Click to edit Master title style

Человек – самое слабое звено. Что делать?

Человек – самое слабое звено. Что делать?

Лаборатория Касперского

Лаборатория защиты информации от внутренних угроз

Вера Трубачева

Лаборатория Касперского

Лаборатория защиты информации от внутренних угроз

Вера Трубачева

Click to edit Master title style

Стр. 2 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Угадайте, что это?

12345

11111

qwerty

asdf

Click to edit Master title style

Стр. 3 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Угадайте, что это?

Click to edit Master title style

О чем поговоримО чем поговорим

• Что такое осведомленность пользователей в ИБ?

• Зачем это нужно?

• Как этого достичь?

• Что такое осведомленность пользователей в ИБ?

• Зачем это нужно?

• Как этого достичь?

Click to edit Master title style

Стр. 5 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Что такое осведомленность?

регламент + обучение + культура безопасности

регламент без обучения -

Click to edit Master title style

Стр. 6 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Зачем нужна осведомленность?

1. Этого требует закон

СТО БР ИББС

ГОСТ Р

ИСО/МЭК 27001-

2006PCI DSS FISMA

HIPAA

GLBA

SOX

NIST 800-53

ISO/IEC 27001 & 27002

см. Приложение 1

ФСТЕК

Click to edit Master title style

Стр. 7 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Зачем нужна осведомленность?

2. Защитить самое слабое звено в безопасности – человека

Click to edit Master title style

Стр. 8 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Зачем нужна осведомленность?

2. Защитить самое слабое звено в безопасности – человека

90%

60%человеческий

факторслучайные ошибки

(InfoWatch)

участие пользователя

(Symantec)

Инциденты безопасности

успешных атак направлены на

человека(Mandiant)

Click to edit Master title style

Стр. 9 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Зачем нужна осведомленность?

Click to edit Master title style

Стр. 10 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Зачем нужна осведомленность?

3. Предотвратить непредвиденные огромные затраты

$7,2 млн. за утечку в 2010

$56,165 тыс. за потерянный ноутбук в 2010

Click to edit Master title style

Стр. 11 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

С чего начать?

Определите границы задачи

Click to edit Master title style

Стр. 12 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Что? Где? Когда?

Знайте свои данные

Click to edit Master title style

Стр. 13 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

А первый кто?

Убедите топ менеджмент

Минимальные средства для больших результатов

см. Приложение 2

Click to edit Master title style

Стр. 14 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Как мерить?

Измеряйте осознанность ДО и ПОСЛЕ

Click to edit Master title style

Стр. 15 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Чему учить?

1. ЛИКБЕЗ по ИБ

2. Корпоративные политики и почему они такие

3. Как реагировать и сообщать об инциденте

См Приложение 3

Click to edit Master title style

Стр. 16 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Как учить?

2 2x

Click to edit Master title style

Стр. 17 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Как учить?

Я слышу и я забываю

Я вижу и я помню

Я делаю и я понимаю

Конфуций

Click to edit Master title style

Стр. 18 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Как учить?

См Приложение 4

Click to edit Master title style

Стр. 19 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Как учить?

Люди должны понимать зачем ОНИ должны это делать?

Click to edit Master title style

Стр. 20 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Как мотивировать?

Используйте кнуты и пряники пропорционально степени тяжести нарушения

Click to edit Master title style

Стр. 21 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Программа минимум

Уходя, блокируйте компьютер

Не рассказывайте пароли. Если рассказали – смените пароль

Используйте шредер для уничтожения печатных секретов

Проверяйте флешки на вирусы перед использованием

Проверяйте источник запроса конф. информации

Зашифруйте секретную информацию при копировании на флешку

Не размещайте конф данные в социальных сетях

Не посылайте секретные данные через веб почту вне корпоративной сети

Проверьте список получателей перед рассылкой секретных данных дважды

Click to edit Master title style

Стр. 22 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Заключение

1. Осведомленность пользователей важна и нужна

2. Как ее достичь:

Определите цели

Объясните зачем ИМ это нужно

Click to edit Master title style

Спасибо за внимание! Будьте безопасны!

Спасибо за внимание! Будьте безопасны!

Лаборатория Касперского

Лаборатория защиты информации от внутренних угроз

Вера Трубачева

Человек – самое слабое звено. Что делать?

Click to edit Master title style

Стр. 24 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Как DLP может повышать осведомленность?

