Конференция "Код ИБ 2016". Краснодар

1. Свириденко Вячеслав
Заместитель директора
УЦ «Информзащита»
E-MAIL v.sviridenko@itsecurity.ru
PHONE 8 919 991 16 13
Повышение осведомленности
персонала – эффективный
инструмент снижения числа
инцидентов ИБ
#FORUMBS

2. Учебный центр «Информзащита»
#FORUMBS
•Ведущий специализированный центр по
вопросам обучения безопасности организаций
•Имеет Лицензию Департамента образования
г. Москвы на ведение образовательной
деятельности и государственную аккредитацию
образовательного учреждения ДПО в области
ИБ
•За 17 лет работы подготовлено более 55 000
специалистов
•Более 150 учебных курсов
•Свыше 20 высококвалифицированных
преподавателей-практиков
•Современные аудитории, развитая
лабораторная база для реализации учебных
практикумов

3. Специализация Учебного центра
#FORUMBS
• Информационная безопасность
• Экономическая безопасность
• Кадровая безопасность
• Защита от утечек

4. В том числе:
#FORUMBS
• Электронная подпись и PKI (на основе УЦ Крипто-Про
2.0)
• Комплексная защита конфиденциальной информации
• Работа с персональными данными
• СТО БР ИББС-1.0-2014
• Комплексный аудит службы экономической безопасности

5. Осведомленность персонала в вопросах
информационной безопасности #FORUMBS

6. Кому это нужно?
#FORUMBS
1. Финансовые компании, которым необходимо
соответствовать стандартам:
• СТО БР ИББС-1.0-2014
• PCI DSS 2.0
2. Компании, проходящие проверку на соответствие
Международному стандарту менеджмента
безопасности ISO/IEC 27002:2005: Обеспечение
осведомленности, обучение и подготовка в области
информационной безопасности
«Стоит задача сформировать систему сертификации в поднадзорных
организациях. Основой должен стать закон о техническом регулировании,
который позволяет это сделать. Есть задача перевести стандарты Банка
России в разряд ГОСТов»
А.М. Сычев, Уральский форум

7. Почему именно этого персонала?
#FORUMBS
• Исследования, проводимые ежегодно отечественными и зарубежными компаниями показывают, что 60-
80% всех инцидентов, связанных с нарушениями политик ИБ, происходит по вине персонала.
80%
20%
Размер ущерба от различных угроз
 Ошибки персонала
 Сбои оборудования и
электроснабжения
 Нечестные сотрудники
(мошенники)
 Обиженные сотрудники
 Вирусы
 Внешние нападения
В конце 2014 года Ernst&Young выпустила пресс-релиз, в котором говориться:
«Неосведомленность сотрудников в вопросах соблюдения правил
информационной безопасности занимает первое место в списке основных
уязвимостей в России».

8. Причины совершения неумышленных
нарушений ИБ #FORUMBS
Неумышленные потенциально опасные действия пользователя могут быть вызваны
следующими причинами:
незнанием и недооценкой потенциальных
опасностей, а также непониманием их
связи с выполняемыми действиями;
незнанием работниками правил и
требований обеспечения ИБ;
непониманием необходимости соблюдения
правил и требований;
нежеланием выполнять требования,
установленные в организации;
невнимательностью работников к правилам
и требованиям обеспечения ИБ.

9. «Трудности перевода»
#FORUMBS
Персонал, не владеющий специальными знаниями, как правило, не способен
адекватно воспринимать информационные посылы специалистов по
безопасности, которые, в свою очередь, могут не обладать достаточным
уровнем методического мастерства.
Элементарно! М….

10. Результат инструктажа сотрудника при
приеме на работу #FORUMBS

11. Комплексная программа повышения
осведомленности персонала по вопросам
информационной безопасности
#FORUMBS
1) Обучение работников организации
2) Поддержание атмосферы информационной безопасности
3) Оценка эффективности и актуализация

12. Формы корпоративного обучения
#FORUMBS
Очное обучение (в т.ч., выездное)
Дистанционное обучение:
• обучение в формате вебинаров
• обучение с использованием электронных курсов

13. Электронные курсы
#FORUMBS
Разработано более 30 электронных курсов по различным направлениям ИБ

14. Геймификация
#FORUMBS
«Скажи мне — и я забуду, покажи мне — и я запомню, дай мне
сделать — и я пойму» (с) Конфуций

15. Электронные курсы
#FORUMBS
Темы:
Тема 1. Рабочее место пользователя
(компьютер).
Тема 2. Неправомерное
использование рабочего времени.
Тема 3. Конфиденциальная
информация.
Тема 4. Внешние носители
информации.
Тема 5. Программное обеспечение.
Тема 6. Парольная защита.
Тема 7. Антивирусная защита.
Тема 8. Работа с электронной почтой.
Тема 9. Работа с сетью Интернет.
Тема 10. Мобильные
устройства/Удаленный доступ.
Итоговые упражнения.

16. Поддержание атмосферы ИБ
#FORUMBS
Повышение осведомлённости в области ИБ – это не профильное обучение.
Чем проще и доступнее будут изложены материалы – тем легче они будут
запоминаться сотрудниками компании.
Наиболее часто используют следующее:
плакаты
экранные заставки (скринсейверы)
баннеры
flash-ролики
видеоролики
памятки, буклеты
сувенирная продукция

17. Поддержание атмосферы ИБ - плакаты
#FORUMBS

18. Поддержание атмосферы ИБ -
скринсейверы #FORUMBS

19. Поддержание атмосферы ИБ – памятка
#FORUMBS

20. Поддержание атмосферы ИБ –
флеш-игры #FORUMBS
http://itsecurity.ru/awareness/flash-and-video/Game_PDn_123weGnv/story.html

21. Поддержание атмосферы ИБ –
флешролики
#FORUMBS

22. Единый дизайн
#FORUMBS

23. Поддержание атмосферы ИБ –
видеоролики #FORUMBS
Продолжительность видеоролика
- 15 - 20 минут.

24. Поддержание атмосферы ИБ –
тематические рассылки #FORUMBS

25. Оценка эффективности и актуализация
#FORUMBS
Рассылка санкционированных Заказчиком провокационных сообщений по
корпоративной электронной почте и по SMS/MMS, мотивирующих пользователей
на нарушение действующих у Заказчика правил и политик информационной
безопасности.
В рамках выполнения рассылок
осуществляется проверка знаний
пользователями:
• политики использования паролей;
• правил соблюдения лицензионной
чистоты;
• правил противодействия вирусным
атакам;
• правил пользования электронной
почты и интернетом;
• правил безопасного использования
служебных мобильных устройств.

26. E-MAIL
PHONE
#FORUMBS
v.sviridenko@itsecurity.ru
8 919 991 16 13
Заместитель директора
УЦ «Информзащита»
Свириденко
Вячеслав
Спасибо за внимание!