1

Повышение осведомлённости

пользователей по вопросам ИБ

2

Митюшов Алексей Николаевич

заместитель директора департамента ИТ

по информационной безопасности

ООО «Аэроэкспресс»

3

Повышение осведомлённости пользователей

3

• Фискальный регистратор • Сканер штрих кодов • Бесконтактный считыватель карт • Банковский POS-терминал • Чековый термопринтер

СОСТАВ АРМ БК: ЗАЧЕМ???

4

Пирамида «Элементы ИБ»

ЛЮДИ

БИЗНЕС-ПРОЦЕССЫ

ТЕХНОЛОГИИ

Персонал и

руководство

IT, средства связи и т.п.

5

СТАТИСТИКА ПО НАРУШЕНИЯМ ИБ

5

• Фискальный регистратор • Сканер штрих кодов • Бесконтактный считыватель карт • Банковский POS-терминал • Чековый термопринтер

СОСТАВ АРМ БК:

Более, чем в 70 % случаев нарушения ИБ

связаны с человеческим фактором

Основная причина – это незнание и

неосведомлённость пользователей

(43 % случаев)

6

НЕ ОСВЕДОМЛЁН = ПОТЕНЦИАЛЬНЫЙ

НАРУШИТЕЛЬ

Организация работы кассира:

7

• Эргономичный интерфейс • Поддержка нескольких языков • Голосовая помощь • Продажа широкого спектра проездных

документов: • тарифов (кроме метро и

льготников) • Удобный купюро -приемник,

поддержка оплаты пластиковыми картами

• Мониторинг работы

Билетный автомат:

Соблюдение законодательных и отраслевых

требований – одна из целей

информационной безопасности

8

152 ФЗ «О Персональных данных»

98 ФЗ «О Коммерческой тайне»

Отраслевые требования банковской сферы

Стандарты PSI DSS, ISO 27001

ЗАКОНОДАТЕЛЬНЫЕ И ОТРАСЛЕВЫЕ

ТРЕБОВАНИЯ Турникетная линия

9

1. Краткий инструктаж и знакомство с основными

документами по ИБ при приёме на работу

2. Внутреннее обучение и тренинги сотрудников

3. Внешнее обучение сотрудников

4. Внутренний интранет-портал - база знаний

5. Информационные рассылки по электронной почте

6. Личная беседа ответственного за ИБ,

консультации, помощь

7. Агитация

ПРАКТИЧЕСКИЕ МЕТОДЫ ПОВЫШЕНИЯ

ОСВЕДОМЛЕННОСТИ ПОЛЬЗОВАТЕЛЕЙ www.aeroexpress.ru

10

Краткий инструктаж и знакомство с

основными документами по ИБ при

приёме на работу

Мобильное рабочее место кассира

• доступы • К

Политика СМИБ

(ISMS – ISO 27001:2013)

Политики ИБ

Частные инструкции и

процедуры

Инструктаж при

подключении

пользователя к

информационным

системам

11

Внутреннее обучение и тренинги

сотрудников

Курс «Основы ИБ» (презентация)

Для новых сотрудников - 2-3 раза в год

Для сотрудников и исполнительного аппарата –

1 раз в год

Для ТОП-менеджеров – 1 раз в год,

ежемесячное информирование

и доклад в рамках «Комитета по ИБ»

12

Внешнее обучение сотрудников

Территориально-распределённая иерархическая легко расширяемая инфраструктура с прозрачным многоуровневым централизованным управлением

В учебных центрах

В рамках конференций, семинаров и т.д.

В рамках лекций- тренингов и мастер-классов

(внешние эксперты по ИБ)

13

Перечень

основных

документов по ИБ

Краткая

информация по

правилам ИБ

Тесты на знание

правил и

документов ИБ

Внутренний интранет-портал - база знаний

14

Информационные рассылки по

электронной почте

Периодическое

новостное

информирование по

тематике ИБ

Информационные

рассылки в случаях

возникновения

серьёзных инцидентов

ИБ

15

Основные принципы при беседе:

• Доброжелательность

• Честность

• Открытость

Личная беседа ответственного за ИБ,

консультации, помощь

16

Пропагандистские

плакаты по

информационной

безопасности

Корпоративные

заставки и скрин

серверы

Различная канцелярия

и сувенирная

продукция

Материалы предоставлены ЗАО НПП «Эшелон»

Агитация

17

Вопросы?

Спасибо за внимание!