�ݺ�ߣ

Эффективная программа повышения осведомленности
персонала в вопросах ИБ

Владимир Ткаченко, CISA
Директор ООО «Агентство Активного Аудита»
Член Наблюдательного совета ВОО «Украинская группа по информационной безопасности»

РЕАЛЬНАЯ СТАТИСТИКА (из отчетов о тесте на проникновение)
2010
При массовой рассылке (фишинговая атака) – из 150 целей получено 20 паролей
сотрудников компании (13,33%), кроме того почтовый сервер разрешил подобную
массовую рассылку от имени одного из сотрудников Заказчика (начальника
департамента ИТ).
2011
Многие сотрудники компании не имеют представления о фишинговых атаках и не
сумели их идентифицировать. Реактивные действия соответствующих подразделений не
сумели предотвратить развитие атаки. Через сутки после проведения атаки пароли не
сменили 14 пользователей. Через 6 дней - 10 пользователей. В результате сбора
информации с почтовых ящиков было получено множество конфиденциальных данных.
2012
При массовой рассылке (фишинговая атака) из 120 целей получено около 30 паролей
сотрудников компании (25%). Данные пароли также давали возможность дополнительно
авторизоваться на корпоративных ресурсах.
2012
При массовой рассылке (фишинговая атака) из 900 целей зарегистрировано 110 вводов
паролей сотрудников компании (12%). 30% сотрудников компании раскрыли
конфиденциальную информацию по телефону входе осуществления звонков.

12.10.2012 © Владимир Ткаченко, CISA 2

Мамо, шо маю робити? – Security awareness, доню!
ЧТО ТАКОЕ программа повышения осведомленности персонала (пользователей) в вопросах ИБ?
Программа повышения осведомленности это – комплекс мероприятий направленный на
противодействие угрозам и уязвимостям ИБ.
Зачем?
1) См. слайд выше - предотвратить риски утечки, хищения, информации (потеря конфиденциальности);
2) Предотвратить несанкционированные действия по модификации, копированию информации
(потеря целостности);
3) Снизить вероятность других форм незаконного вмешательства в информационные ресурсы и
системы, обеспечить правовой режим информации как объекта собственности компании;
4) Обеспечить понимание персоналом своих обязанностей по информационной безопасности и
внедрить «модель поведения» при инцидентах ИБ;
5) Принятие новых нормативных актов (напр., Закон о ПДн), изменение политик и/или технологий в
области ИБ, изменение бизнес процессов, работа с персоналом третьей компании, новый
менеджмент …
Как?
NIST SP800-50 Building an The New User’s Guide: How
Information Technology to raise information security
Security Awareness and awareness (Nov 2010)
Training Program (Oct 2003) 70! 140 !!!!!

12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 3

Этапы реализации программы
Этап I – Обоснование и планирование (Plan & Assess)

Оценить тематику и Сланировать
Назначить ответственных Определить участников
потенциальные Получить бюджет внедрение (составить
за реализацию и аудиторию
решения План реализации)

Этап II – Реализация и управление программой (Execute & Manage)

Подготовить мероприятия и Определить средства доставки Провести мероприятия по Документировать полученные
материалы информации программе результаты (за период действия)

Этап III – Оценка эффективности и корректирующие действия (Evaluate & Adjust)

Провести оценку эффективности Скорректировать тематику и цели Скорректировать программу по Реализовать скорректированные
мероприятий (если необходимо) результатам оценки мероприятия


Элементы программы повышения осведомленности
 Плакаты (постеры) – в присутственных местах (кухни, коридоры,
шкафы, стены в помещении)
 Скринсейверы (на рабочих станциях), баннеры на корпоративном сайте
/портале
 Сообщения при загрузке и/или выключении компьютера
 Комиксы (статические картинки с сюжетом по теме ИБ)
 Флеш – мультики
 Флеш-игры
 Видеоролики
 Средства канцелярской наглядной агитации (ручки, степлеры,
дыроколы, внешние носители, стикеры и пр)
 Тесты, конкурсы, презентации, интерактивное обучение
 Все что еще вы сможете придумать для внедрения идей (положений)
ИБ в компании (расстрел пейнтбольными шариками нарушителей
политики чистого стола и т. п.)

Элементы программы пример плакатов


Элементы программы пример комикса


Элементы программы пример комикса (продолжение)


Элементы программы пример флеш мульта


Элементы программы пример видеоролика


Элементы программы пример канцелярии


Средства доставки контента персоналу
• Корпоративный Web-портал
• Корпоративный Web-сайт (раздел или
страничка по ИБ)

• Сообщение ОС на сетевую папку с
контентом
• Авторан на сетевую папку с контентом

• Размещение контента в местах частого
присутствия персонала (кухни, комнаты для
переговоров и т. п.)
• Демонстрация роликов на плазменных
панелях, экранах

Методы оценки эффективности
• КPI (Key Performance Indicators)
• KRI (Key Risk Indicators)
• Benchmarking (внешний напр. при аудите)

Способы оценки эффективности:
• анкетная оценка (метод выборочного интервью с участниками программы);
• результаты тестов персонала по тематике ИБ;
• адекватное финансирование программы;
• уровень посещаемости инструктажей ИБ;
• наличие конкурсов, награжденных призами …;
• наличие каналов доставки контента (WEB, TV,
E-mail…)

12.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15

Команда реализующая программу
Кто ?

 Отдел кадров (НR) – непосредственное участие в реализации
программы (организация и проведение тренингов, анализ результатов,
контроль за проведением и т.п.)
 Отдел ИБ (CISO) - согласование тематики, участие в инструктажах,
презентациях и в оценке эффективности
 Бухгалтерия (фин планирование) (CFO) – бюджетирование и контроль
расходов
 Отдел маркетинга (СМО) – ТОЛЬКО согласование корпоративного стиля
в макетах материалов !!!!
 Отдел ИТ (CIO) – только консалтинг по актуализации тем и организация
доставки контента

12.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16

Вопросы

info@auditagency.com.ua
www.auditagency.com.ua
044 228 15 88

�ݺ�ߣ

Владимир Ткаченко - Эффективная программа повышения осведомленности в вопросах ИБ

More Related Content

Владимир Ткаченко - Эффективная программа повышения осведомленности в вопросах ИБ