SlideShare uma empresa Scribd logo

Концепция. Security Awareness Programm

Georgiy Kuznetsov
Georgiy Kuznetsov

Security Awareness Programm

Educação
1 de 31
Baixar para ler offline
Information Security Awareness Program. Концепция Кузнецов Георгий Департамент по защите информации Дирекция по безопасности ООО «ДТЭК»
INFORMATION SECURITY AWARENESS PROGRAM Как эффективно организовать сотрудников на соблюдение правил информационной безопасности Компании? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
INFORMATION SECURITY AWARENESS PROGRAM Нарушение политики ИБ 5% По вине собственных 10% сотрудников По вине 3-х лиц 80% Технические сбои Другие Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
ПРИЧИНЫ НАРУШЕНИЙ ИБ Исследование компании Gartner 2010:  29% респондентов из 574 обследованных организаций сообщили: в их Компаниях в обязанности персонала ИТ-подразделений входит обучение сотрудников правилам соблюдения информационной безопасности  Только в 36% организаций пользователей обучают необходимым навыкам  Около 80% нарушений информационной безопасности связано с небрежностью, недостаточной компетентностью и безответственностью персонала Компании Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
КЛЮЧЕВЫЕ ВОПРОСЫ Что такое «осведомленность» персонала в вопросах информационной безопасности? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Что такое «осведомленность» персонала в вопросах информационной безопасности? Континуум получения знаний в области ИБ  Осведомленность – это не профессиональное обучение  Цель проведения работ по осведомленности – только фокусирование внимания пользователей на безопасности (NIST Special Publication 800-16) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Что такое «осведомленность» персонала в вопросах информационной безопасности? Осведомленность в вопросах Знать об опасностях: ИБ – это:  Знать существующие угрозы  Уметь здраво оценивать свои действия (риски)  Понимание того, какие проблемы ИБ могут возникнуть Знать и использовать приёмы повышения уровня ИБ:  Выработать привычки, способствующие  Знание как их избегать поддержанию высокого уровня ИБ  Соблюдать и участвовать в выработке правил повышения уровня ИБ  Знание как действовать в той или иной ситуации Уметь оповещать службу ИБ:  Знать координаты сотрудников подразделения ИБ, к кому можно обратиться при возникающих проблемах и инцидентах Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Каковы цели и задачи работ по повышению осведомленности сотрудников по вопросам ИБ? Основные сложности проведения работ по повышению осведомленности сотрудников:  Необходимость обучить базовым знаниям в области ИБ и проконтролировать уровень знаний большого количества человек  Обучение, информирование и проверка знаний персонала в области информационной безопасности должны быть постоянным процессом  Необходимость обучить неспециализированным знаниям, которые не представляют для сотрудников Компании непосредственного интереса и не повышают их квалификацию как специалистов в их предметной области Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
КЛЮЧЕВЫЕ ВОПРОСЫ Каковы цели и задачи работ по повышению уровня осведомленности сотрудников по вопросам ИБ? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Каковы цели и задачи работ по повышению уровня осведомленности сотрудников по вопросам ИБ? Цель:  Снижение потерь (материальных, финансовых, ущерб деловой репутации и т.д.) от угроз, связанных с незнанием или непониманием сотрудниками основных положений нормативно-распорядительных документов в области ИБ, принятых в Компании, и элементарных правил по защите информации при работе с компьютерной техникой Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Задачи внедрения Программы повышения осведомленности  Информирование сотрудников о существующих угрозах (опасностях) и проблемах ИБ, которые могут возникнуть при автоматизированной обработке информации, обновление (расширение) их теоретических и практических знаний в области ИБ;  Доведение до сотрудников основных положений, ограничений и требований существующих нормативно-распорядительных документов, принятых в Компании;  Мобилизация и мотивация конечных пользователей систем на сознательное выполнение ими требований, ограничений и правил обеспечения ИБ при использовании ИТ;  Выработка у сотрудников умения здраво оценивать возможные последствия своих действий (адекватно оценивать связанные с ними риски ИБ);  Выработка у сотрудников привычек, способствующих поддержанию высокого уровня ИБ. