SlideShare ist ein Scribd-Unternehmen logo

Владимир Ткаченко - Эффективная программа повышения осведомленности в вопросах ИБ

UISGCON
UISGCON
1 von 17
Эффективная программа повышения осведомленности персонала в вопросах ИБ Владимир Ткаченко, CISA Директор ООО «Агентство Активного Аудита» Член Наблюдательного совета ВОО «Украинская группа по информационной безопасности»
РЕАЛЬНАЯ СТАТИСТИКА (из отчетов о тесте на проникновение) 2010 При массовой рассылке (фишинговая атака) – из 150 целей получено 20 паролей сотрудников компании (13,33%), кроме того почтовый сервер разрешил подобную массовую рассылку от имени одного из сотрудников Заказчика (начальника департамента ИТ). 2011 Многие сотрудники компании не имеют представления о фишинговых атаках и не сумели их идентифицировать. Реактивные действия соответствующих подразделений не сумели предотвратить развитие атаки. Через сутки после проведения атаки пароли не сменили 14 пользователей. Через 6 дней - 10 пользователей. В результате сбора информации с почтовых ящиков было получено множество конфиденциальных данных. 2012 При массовой рассылке (фишинговая атака) из 120 целей получено около 30 паролей сотрудников компании (25%). Данные пароли также давали возможность дополнительно авторизоваться на корпоративных ресурсах. 2012 При массовой рассылке (фишинговая атака) из 900 целей зарегистрировано 110 вводов паролей сотрудников компании (12%). 30% сотрудников компании раскрыли конфиденциальную информацию по телефону входе осуществления звонков. 12.10.2012 © Владимир Ткаченко, CISA 2
Мамо, шо маю робити? – Security awareness, доню! ЧТО ТАКОЕ программа повышения осведомленности персонала (пользователей) в вопросах ИБ? Программа повышения осведомленности это – комплекс мероприятий направленный на противодействие угрозам и уязвимостям ИБ. Зачем? 1) См. слайд выше - предотвратить риски утечки, хищения, информации (потеря конфиденциальности); 2) Предотвратить несанкционированные действия по модификации, копированию информации (потеря целостности); 3) Снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности компании; 4) Обеспечить понимание персоналом своих обязанностей по информационной безопасности и внедрить «модель поведения» при инцидентах ИБ; 5) Принятие новых нормативных актов (напр., Закон о ПДн), изменение политик и/или технологий в области ИБ, изменение бизнес процессов, работа с персоналом третьей компании, новый менеджмент … Как? NIST SP800-50 Building an The New User’s Guide: How Information Technology to raise information security Security Awareness and awareness (Nov 2010) Training Program (Oct 2003) 70! 140 !!!!! 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 3
Этапы реализации программы Этап I – Обоснование и планирование (Plan & Assess) Оценить тематику и Сланировать Назначить ответственных Определить участников потенциальные Получить бюджет внедрение (составить за реализацию и аудиторию решения План реализации) Этап II – Реализация и управление программой (Execute & Manage) Подготовить мероприятия и Определить средства доставки Провести мероприятия по Документировать полученные материалы информации программе результаты (за период действия) Этап III – Оценка эффективности и корректирующие действия (Evaluate & Adjust) Провести оценку эффективности Скорректировать тематику и цели Скорректировать программу по Реализовать скорректированные мероприятий (если необходимо) результатам оценки мероприятия 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 4
Элементы программы повышения осведомленности  Плакаты (постеры) – в присутственных местах (кухни, коридоры, шкафы, стены в помещении)  Скринсейверы (на рабочих станциях), баннеры на корпоративном сайте /портале  Сообщения при загрузке и/или выключении компьютера  Комиксы (статические картинки с сюжетом по теме ИБ)  Флеш – мультики  Флеш-игры  Видеоролики  Средства канцелярской наглядной агитации (ручки, степлеры, дыроколы, внешние носители, стикеры и пр)  Тесты, конкурсы, презентации, интерактивное обучение  Все что еще вы сможете придумать для внедрения идей (положений) ИБ в компании (расстрел пейнтбольными шариками нарушителей политики чистого стола и т. п.) 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 5
Элементы программы пример плакатов 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 6
Элементы программы пример плакатов 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 7
Элементы программы пример плакатов 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 8
Элементы программы пример комикса 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 9
Элементы программы пример комикса (продолжение) 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 10
Элементы программы пример флеш мульта 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 11
Элементы программы пример видеоролика 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 12
Элементы программы пример канцелярии 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 13
Средства доставки контента персоналу • Корпоративный Web-портал • Корпоративный Web-сайт (раздел или страничка по ИБ) • Сообщение ОС на сетевую папку с контентом • Авторан на сетевую папку с контентом • Размещение контента в местах частого присутствия персонала (кухни, комнаты для переговоров и т. п.) • Демонстрация роликов на плазменных панелях, экранах 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 14
Методы оценки эффективности • КPI (Key Performance Indicators) • KRI (Key Risk Indicators) • Benchmarking (внешний напр. при аудите) Способы оценки эффективности: • анкетная оценка (метод выборочного интервью с участниками программы); • результаты тестов персонала по тематике ИБ; • адекватное финансирование программы; • уровень посещаемости инструктажей ИБ; • наличие конкурсов, награжденных призами …; • наличие каналов доставки контента (WEB, TV, E-mail…) 12.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15
Команда реализующая программу Кто ?  Отдел кадров (НR) – непосредственное участие в реализации программы (организация и проведение тренингов, анализ результатов, контроль за проведением и т.п.)  Отдел ИБ (CISO) - согласование тематики, участие в инструктажах, презентациях и в оценке эффективности  Бухгалтерия (фин планирование) (CFO) – бюджетирование и контроль расходов  Отдел маркетинга (СМО) – ТОЛЬКО согласование корпоративного стиля в макетах материалов !!!!  Отдел ИТ (CIO) – только консалтинг по актуализации тем и организация доставки контента 12.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16
Вопросы info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88

