Человек - самое слабое звено. Что делать?
DESCRIPTION
Мы вкладываем немалые деньги в DLP, фаерволы, анти-вирусы и другие технологии информационной защиты, но продолжаем страдать от утечек, взломов, причем ситуация становится все хуже и хуже. Что не так? Человек -- самое слабое звено в ИБ. Можно тратить огромные средства на безопасность, но если конечные пользователи не понимают, что это такое, зачем это нужно, как это касается непосредственно их, все усилия тщетны. Мы рассматрим осведомленность пользователей в области ИБ (user awareness) как самостоятельное защитное средство и содержит описание всех необходимых шагов для его внедрения на практическом уровне в любой организации. Выступающий: Трубачева Вера, системный аналитик, Отдел защиты информации от внутренних угроз, Лаборатория Касперского Related links: http://www.youtube.com/watch?v=Vr8lmIhc0pk - "Humans Are The Weakest Link -- How DLP Can Help" performance of DLP Research, Kaspersky Lab at Security Analyst Summit 2012TRANSCRIPT
![Page 1: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/1.jpg)
Click to edit Master title style
Человек – самое слабое звено. Что делать?
Человек – самое слабое звено. Что делать?
Лаборатория Касперского
Лаборатория защиты информации от внутренних угроз
Вера Трубачева
Лаборатория Касперского
Лаборатория защиты информации от внутренних угроз
Вера Трубачева
![Page 2: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/2.jpg)
Click to edit Master title style
Стр. 2 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Угадайте, что это?
12345
11111
qwerty
asdf
![Page 3: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/3.jpg)
Click to edit Master title style
Стр. 3 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Угадайте, что это?
![Page 4: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/4.jpg)
Click to edit Master title style
О чем поговоримО чем поговорим
• Что такое осведомленность пользователей в ИБ?
• Зачем это нужно?
• Как этого достичь?
• Что такое осведомленность пользователей в ИБ?
• Зачем это нужно?
• Как этого достичь?
![Page 5: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/5.jpg)
Click to edit Master title style
Стр. 5 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Что такое осведомленность?
регламент + обучение + культура безопасности
регламент без обучения -
![Page 6: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/6.jpg)
Click to edit Master title style
Стр. 6 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Зачем нужна осведомленность?
1. Этого требует закон
СТО БР ИББС
ГОСТ Р
ИСО/МЭК 27001-
2006PCI DSS FISMA
HIPAA
GLBA
SOX
NIST 800-53
ISO/IEC 27001 & 27002
см. Приложение 1
ФСТЕК
![Page 7: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/7.jpg)
Click to edit Master title style
Стр. 7 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Зачем нужна осведомленность?
2. Защитить самое слабое звено в безопасности – человека
![Page 8: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/8.jpg)
Click to edit Master title style
Стр. 8 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Зачем нужна осведомленность?
2. Защитить самое слабое звено в безопасности – человека
90%
60%человеческий
факторслучайные ошибки
(InfoWatch)
участие пользователя
(Symantec)
Инциденты безопасности
успешных атак направлены на
человека(Mandiant)
![Page 9: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/9.jpg)
Click to edit Master title style
Стр. 9 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Зачем нужна осведомленность?
![Page 10: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/10.jpg)
Click to edit Master title style
Стр. 10 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Зачем нужна осведомленность?
3. Предотвратить непредвиденные огромные затраты
$7,2 млн. за утечку в 2010
$56,165 тыс. за потерянный ноутбук в 2010
![Page 11: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/11.jpg)
Click to edit Master title style
Стр. 11 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
С чего начать?
Определите границы задачи
![Page 12: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/12.jpg)
Click to edit Master title style
Стр. 12 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Что? Где? Когда?
Знайте свои данные
![Page 13: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/13.jpg)
Click to edit Master title style
Стр. 13 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
А первый кто?
Убедите топ менеджмент
Минимальные средства для больших результатов
см. Приложение 2
![Page 14: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/14.jpg)
Click to edit Master title style
Стр. 14 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Как мерить?
Измеряйте осознанность ДО и ПОСЛЕ
![Page 15: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/15.jpg)
Click to edit Master title style
Стр. 15 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Чему учить?
1. ЛИКБЕЗ по ИБ
2. Корпоративные политики и почему они такие
3. Как реагировать и сообщать об инциденте
См Приложение 3
![Page 16: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/16.jpg)
Click to edit Master title style
Стр. 16 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Как учить?
2 2x
![Page 17: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/17.jpg)
Click to edit Master title style
Стр. 17 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Как учить?
Я слышу и я забываю
Я вижу и я помню
Я делаю и я понимаю
Конфуций
![Page 18: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/18.jpg)
Click to edit Master title style
Стр. 18 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Как учить?
См Приложение 4
![Page 19: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/19.jpg)
Click to edit Master title style
Стр. 19 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Как учить?
Люди должны понимать зачем ОНИ должны это делать?
![Page 20: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/20.jpg)
Click to edit Master title style
Стр. 20 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Как мотивировать?
Используйте кнуты и пряники пропорционально степени тяжести нарушения
![Page 21: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/21.jpg)
Click to edit Master title style
Стр. 21 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Программа минимум
Уходя, блокируйте компьютер
Не рассказывайте пароли. Если рассказали – смените пароль
Используйте шредер для уничтожения печатных секретов
Проверяйте флешки на вирусы перед использованием
Проверяйте источник запроса конф. информации
Зашифруйте секретную информацию при копировании на флешку
Не размещайте конф данные в социальных сетях
Не посылайте секретные данные через веб почту вне корпоративной сети
Проверьте список получателей перед рассылкой секретных данных дважды
![Page 22: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/22.jpg)
Click to edit Master title style
Стр. 22 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Заключение
1. Осведомленность пользователей важна и нужна
2. Как ее достичь:
Определите цели
Объясните зачем ИМ это нужно
![Page 23: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/23.jpg)
Click to edit Master title style
Спасибо за внимание! Будьте безопасны!