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Задачи внедрения Программы повышения осведомленности  Выработка у сотрудников Компании умений (навыков) правильно и оперативно действовать при возникновении инцидентов ИБ;  Доведение до сотрудников координат лиц, ответственных за обеспечение ИБ в компании, к которым необходимо обращаться за помощью и которых необходимо оперативно информировать о возникающих проблемах и инцидентах ИБ;  Доведение до сотрудников Компании их обязанностей в области обеспечения ИБ и степени их ответственности в случае утечки конфиденциальной информации;  Привлечение сотрудников Компании к участию в выработке и уточнении (адаптации к конкретным условиям применения) правил Политики ИБ Компании);  Оценка эффективности, развитие и совершенствование проводимых мероприятий и Программы в целом. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Задачи внедрения Программы повышения осведомленности Требования стандарта ISO/IEC 27002:2005 8. Безопасность, связанная с персоналом 8.2.2. Обеспечение осведомленности, обучение и подготовка в области ИБ Рекомендуемые меры Все сотрудники организации, и если это целесообразно, то также работники по контракту и сторонние пользователи должны получить соответствующую информационную подготовку и регулярные обновления принятых в организации политик и процедур, относящихся к их рабочей функции. Мероприятия по обеспечению осведомленности Обучению и подготовке в области ИБ должны быть целесообразными и соответствующими роли данного лица, его обязанностям и квалификации, а также должны включать в себя информацию по известным угрозам ИБ, сведения о том, к кому следует обращаться за дополнительными консультациями по безопасности, а также о надлежащих каналах для уведомления об инцидентах, связанных с ИБ. Подготовка для повышения осведомленности предназначена для того, чтобы позволить сотрудникам распознавать проблемы и инциденты, связанные с ИБ, и реагировать на них в соответствии с необходимостью и со своей ролью в рабочем процессе. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
КЛЮЧЕВЫЕ ВОПРОСЫ Формы и методы повышения осведомленности сотрудников Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Формы и методы повышения осведомленности сотрудников  Краткий инструктаж при приеме на работу  Обучение (курсы, семинары, тренинги, с демонстрацией атак и приемов защиты)  Дистанционные (электронные) курсы и др.  Инструктажи и зачеты по положениям Политики безопасности  Рассылки по e-mail, разделы на корпоративных порталах (с примерами конкретных инцидентов в Компании, статистикой нарушений, результатами контроля подразделений)  Распространение кратких памяток  Средства наглядной агитации (плакаты) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Формы и методы повышения осведомленности Дистанционное обучение Дистанционное (электронное) обучение Позволяет более масштабно решать задачи обучения работников Компании, но имеет недостатки по сравнению с очным (низкая мотивация и др.) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Формы и методы повышения осведомленности Вводный инструктаж для новых сотрудников Обучение сотрудников на местах: • Курс может быть выполнен в виде презентации и размещен на рабочих компьютерах Компании • Предоставление новым сотрудникам мультимедиа- учебника на CD/DVD, включающем в себя теоретические и практические модули • Просмотр сотрудниками при приеме на работу видеоролика об основных правилах ИБ • Тестирование уровня знаний новых сотрудников по вопросам ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Формы и методы повышения осведомленности Распространение кратких памяток Буклет-памятка по ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Формы и методы повышения осведомленности Поддержание атмосферы ИБ Screen Saver : • Скрин-сейверы в простой и ненавязчивой форме позволяют закрепить у пользователей основные правила в области информационной безопасности. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Формы и методы повышения осведомленности Поддержание атмосферы ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Формы и методы повышения осведомленности Поддержание атмосферы ИБ Видеоролик Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