Empfohlen

создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленностиLETA IT-company
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCRISClubSPb
 
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Expolink
 
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...Evgeniy Shauro
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...RISClubSPb
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Empfohlen

создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленностиLETA IT-company
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCRISClubSPb
 
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Expolink
 
Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...Политика повышения осведомленности в вопросах информационной безопасности сот...
Политика повышения осведомленности в вопросах информационной безопасности сот...Evgeniy Shauro
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...RISClubSPb
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Awareness(no video)
Awareness(no video)Awareness(no video)
Awareness(no video)a_a_a
 
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению АктивамиComarch SA
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 

Weitere ähnliche Inhalte

Was ist angesagt?

пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 

Was ist angesagt? (19)

пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в России
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 

Ähnlich wie Владимир Ткаченко - Эффективная программа повышения осведомленности в вопросах ИБ

Awareness(no video)
Awareness(no video)Awareness(no video)
Awareness(no video)a_a_a
 
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению АктивамиComarch SA
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010Dmitry Andreev
 
Антикоррупция
АнтикоррупцияАнтикоррупция
АнтикоррупцияAlexei Fedotov
 
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowCircum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowSergiy Povolyashko, PMP
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 
Мониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПОМониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПОЕвгений Рожков
 
Project Management Анар Умурзакова
Project Management Анар УмурзаковаProject Management Анар Умурзакова
Project Management Анар УмурзаковаSamson Bezmyatezhny
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и AgileАндрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и AgileScrumTrek
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?InfoWatch
 
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowCircum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowSergiy Povolyashko
 
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009Gena Drahun
 
Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015Igor Zvyaghin
 
Успешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедУспешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедDocsvision
 
RST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringToolsRST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringToolsRussianStartupTour
 
Автоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в ВнешэкономбанкеАвтоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в ВнешэкономбанкеWebSoft
 

Ähnlich wie Владимир Ткаченко - Эффективная программа повышения осведомленности в вопросах ИБ (20)

Awareness(no video)
Awareness(no video)Awareness(no video)
Awareness(no video)
 
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010
 
Антикоррупция
АнтикоррупцияАнтикоррупция
Антикоррупция
 
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowCircum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. Moscow
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
 
Мониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПОМониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПО
 
Project Management Анар Умурзакова
Project Management Анар УмурзаковаProject Management Анар Умурзакова
Project Management Анар Умурзакова
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и AgileАндрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?
 
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. MoscowCircum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. Moscow
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
 
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009
 
Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015
 
CCPM DBR Vebinar 28 01 2010
CCPM DBR Vebinar 28 01 2010CCPM DBR Vebinar 28 01 2010
CCPM DBR Vebinar 28 01 2010
 
Успешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтедУспешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтед
 
RST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringToolsRST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringTools
 
Автоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в ВнешэкономбанкеАвтоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в Внешэкономбанке
 

Mehr von UISGCON

Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...UISGCON
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9UISGCON
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9UISGCON
 
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...UISGCON
 
Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9UISGCON
 
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9UISGCON
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9UISGCON
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9UISGCON
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйUISGCON
 
Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?UISGCON
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...UISGCON
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...UISGCON
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...UISGCON
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...UISGCON
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...UISGCON
 
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз UISGCON
 
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...UISGCON
 
Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего? Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего? UISGCON
 

Mehr von UISGCON (20)

Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
 
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
 
Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9
 
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
 
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяй
 
Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
 
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
 
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
 
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
 
Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего? Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего?
 

Владимир Ткаченко - Эффективная программа повышения осведомленности в вопросах ИБ

