Оценка осведомленности в области ИБ
Продукт снят с продаж.
Для получения консультации по подбору аналогичного продукта обратитесь через онлайн-консультант, форму обратной связи или отправьте письмо по электронной почте на адрес info@datasystem.ru
Ошибки сотрудников являются одним из наиболее распространенных источников угроз информационной безопасности. Для снижения рисков, связанных с "человеческим фактором" используются различные технические и административные механизмы защиты, одним из которых является повышение осведомленности сотрудников в области ИБ. Подобные работы обычно имеют высокую стоимость, однако оценить их эффективность достаточно сложно.
Наиболее эффективным методом является проведение серии согласованных с Заказчиком атак, эмулирующих реальную деятельность злоумышленников и отслеживание реакции пользователей на них. Подобный метод, в совокупности с последующим доведением до сотрудников информации о допущенных ими просчетах позволяет не только получить независимую оценку эффективности программы повышения осведомленности в области ИБ, но и устранить обнаруженные пробелы.
В зависимости от содержания программы повышения осведомленности для взаимодействия с тестируемыми сотрудниками могут использоваться различные каналы, такие как система электронной почты, личные встречи, телефон, популярные Web-сайты, системы мгновенного обмена сообщениями и т.д.
Проводимые проверки позволяет оценить эффективность противодействия пользователей следующим типам атак:
- использование популярных социотехник;
- распространение вирусов или сетевых червей;
- использование уязвимостей программного обеспечения пользователей (браузера и т.д.);
- целевое заражение системы троянской программой с использованием социальной инженерии и уязвимостей программного обеспечения;
- различные типы мошеннических действий;
- атаки типа "фишинг".
В зависимости от требований заказчика набор проводимых тестов может быть расширен или изменен, чтобы адекватно отображать содержание нормативно-правовое обеспечение ИБ, принятого у Заказчика и содержание программы повышения осведомленности.
В общем случае порядок проведения работ следующий:
- Совместный с Заказчиком сбор информации о присутствии сотрудников в сети Internet. Получение списка адресов электронной почты, номеров IM, посещаемых сотрудниками форумов и т.д.
- Согласование списка проводимых проверок и групп тестируемых пользователей с Заказчиком.
- Адаптация программного обеспечения под особенности системы обеспечения информационной безопасности Заказчика.
- Проведение тестовой рассылки по выделенной группе лиц с целью определения корректности сбора статистики.
- Проведение массовой рассылки сообщений.
- Сбор статистики.
- Обработка результатов и разработка отчета по результатам работ.
Полученные в ходе работ данные документируются и анализируются для выработки рекомендаций по повышению защищенности сети.
Результатом работы будет являться отчет, содержащий:
- оценку эффективности программы повышения осведомленности;
- статистику по каждому из типов атаки и действиям пользователей;
- информацию о сотрудниках, ненадлежащим образом выполняющих требования по обеспечению ИБ.
Эта информация может использоваться для:
- Обоснования необходимости повышения осведомленности сотрудников.
- Проверки выполнения требований обеспечения информационной безопасности.
- Выявления недостатков реализуемой у Заказчика программы повышения осведомленности.
- Идентификация сотрудников, ненадлежащим образом выполняющих требования по обеспечению ИБ.
- Определение направлений по повышению эффективности комплекса мер по повышению осведомленности.
- Повышение ответственности сотрудников путем использования полученных данных (примеров атак, статистики, основных ошибок) в материалах программы повышения осведомленности.
Логическим продолжением комплексного аудита ИБ являются работы:
- Внедрение системы управления ИБ (СУИБ)
- Мониторинг защищенности периметра корпоративной сети
- Проектирование и внедрение системы управления уровнем защищенности