КЛЮЧЕВЫЕ ВОПРОСЫ Какими силами и в каких формах реализовать программу повышения осведомленности? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Кто участвует в организации и реализации Программы повышения осведомленности?  Кто руководит?  Кто финансирует?  Кто организует и финансирует работу?  Кто реализует программу повышения осведомленности?  Кто контролирует и оценивает эффективность? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Кто участвует в организации и реализации Программы повышения осведомленности? Функции топ-менеджмента при внедрении Программы повышения осведомленности  Руководство компании инициирует процесс реализации Программы, принимает решения о финансировании и наделяет полномочиями подразделения и конкретных сотрудников для координации процесса внедрения программы Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Кто участвует в организации и реализации Программы повышения осведомленности? Функции подразделения ИБ при внедрении Программы повышения осведомленности  Департамент по защите информации несет ответственность за успешное внедрение и реализацию Программы, разрабатывает и корректирует существующую систему реагирования на инциденты ИБ, корректирует политику ИБ Компании Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Распределение ролей при внедрении Программы повышения осведомленности  Офис управления проектами выполняет стандартные процедуры управления проектами при внедрении Программы. При отсутствии данного подразделения полномочия переходят в Департамент по защите информации.  Учебное подразделение (корпоративный университет) – проводит или организует обучение (очное, дистанционное) в рамках Программы повышения осведомленности пользователей по вопросам ИБ для всех категорий сотрудников Компании.  Подразделение корпоративных коммуникаций способствует продвижению Программы внутри организации, проводит рекламные кампании.  Все структурные подразделения, включая отдел кадров, бухгалтерию, юридическую службу, ИТ-службы, аудит, хозяйственную службу, секретариат и т.д. обеспечивают активное участие во всех мероприятиях, проводимых в рамках Программы.  Внешние специализированные организации (аутсорсинг) – предоставление интеллектуальных ресурсов на разных этапах реализации Программы (преподаватели, аудиторы и т.д.) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
КЛЮЧЕВЫЕ ВОПРОСЫ Как оценить эффективность Программы повышения осведомленности? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Как оценить эффективность Программы повышения осведомленности?  Разработка системы периодической проверки знаний сотрудников по вопросам ИБ  Разработка системы контроля выполнения требований политик, стандартов, инструкций и правил по обеспечению ИБ  Организация проверочных мероприятий провокационного характера с использованием приемов социальной инженерии  Ведение статистики нарушений и инцидентов ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Как оценить эффективность Программы повышения осведомленности? Исследования CSI, 2009 Каким образом в Компаниях проводится оценка эффективности повышения осведомленности сотрудников Большинство Компаний проверяют знания сотрудников при помощи тестирования и лишь 13% проводят проверки с использованием приемов социальной инженерии Обучение не проводится 18% Эффективность не оценивается 35% Другое 4% Тесты, соц.инженерия 13% Статистика инцидентов 22% Отчетность персонала 25% Принудительное письменное или… 32% 0% 10% 20% 30% 40% Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
Как оценить эффективность Программы повышения осведомленности? Открытые проверки:  Тесты, зачеты, экзамены;  Опросы, интервью, организационно-деятельностные игры;  Анкетирование;  Внешний или внутренний аудит. Скрытые проверки:  Телефонные звонки или электронные письма провокационного характера;  Использование приемов социальной инженерии;  Мониторинг действий пользователей;  Внешний или внутренний аудит;  Контроль выполнения требований политик, стандартов, инструкций и правил по обеспечению ИБ. Сбор и анализ статистики инцидентов ИБ в Компании Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
СПАСИБО Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК» +38-050-347-24-32 +38-062-389-43-46