Спасибо за внимание! Будьте безопасны!
Лаборатория Касперского
Лаборатория защиты информации от внутренних угроз
Вера Трубачева
Человек – самое слабое звено. Что делать?
![Page 24: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/24.jpg)
Click to edit Master title style
Стр. 24 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Как DLP может повышать осведомленность?
Адаптивное обучение в ответ на нарушение
![Page 25: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/25.jpg)
Click to edit Master title style
Стр. 25 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Как юридически заставить соблюдать регламент?
![Page 26: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/26.jpg)
Click to edit Master title style
Стр. 26 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Приложение 1:
Зачем это нужно? Чтобы соответствовать законам:
1. Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС)
2. ГОСТ Р ИСО/МЭК 27001-2006 (= ISO/IEC 27001)3. Payment Card Industry Data Security Standard (PCI DSS)4. Federal Information System Security Managers Act (FISMA)5. Health Insurance Portability and Accountability Act (HIPAA)6. Gramm-Leach-Bliley Act (GLBA)7. Sarbanes-Oxley Act (SOX)8. EU Data Protection Directive9. National Institute of Standards and Technology (NIST 800-53)10. International Organization for Standardization: ISO/IEC 27001 & 2700211. Control Objectives for Information and Related Technology (CoBiT 4.1)12. Red Flag Identity Theft Prevention13. Personal Information Protection and Electronic Documents Act (PIPEDA)14. Management of Federal Information Resources (OMB Circular A-130)15. Some state breach notification laws (ie Massachusetts 201 CMR 17.00)
![Page 27: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/27.jpg)
Click to edit Master title style
Стр. 27 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Приложение 2
Как убедить топ менеджмент, что это необходимо? Расскажите им:
1.Реальные истории утечек и их последствия ($):
• DataLossDB
• The Breach Blog
• Chronology of Data Breaches
• Laptop Losers Hall of Shame
• The Register
• Блог InfoWatch
• Anti-Malware про утечки
2.Результаты опросов их сотрудников (как мало они знают!): пример1, пример2
3.Требования законодательства
![Page 28: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/28.jpg)
Click to edit Master title style
Page 28
Приложение 3
Чему учить сотрудников? Темы для всех:
• Секретные данные
1. Социальные сети
2. Мобильные устройства
3. Работа с ноутбуком в командировке
4. Пароли
5. Проверка источника запроса секретных данных
6. Соблюдение законов (как и зачем)
7. Практики безопасности при работе с компьютером
8. Email этикет
9. Чистый рабочий стол
10. Инциденты
11. Персональное использование систем дома и на работе
![Page 29: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/29.jpg)
Click to edit Master title style
Page 29
Приложение 3
Чему учить сотрудников? Темы для разработчиков и сисадминов:
• Как писать безопасный код
• Как тестировать код на предмет безопасности
• Как интегрировать сервисы безопасности компании (аутентификация, авторизация, шифрование) вместо изобретения колеса каждый раз
• Практики управление паролями
• Как обрабатывать секретные данные сотрудников и заказчиков
![Page 30: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/30.jpg)
Click to edit Master title style
Page 30
Приложение 3
Чему учить сотрудников? Темы для топ менеджмента: должны понимать, что программа повышения осведомленности пользователей необходима для поддержки качественной и долговечной программы информационной безопасности. + ЛИКБЕЗ на равне со всеми
![Page 31: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/31.jpg)
Click to edit Master title style
Стр. 31 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Приложение 4
Как учить сотрудников:
• Обязательное обучение политикам безопасности (мин. раз в год)
• Обучение новичков
• Периодическое информирование через почту и сайт компании
• Сообщения (на ручках, брелоках, липких листочках, блокнотах, закладках, часах и т.д.)
• Постеры, чек листы, листовки
• Скринсейверы , баннеры, сообщения на рабочий стол
• Сессии через web / компьютер / телеконференции
• Персональные сессии
• Ролевые игры (тест кейсы)
• Дни информационной безопасности
• Календарь на стену с ежемесячными подсказками
• Кроссворды
• Поощрительные программы (письменная благодарность, доска почета)
![Page 32: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/32.jpg)
Click to edit Master title style
Стр. 32 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Кто может помочь?
Ресурсы
• CERT
• Ponemon Institute
• ISSA
• The university of Arizona
• NIST SP 800-50 and NIST SP 800-16
• SANS (presentations, Security Awareness Newsletters, training)
• InfoSecurityLab (постеры, обои и скринсейверы, листовки)
• Информзащита, Софтброкер - обучение
![Page 33: Человек - самое слабое звено. Что делать?](https://reader033.vdocuments.mx/reader033/viewer/2022061116/546578a2af795939528b695b/html5/thumbnails/33.jpg)
Click to edit Master title style
Стр. 33 DLP Web Conference, 20.10.2011 Трубачева Вера, DLPR, KL
Как классифицировать информацию?
A. Узнайте свои IT ресурсы:
Индивидуальные файлы Классы файлов Рабочие станции Приложения Базы данных IT сервисы Устройства
B. Узнайте владельцев данных -> узнайте пользователей
C. Классифицируйте данные:
Публичные Только для внутреннего использования Конфиденциально Совершенно секретно