Адаптивное обучение в ответ на нарушение

Click to edit Master title style

Стр. 25 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Как юридически заставить соблюдать регламент?

Click to edit Master title style

Стр. 26 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Приложение 1:

Зачем это нужно? Чтобы соответствовать законам:

1. Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)

2. ГОСТ Р ИСО/МЭК 27001-2006 (= ISO/IEC 27001)3. Payment Card Industry Data Security Standard (PCI DSS)4. Federal Information System Security Managers Act (FISMA)5. Health Insurance Portability and Accountability Act (HIPAA)6. Gramm-Leach-Bliley Act (GLBA)7. Sarbanes-Oxley Act (SOX)8. EU Data Protection Directive9. National Institute of Standards and Technology (NIST 800-53)10. International Organization for Standardization: ISO/IEC 27001 & 2700211. Control Objectives for Information and Related Technology (CoBiT 4.1)12. Red Flag Identity Theft Prevention13. Personal Information Protection and Electronic Documents Act (PIPEDA)14. Management of Federal Information Resources (OMB Circular A-130)15. Some state breach notification laws (ie Massachusetts 201 CMR 17.00)

Click to edit Master title style

Стр. 27 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Приложение 2

Как убедить топ менеджмент, что это необходимо? Расскажите им:

1.Реальные истории утечек и их последствия ($):

• DataLossDB

• The Breach Blog

• Chronology of Data Breaches

• Laptop Losers Hall of Shame

• The Register 

• Блог InfoWatch

• Anti-Malware про утечки

2.Результаты опросов их сотрудников (как мало они знают!): пример1, пример2

3.Требования законодательства

Click to edit Master title style

Page 28

Приложение 3

Чему учить сотрудников? Темы для всех:

• Секретные данные

1. Социальные сети

2. Мобильные устройства

3. Работа с ноутбуком в командировке

4. Пароли

5. Проверка источника запроса секретных данных

6. Соблюдение законов (как и зачем)

7. Практики безопасности при работе с компьютером

8. Email этикет

9. Чистый рабочий стол

10. Инциденты

11. Персональное использование систем дома и на работе

Click to edit Master title style

Page 29

Приложение 3

Чему учить сотрудников? Темы для разработчиков и сисадминов:

• Как писать безопасный код

• Как тестировать код на предмет безопасности

• Как интегрировать сервисы безопасности компании (аутентификация, авторизация, шифрование) вместо изобретения колеса каждый раз

• Практики управление паролями

• Как обрабатывать секретные данные сотрудников и заказчиков

Click to edit Master title style

Page 30

Приложение 3

Чему учить сотрудников? Темы для топ менеджмента: должны понимать, что программа повышения осведомленности пользователей необходима для поддержки качественной и долговечной программы информационной безопасности. + ЛИКБЕЗ на равне со всеми

Click to edit Master title style

Стр. 31 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Приложение 4

Как учить сотрудников:

• Обязательное обучение политикам безопасности (мин. раз в год)

• Обучение новичков

• Периодическое информирование через почту и сайт компании

• Сообщения (на ручках, брелоках, липких листочках, блокнотах, закладках, часах и т.д.)

• Постеры, чек листы, листовки

• Скринсейверы , баннеры, сообщения на рабочий стол

• Сессии через web / компьютер / телеконференции

• Персональные сессии

• Ролевые игры (тест кейсы)

• Дни информационной безопасности

• Календарь на стену с ежемесячными подсказками

• Кроссворды

• Поощрительные программы (письменная благодарность, доска почета)

Click to edit Master title style

Стр. 32 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Кто может помочь?

Ресурсы

• CERT

• Ponemon Institute

• ISSA

• The university of Arizona

• NIST SP 800-50 and NIST SP 800-16

• SANS (presentations, Security Awareness Newsletters, training)

• InfoSecurityLab (постеры, обои и скринсейверы, листовки)

• Информзащита, Софтброкер - обучение

Click to edit Master title style

Стр. 33 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL

Как классифицировать информацию?

A. Узнайте свои IT ресурсы:

Индивидуальные файлы Классы файлов Рабочие станции Приложения Базы данных IT сервисы Устройства

B. Узнайте владельцев данных -> узнайте пользователей

C. Классифицируйте данные:

Публичные Только для внутреннего использования Конфиденциально Совершенно секретно