Recomendados

Строим вместе безопасную СЭД
Строим вместе безопасную СЭДСтроим вместе безопасную СЭД
Строим вместе безопасную СЭДИнтерТраст
 
Владимир Павлович Григорьев Декомпозиция компетенций
Владимир Павлович Григорьев Декомпозиция компетенцийВладимир Павлович Григорьев Декомпозиция компетенций
Владимир Павлович Григорьев Декомпозиция компетенцийДмитрий Соловьев
 
Бакотек: решения Mc Afee как часть интегрированной системы безопасности
Бакотек: решения Mc Afee как часть интегрированной системы безопасностиБакотек: решения Mc Afee как часть интегрированной системы безопасности
Бакотек: решения Mc Afee как часть интегрированной системы безопасностиNick Turunov
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и БизнесаUISGCON
 
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из туманаUISGCON
 
Security Measurement.pdf
Security Measurement.pdfSecurity Measurement.pdf
Security Measurement.pdfAleksey Lukatskiy
 
Переход в облака, выход из тумана
Переход в облака, выход из туманаПереход в облака, выход из тумана
Переход в облака, выход из туманаAndriy Lysyuk
 
Tesla strategic management final
Tesla strategic management finalTesla strategic management final
Tesla strategic management finalNadine Khattab
 

Recomendados

Строим вместе безопасную СЭД
Строим вместе безопасную СЭДСтроим вместе безопасную СЭД
Строим вместе безопасную СЭДИнтерТраст
 
Владимир Павлович Григорьев Декомпозиция компетенций
Владимир Павлович Григорьев Декомпозиция компетенцийВладимир Павлович Григорьев Декомпозиция компетенций
Владимир Павлович Григорьев Декомпозиция компетенцийДмитрий Соловьев
 
Бакотек: решения Mc Afee как часть интегрированной системы безопасности
Бакотек: решения Mc Afee как часть интегрированной системы безопасностиБакотек: решения Mc Afee как часть интегрированной системы безопасности
Бакотек: решения Mc Afee как часть интегрированной системы безопасностиNick Turunov
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и БизнесаUISGCON
 
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из туманаUISGCON
 
Security Measurement.pdf
Security Measurement.pdfSecurity Measurement.pdf
Security Measurement.pdfAleksey Lukatskiy
 
Переход в облака, выход из тумана
Переход в облака, выход из туманаПереход в облака, выход из тумана
Переход в облака, выход из туманаAndriy Lysyuk
 
Tesla strategic management final
Tesla strategic management finalTesla strategic management final
Tesla strategic management finalNadine Khattab
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rusAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Metinvest
MetinvestMetinvest
Metinvestcsrcentre
 
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...Expolink
 
Разработка курсов в области информационной безопасности. Инновационные и дист...
Разработка курсов в области информационной безопасности. Инновационные и дист...Разработка курсов в области информационной безопасности. Инновационные и дист...
Разработка курсов в области информационной безопасности. Инновационные и дист...Сообщество eLearning PRO
 
Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...
Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...
Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...Expolink
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраjet_information_security
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...UISGCON
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCRISClubSPb
 
Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноАлексей Волков
 
Awareness(no video)
Awareness(no video)Awareness(no video)
Awareness(no video)a_a_a
 
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...Expolink
 
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...Expolink
 
1
11
1a_a_a
 
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Expolink
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйRISClubSPb
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБcnpo
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 

Mais conteúdo relacionado

Semelhante a Концепция. Security Awareness Programm

Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...Expolink
 
Разработка курсов в области информационной безопасности. Инновационные и дист...
Разработка курсов в области информационной безопасности. Инновационные и дист...Разработка курсов в области информационной безопасности. Инновационные и дист...
Разработка курсов в области информационной безопасности. Инновационные и дист...Сообщество eLearning PRO
 
Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...
Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...
Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...Expolink
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраjet_information_security
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...UISGCON
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCRISClubSPb
 
Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноАлексей Волков
 
Awareness(no video)
Awareness(no video)Awareness(no video)
Awareness(no video)a_a_a
 
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...Expolink
 
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...Expolink
 
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Expolink
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйRISClubSPb
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБcnpo
 

Semelhante a Концепция. Security Awareness Programm (20)

Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
 
Metinvest
MetinvestMetinvest
Metinvest
 
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...
 
Разработка курсов в области информационной безопасности. Инновационные и дист...
Разработка курсов в области информационной безопасности. Инновационные и дист...Разработка курсов в области информационной безопасности. Инновационные и дист...
Разработка курсов в области информационной безопасности. Инновационные и дист...
 
Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...
Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...
Учебный центр "Информзащита". Вячеслав Свириденко. "Повышение осведомленности...
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтра
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
 
Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезно
 
Awareness(no video)
Awareness(no video)Awareness(no video)
Awareness(no video)
 
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
 
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...
 
1
11
1
 
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 

Концепция. Security Awareness Programm

  • 1. Information Security Awareness Program. Концепция Кузнецов Георгий Департамент по защите информации Дирекция по безопасности ООО «ДТЭК»
  • 2. INFORMATION SECURITY AWARENESS PROGRAM Как эффективно организовать сотрудников на соблюдение правил информационной безопасности Компании? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 3. INFORMATION SECURITY AWARENESS PROGRAM Нарушение политики ИБ 5% По вине собственных 10% сотрудников По вине 3-х лиц 80% Технические сбои Другие Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 4. ПРИЧИНЫ НАРУШЕНИЙ ИБ Исследование компании Gartner 2010:  29% респондентов из 574 обследованных организаций сообщили: в их Компаниях в обязанности персонала ИТ-подразделений входит обучение сотрудников правилам соблюдения информационной безопасности  Только в 36% организаций пользователей обучают необходимым навыкам  Около 80% нарушений информационной безопасности связано с небрежностью, недостаточной компетентностью и безответственностью персонала Компании Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 5. КЛЮЧЕВЫЕ ВОПРОСЫ Что такое «осведомленность» персонала в вопросах информационной безопасности? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 6. Что такое «осведомленность» персонала в вопросах информационной безопасности? Континуум получения знаний в области ИБ  Осведомленность – это не профессиональное обучение  Цель проведения работ по осведомленности – только фокусирование внимания пользователей на безопасности (NIST Special Publication 800-16) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 7. Что такое «осведомленность» персонала в вопросах информационной безопасности? Осведомленность в вопросах Знать об опасностях: ИБ – это:  Знать существующие угрозы  Уметь здраво оценивать свои действия (риски)  Понимание того, какие проблемы ИБ могут возникнуть Знать и использовать приёмы повышения уровня ИБ:  Выработать привычки, способствующие  Знание как их избегать поддержанию высокого уровня ИБ  Соблюдать и участвовать в выработке правил повышения уровня ИБ  Знание как действовать в той или иной ситуации Уметь оповещать службу ИБ:  Знать координаты сотрудников подразделения ИБ, к кому можно обратиться при возникающих проблемах и инцидентах Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 8. Каковы цели и задачи работ по повышению осведомленности сотрудников по вопросам ИБ? Основные сложности проведения работ по повышению осведомленности сотрудников:  Необходимость обучить базовым знаниям в области ИБ и проконтролировать уровень знаний большого количества человек  Обучение, информирование и проверка знаний персонала в области информационной безопасности должны быть постоянным процессом  Необходимость обучить неспециализированным знаниям, которые не представляют для сотрудников Компании непосредственного интереса и не повышают их квалификацию как специалистов в их предметной области Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 9. КЛЮЧЕВЫЕ ВОПРОСЫ Каковы цели и задачи работ по повышению уровня осведомленности сотрудников по вопросам ИБ? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 10. Каковы цели и задачи работ по повышению уровня осведомленности сотрудников по вопросам ИБ? Цель:  Снижение потерь (материальных, финансовых, ущерб деловой репутации и т.д.) от угроз, связанных с незнанием или непониманием сотрудниками основных положений нормативно-распорядительных документов в области ИБ, принятых в Компании, и элементарных правил по защите информации при работе с компьютерной техникой Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 11. Задачи внедрения Программы повышения осведомленности  Информирование сотрудников о существующих угрозах (опасностях) и проблемах ИБ, которые могут возникнуть при автоматизированной обработке информации, обновление (расширение) их теоретических и практических знаний в области ИБ;  Доведение до сотрудников основных положений, ограничений и требований существующих нормативно-распорядительных документов, принятых в Компании;  Мобилизация и мотивация конечных пользователей систем на сознательное выполнение ими требований, ограничений и правил обеспечения ИБ при использовании ИТ;  Выработка у сотрудников умения здраво оценивать возможные последствия своих действий (адекватно оценивать связанные с ними риски ИБ);  Выработка у сотрудников привычек, способствующих поддержанию высокого уровня ИБ. