
2. Внутреннее обучение и тренинги сотрудников
3. Внешнее обучение сотрудников
4. Внутренний интранет-портал - база знаний
5. Информационные рассылки по электронной почте
6. Личная беседа ответственного за ИБ,
консультации, помощь
7. Агитация
ПРАКТИЧЕСКИЕ МЕТОДЫ ПОВЫШЕНИЯ
ОСВЕДОМЛЕННОСТИ ПОЛЬЗОВАТЕЛЕЙ
www.aeroexpress.ru

10. 10
Краткий инструктаж и знакомство с
основными документами по ИБ при
приёме на работу
Мобильное рабочее место кассира
• доступы • К
 Политика СМИБ
(ISMS – ISO 27001:2013)
 Политики ИБ
 Частные инструкции и
процедуры
 Инструктаж при
подключении
пользователя к
информационным
системам

11. 11
Внутреннее обучение и тренинги
сотрудников
Курс «Основы ИБ» (презентация)
 Для новых сотрудников - 2-3 раза в год
 Для сотрудников и исполнительного аппарата –
1 раз в год
 Для ТОП-менеджеров – 1 раз в год,
ежемесячное информирование
и доклад в рамках «Комитета по ИБ»

12. 12
Внешнее обучение сотрудников
Территориально-
распределённая
иерархическая легко
расширяемая
инфраструктура с
прозрачным
многоуровневым
централизованным
управлением
 В учебных центрах
 В рамках конференций, семинаров и т.д.
 В рамках лекций- тренингов и мастер-классов
(внешние эксперты по ИБ)

13. 13
 Перечень
основных
документов по ИБ
 Краткая
информация по
правилам ИБ
 Тесты на знание
правил и
документов ИБ
Внутренний интранет-портал - база знаний

14. 14
Информационные рассылки по
электронной почте
 Периодическое
новостное
информирование по
тематике ИБ
 Информационные
рассылки в случаях
возникновения
серьёзных инцидентов
ИБ

15. 15
 Основные принципы при беседе:
• Доброжелательность
• Честность
• Открытость
Личная беседа ответственного за ИБ,
консультации, помощь

16. 16
 Пропагандистские
плакаты по
информационной
безопасности
 Корпоративные
заставки и скрин
серверы
 Различная канцелярия
и сувенирная
продукция
Материалы предоставлены ЗАО НПП «Эшелон»
Агитация

17. 17
Вопросы?
Спасибо за внимание!