  • 1. Эффективная программа повышения осведомленности персонала в вопросах ИБ Владимир Ткаченко, CISA Директор ООО «Агентство Активного Аудита» Член Наблюдательного совета ВОО «Украинская группа по информационной безопасности»
  • 2. РЕАЛЬНАЯ СТАТИСТИКА (из отчетов о тесте на проникновение) 2010 При массовой рассылке (фишинговая атака) – из 150 целей получено 20 паролей сотрудников компании (13,33%), кроме того почтовый сервер разрешил подобную массовую рассылку от имени одного из сотрудников Заказчика (начальника департамента ИТ). 2011 Многие сотрудники компании не имеют представления о фишинговых атаках и не сумели их идентифицировать. Реактивные действия соответствующих подразделений не сумели предотвратить развитие атаки. Через сутки после проведения атаки пароли не сменили 14 пользователей. Через 6 дней - 10 пользователей. В результате сбора информации с почтовых ящиков было получено множество конфиденциальных данных. 2012 При массовой рассылке (фишинговая атака) из 120 целей получено около 30 паролей сотрудников компании (25%). Данные пароли также давали возможность дополнительно авторизоваться на корпоративных ресурсах. 2012 При массовой рассылке (фишинговая атака) из 900 целей зарегистрировано 110 вводов паролей сотрудников компании (12%). 30% сотрудников компании раскрыли конфиденциальную информацию по телефону входе осуществления звонков. 12.10.2012 © Владимир Ткаченко, CISA 2
  • 3. Мамо, шо маю робити? – Security awareness, доню! ЧТО ТАКОЕ программа повышения осведомленности персонала (пользователей) в вопросах ИБ? Программа повышения осведомленности это – комплекс мероприятий направленный на противодействие угрозам и уязвимостям ИБ. Зачем? 1) См. слайд выше - предотвратить риски утечки, хищения, информации (потеря конфиденциальности); 2) Предотвратить несанкционированные действия по модификации, копированию информации (потеря целостности); 3) Снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности компании; 4) Обеспечить понимание персоналом своих обязанностей по информационной безопасности и внедрить «модель поведения» при инцидентах ИБ; 5) Принятие новых нормативных актов (напр., Закон о ПДн), изменение политик и/или технологий в области ИБ, изменение бизнес процессов, работа с персоналом третьей компании, новый менеджмент … Как? NIST SP800-50 Building an The New User’s Guide: How Information Technology to raise information security Security Awareness and awareness (Nov 2010) Training Program (Oct 2003) 70! 140 !!!!! 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 3
  • 4. Этапы реализации программы Этап I – Обоснование и планирование (Plan & Assess) Оценить тематику и Сланировать Назначить ответственных Определить участников потенциальные Получить бюджет внедрение (составить за реализацию и аудиторию решения План реализации) Этап II – Реализация и управление программой (Execute & Manage) Подготовить мероприятия и Определить средства доставки Провести мероприятия по Документировать полученные материалы информации программе результаты (за период действия) Этап III – Оценка эффективности и корректирующие действия (Evaluate & Adjust) Провести оценку эффективности Скорректировать тематику и цели Скорректировать программу по Реализовать скорректированные мероприятий (если необходимо) результатам оценки мероприятия 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 4
  • 5. Элементы программы повышения осведомленности  Плакаты (постеры) – в присутственных местах (кухни, коридоры, шкафы, стены в помещении)  Скринсейверы (на рабочих станциях), баннеры на корпоративном сайте /портале  Сообщения при загрузке и/или выключении компьютера  Комиксы (статические картинки с сюжетом по теме ИБ)  Флеш – мультики  Флеш-игры  Видеоролики  Средства канцелярской наглядной агитации (ручки, степлеры, дыроколы, внешние носители, стикеры и пр)  Тесты, конкурсы, презентации, интерактивное обучение  Все что еще вы сможете придумать для внедрения идей (положений) ИБ в компании (расстрел пейнтбольными шариками нарушителей политики чистого стола и т. п.) 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 5
  • 6. Элементы программы пример плакатов 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 6
  • 7. Элементы программы пример плакатов 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 7
  • 8. Элементы программы пример плакатов 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 8
  • 9. Элементы программы пример комикса 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 9
  • 10. Элементы программы пример комикса (продолжение) 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 10
  • 11. Элементы программы пример флеш мульта 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 11
  • 12. Элементы программы пример видеоролика 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 12
  • 13. Элементы программы пример канцелярии 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 13
  • 14. Средства доставки контента персоналу • Корпоративный Web-портал • Корпоративный Web-сайт (раздел или страничка по ИБ) • Сообщение ОС на сетевую папку с контентом • Авторан на сетевую папку с контентом • Размещение контента в местах частого присутствия персонала (кухни, комнаты для переговоров и т. п.) • Демонстрация роликов на плазменных панелях, экранах 12.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 14
  • 15. Методы оценки эффективности • КPI (Key Performance Indicators) • KRI (Key Risk Indicators) • Benchmarking (внешний напр. при аудите) Способы оценки эффективности: • анкетная оценка (метод выборочного интервью с участниками программы); • результаты тестов персонала по тематике ИБ; • адекватное финансирование программы; • уровень посещаемости инструктажей ИБ; • наличие конкурсов, награжденных призами …; • наличие каналов доставки контента (WEB, TV, E-mail…) 12.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15
  • 16. Команда реализующая программу Кто ?  Отдел кадров (НR) – непосредственное участие в реализации программы (организация и проведение тренингов, анализ результатов, контроль за проведением и т.п.)  Отдел ИБ (CISO) - согласование тематики, участие в инструктажах, презентациях и в оценке эффективности  Бухгалтерия (фин планирование) (CFO) – бюджетирование и контроль расходов  Отдел маркетинга (СМО) – ТОЛЬКО согласование корпоративного стиля в макетах материалов !!!!  Отдел ИТ (CIO) – только консалтинг по актуализации тем и организация доставки контента 12.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16