View
1.826
Download
3
Category
Preview:
DESCRIPTION
http://www.risc.today/
Citation preview
1
Повышение осведомлённости
пользователей по вопросам ИБ
2
Митюшов Алексей Николаевич
заместитель директора департамента ИТ
по информационной безопасности
ООО «Аэроэкспресс»
3
Повышение осведомлённости пользователей
3
• Фискальный регистратор • Сканер штрих кодов • Бесконтактный считыватель карт • Банковский POS-терминал • Чековый термопринтер
СОСТАВ АРМ БК: ЗАЧЕМ???
4
Пирамида «Элементы ИБ»
ЛЮДИ
БИЗНЕС-ПРОЦЕССЫ
ТЕХНОЛОГИИ
Персонал и
руководство
IT, средства связи и т.п.
5
СТАТИСТИКА ПО НАРУШЕНИЯМ ИБ
5
• Фискальный регистратор • Сканер штрих кодов • Бесконтактный считыватель карт • Банковский POS-терминал • Чековый термопринтер
СОСТАВ АРМ БК:
Более, чем в 70 % случаев нарушения ИБ
связаны с человеческим фактором
Основная причина – это незнание и
неосведомлённость пользователей
(43 % случаев)
6
НЕ ОСВЕДОМЛЁН = ПОТЕНЦИАЛЬНЫЙ
НАРУШИТЕЛЬ
Организация работы кассира:
7
• Эргономичный интерфейс • Поддержка нескольких языков • Голосовая помощь • Продажа широкого спектра проездных
документов: • тарифов (кроме метро и
льготников) • Удобный купюро -приемник,
поддержка оплаты пластиковыми картами
• Мониторинг работы
Билетный автомат:
Соблюдение законодательных и отраслевых
требований – одна из целей
информационной безопасности
8
152 ФЗ «О Персональных данных»
98 ФЗ «О Коммерческой тайне»
Отраслевые требования банковской сферы
Стандарты PSI DSS, ISO 27001
ЗАКОНОДАТЕЛЬНЫЕ И ОТРАСЛЕВЫЕ
ТРЕБОВАНИЯ Турникетная линия
9
1. Краткий инструктаж и знакомство с основными
документами по ИБ при приёме на работу
2. Внутреннее обучение и тренинги сотрудников
3. Внешнее обучение сотрудников
4. Внутренний интранет-портал - база знаний
5. Информационные рассылки по электронной почте
6. Личная беседа ответственного за ИБ,
консультации, помощь
7. Агитация
ПРАКТИЧЕСКИЕ МЕТОДЫ ПОВЫШЕНИЯ
ОСВЕДОМЛЕННОСТИ ПОЛЬЗОВАТЕЛЕЙ www.aeroexpress.ru
10
Краткий инструктаж и знакомство с
основными документами по ИБ при
приёме на работу
Мобильное рабочее место кассира
• доступы • К
Политика СМИБ
(ISMS – ISO 27001:2013)
Политики ИБ
Частные инструкции и
процедуры
Инструктаж при
подключении
пользователя к
информационным
системам
11
Внутреннее обучение и тренинги
сотрудников
Курс «Основы ИБ» (презентация)
Для новых сотрудников - 2-3 раза в год
Для сотрудников и исполнительного аппарата –
1 раз в год
Для ТОП-менеджеров – 1 раз в год,
ежемесячное информирование
и доклад в рамках «Комитета по ИБ»
12
Внешнее обучение сотрудников
Территориально-распределённая иерархическая легко расширяемая инфраструктура с прозрачным многоуровневым централизованным управлением
В учебных центрах
В рамках конференций, семинаров и т.д.
В рамках лекций- тренингов и мастер-классов
(внешние эксперты по ИБ)
13
Перечень
основных
документов по ИБ
Краткая
информация по
правилам ИБ
Тесты на знание
правил и
документов ИБ
Внутренний интранет-портал - база знаний
14
Информационные рассылки по
электронной почте
Периодическое
новостное
информирование по
тематике ИБ
Информационные
рассылки в случаях
возникновения
серьёзных инцидентов
ИБ
15
Основные принципы при беседе:
• Доброжелательность
• Честность
• Открытость
Личная беседа ответственного за ИБ,
консультации, помощь
16
Пропагандистские
плакаты по
информационной
безопасности
Корпоративные
заставки и скрин
серверы
Различная канцелярия
и сувенирная
продукция
Материалы предоставлены ЗАО НПП «Эшелон»
Агитация
17
Вопросы?
Спасибо за внимание!
Recommended