госзакупки

Оценка осведомленности в области ИБ

Спец. цены
Для снижения рисков, связанных с "человеческим фактором" используются различные технические и административные механизмы защиты, одним из которых является повышение осведомленности сотрудников в области ИБ. Подобные работы обычно имеют высокую стоимость, однако оценить их эффективность достаточно сложно.
Варианты покупки
*Оценка осведомленности в области ИБ
Заказать услугу: Оценка эффективности программы повышения осведомленности в области ИБ
0.00
руб.

Подробное описание

Продукт снят с продаж.

Для получения консультации по подбору аналогичного продукта обратитесь через онлайн-консультант, форму обратной связи или отправьте письмо по электронной почте на адрес info@datasystem.ru

Ошибки сотрудников являются одним из наиболее распространенных источников угроз информационной безопасности. Для снижения рисков, связанных с "человеческим фактором" используются различные технические и административные механизмы защиты, одним из которых является повышение осведомленности сотрудников в области ИБ. Подобные работы обычно имеют высокую стоимость, однако оценить их эффективность достаточно сложно.
 
Наиболее эффективным методом является проведение серии согласованных с Заказчиком атак, эмулирующих реальную деятельность злоумышленников и отслеживание реакции пользователей на них. Подобный метод, в совокупности с последующим доведением до сотрудников информации о допущенных ими просчетах позволяет не только получить независимую оценку эффективности программы повышения осведомленности в области ИБ, но и устранить обнаруженные пробелы.
 
В зависимости от содержания программы повышения осведомленности для взаимодействия с тестируемыми сотрудниками могут использоваться различные каналы, такие как система электронной почты, личные встречи, телефон, популярные Web-сайты, системы мгновенного обмена сообщениями и т.д.
 
Проводимые проверки позволяет оценить эффективность противодействия пользователей следующим типам атак:

  • использование популярных социотехник;
  • распространение вирусов или сетевых червей;
  • использование уязвимостей программного обеспечения пользователей (браузера и т.д.);
  • целевое заражение системы троянской программой с использованием социальной инженерии и уязвимостей программного обеспечения;
  • различные типы мошеннических действий;
  • атаки типа "фишинг".

В зависимости от требований заказчика набор проводимых тестов может быть расширен или изменен, чтобы адекватно отображать содержание нормативно-правовое обеспечение ИБ, принятого у Заказчика и содержание программы повышения осведомленности.


В общем случае порядок проведения работ следующий:

  • Совместный с Заказчиком сбор информации о присутствии сотрудников в сети Internet. Получение списка адресов электронной почты, номеров IM, посещаемых сотрудниками форумов и т.д.
  • Согласование списка проводимых проверок и групп тестируемых пользователей с Заказчиком.
  • Адаптация программного обеспечения под особенности системы обеспечения информационной безопасности Заказчика.
  • Проведение тестовой рассылки по выделенной группе лиц с целью определения корректности сбора статистики.
  • Проведение массовой рассылки сообщений.
  • Сбор статистики.
  • Обработка результатов и разработка отчета по результатам работ.

Полученные в ходе работ данные документируются и анализируются для выработки рекомендаций по повышению защищенности сети.


Результатом работы будет являться отчет, содержащий:

  • оценку эффективности программы повышения осведомленности;
  • статистику по каждому из типов атаки и действиям пользователей;
  • информацию о сотрудниках, ненадлежащим образом выполняющих требования по обеспечению ИБ.

Эта информация может использоваться для:

  • Обоснования необходимости повышения осведомленности сотрудников.
  • Проверки выполнения требований обеспечения информационной безопасности.
  • Выявления недостатков реализуемой у Заказчика программы повышения осведомленности.
  • Идентификация сотрудников, ненадлежащим образом выполняющих требования по обеспечению ИБ.
  • Определение направлений по повышению эффективности комплекса мер по повышению осведомленности.
  • Повышение ответственности сотрудников путем использования полученных данных (примеров атак, статистики, основных ошибок) в материалах программы повышения осведомленности.


Логическим продолжением комплексного аудита ИБ являются работы:

  • Внедрение системы управления ИБ (СУИБ)
  • Мониторинг защищенности периметра корпоративной сети
  • Проектирование и внедрение системы управления уровнем защищенности

Техника

     
     
     
     
     
   

Интернет-магазин Adobe.Datasystem.ru: поставка лицензионного программного обеспечения Adobe
На сайте используются материалы корпоративного веб-сайта Adobe www.Adobe.com.
Все права и торговые марки принадлежат компании Adobe

 
x
x
x
x

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.