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 12. Задачи внедрения Программы повышения осведомленности  Выработка у сотрудников Компании умений (навыков) правильно и оперативно действовать при возникновении инцидентов ИБ;  Доведение до сотрудников координат лиц, ответственных за обеспечение ИБ в компании, к которым необходимо обращаться за помощью и которых необходимо оперативно информировать о возникающих проблемах и инцидентах ИБ;  Доведение до сотрудников Компании их обязанностей в области обеспечения ИБ и степени их ответственности в случае утечки конфиденциальной информации;  Привлечение сотрудников Компании к участию в выработке и уточнении (адаптации к конкретным условиям применения) правил Политики ИБ Компании);  Оценка эффективности, развитие и совершенствование проводимых мероприятий и Программы в целом. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 13. Задачи внедрения Программы повышения осведомленности Требования стандарта ISO/IEC 27002:2005 8. Безопасность, связанная с персоналом 8.2.2. Обеспечение осведомленности, обучение и подготовка в области ИБ Рекомендуемые меры Все сотрудники организации, и если это целесообразно, то также работники по контракту и сторонние пользователи должны получить соответствующую информационную подготовку и регулярные обновления принятых в организации политик и процедур, относящихся к их рабочей функции. Мероприятия по обеспечению осведомленности Обучению и подготовке в области ИБ должны быть целесообразными и соответствующими роли данного лица, его обязанностям и квалификации, а также должны включать в себя информацию по известным угрозам ИБ, сведения о том, к кому следует обращаться за дополнительными консультациями по безопасности, а также о надлежащих каналах для уведомления об инцидентах, связанных с ИБ. Подготовка для повышения осведомленности предназначена для того, чтобы позволить сотрудникам распознавать проблемы и инциденты, связанные с ИБ, и реагировать на них в соответствии с необходимостью и со своей ролью в рабочем процессе. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 14. КЛЮЧЕВЫЕ ВОПРОСЫ Формы и методы повышения осведомленности сотрудников Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 15. Формы и методы повышения осведомленности сотрудников  Краткий инструктаж при приеме на работу  Обучение (курсы, семинары, тренинги, с демонстрацией атак и приемов защиты)  Дистанционные (электронные) курсы и др.  Инструктажи и зачеты по положениям Политики безопасности  Рассылки по e-mail, разделы на корпоративных порталах (с примерами конкретных инцидентов в Компании, статистикой нарушений, результатами контроля подразделений)  Распространение кратких памяток  Средства наглядной агитации (плакаты) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 16. Формы и методы повышения осведомленности Дистанционное обучение Дистанционное (электронное) обучение Позволяет более масштабно решать задачи обучения работников Компании, но имеет недостатки по сравнению с очным (низкая мотивация и др.) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 17. Формы и методы повышения осведомленности Вводный инструктаж для новых сотрудников Обучение сотрудников на местах: • Курс может быть выполнен в виде презентации и размещен на рабочих компьютерах Компании • Предоставление новым сотрудникам мультимедиа- учебника на CD/DVD, включающем в себя теоретические и практические модули • Просмотр сотрудниками при приеме на работу видеоролика об основных правилах ИБ • Тестирование уровня знаний новых сотрудников по вопросам ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 18. Формы и методы повышения осведомленности Распространение кратких памяток Буклет-памятка по ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 19. Формы и методы повышения осведомленности Поддержание атмосферы ИБ Screen Saver : • Скрин-сейверы в простой и ненавязчивой форме позволяют закрепить у пользователей основные правила в области информационной безопасности. Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 20. Формы и методы повышения осведомленности Поддержание атмосферы ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 21. Формы и методы повышения осведомленности Поддержание атмосферы ИБ Видеоролик Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 22. КЛЮЧЕВЫЕ ВОПРОСЫ Какими силами и в каких формах реализовать программу повышения осведомленности? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 23. Кто участвует в организации и реализации Программы повышения осведомленности?  Кто руководит?  Кто финансирует?  Кто организует и финансирует работу?  Кто реализует программу повышения осведомленности?  Кто контролирует и оценивает эффективность? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 24. Кто участвует в организации и реализации Программы повышения осведомленности? Функции топ-менеджмента при внедрении Программы повышения осведомленности  Руководство компании инициирует процесс реализации Программы, принимает решения о финансировании и наделяет полномочиями подразделения и конкретных сотрудников для координации процесса внедрения программы Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 25. Кто участвует в организации и реализации Программы повышения осведомленности? Функции подразделения ИБ при внедрении Программы повышения осведомленности  Департамент по защите информации несет ответственность за успешное внедрение и реализацию Программы, разрабатывает и корректирует существующую систему реагирования на инциденты ИБ, корректирует политику ИБ Компании Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 26. Распределение ролей при внедрении Программы повышения осведомленности  Офис управления проектами выполняет стандартные процедуры управления проектами при внедрении Программы. При отсутствии данного подразделения полномочия переходят в Департамент по защите информации.  Учебное подразделение (корпоративный университет) – проводит или организует обучение (очное, дистанционное) в рамках Программы повышения осведомленности пользователей по вопросам ИБ для всех категорий сотрудников Компании.  Подразделение корпоративных коммуникаций способствует продвижению Программы внутри организации, проводит рекламные кампании.  Все структурные подразделения, включая отдел кадров, бухгалтерию, юридическую службу, ИТ-службы, аудит, хозяйственную службу, секретариат и т.д. обеспечивают активное участие во всех мероприятиях, проводимых в рамках Программы.  Внешние специализированные организации (аутсорсинг) – предоставление интеллектуальных ресурсов на разных этапах реализации Программы (преподаватели, аудиторы и т.д.) Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 27. КЛЮЧЕВЫЕ ВОПРОСЫ Как оценить эффективность Программы повышения осведомленности? Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 28. Как оценить эффективность Программы повышения осведомленности?  Разработка системы периодической проверки знаний сотрудников по вопросам ИБ  Разработка системы контроля выполнения требований политик, стандартов, инструкций и правил по обеспечению ИБ  Организация проверочных мероприятий провокационного характера с использованием приемов социальной инженерии  Ведение статистики нарушений и инцидентов ИБ Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 29. Как оценить эффективность Программы повышения осведомленности? Исследования CSI, 2009 Каким образом в Компаниях проводится оценка эффективности повышения осведомленности сотрудников Большинство Компаний проверяют знания сотрудников при помощи тестирования и лишь 13% проводят проверки с использованием приемов социальной инженерии Обучение не проводится 18% Эффективность не оценивается 35% Другое 4% Тесты, соц.инженерия 13% Статистика инцидентов 22% Отчетность персонала 25% Принудительное письменное или… 32% 0% 10% 20% 30% 40% Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 30. Как оценить эффективность Программы повышения осведомленности? Открытые проверки:  Тесты, зачеты, экзамены;  Опросы, интервью, организационно-деятельностные игры;  Анкетирование;  Внешний или внутренний аудит. Скрытые проверки:  Телефонные звонки или электронные письма провокационного характера;  Использование приемов социальной инженерии;  Мониторинг действий пользователей;  Внешний или внутренний аудит;  Контроль выполнения требований политик, стандартов, инструкций и правил по обеспечению ИБ. Сбор и анализ статистики инцидентов ИБ в Компании Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК»
  • 31. СПАСИБО Кузнецов Г.Н. ДЗИ ДБ ООО «ДТЭК» +38-050-347-24-32 +38-062-389-43-46