Повышение осведомленности сотрудников Компании в вопросах информационной безопасности
Код курса КС, 6 часов
Статус
Авторский курс Учебного центра «Информзащита»
Аннотация
Цель курса – повышение осведомленности персонала организации в вопросах безопасности информационных технологий и их мобилизация на сознательное и неукоснительное выполнение корпоративных правил обеспечения безопасности. В курсе рассматриваются проблематика и основные понятия безопасности информационных технологий, место и роль пользователей информационных систем в общей системе обеспечения информационной безопасности организации, типовые ошибки и способы противодействия нарушениям безопасности со стороны пользователей. Особое внимание уделяется доступности изложения и обоснованию причин введения конкретных правил и ограничений, необходимости их сознательного соблюдения в рамках единой политики обеспечения информационной безопасности.
Аудитория
Целевая аудитория – работники организации (компании, банка), использующие средства автоматизированной обработки информации, информационные ресурсы и системы организации.
Программа курса
Программа данного курса, представленная ниже, является ориентировочной. Список тем и продолжительность их рассмотрения определяется на этапе разработки уникальной Программы обучения, учитывающей:
особенности деятельности работников и характер использования ими средств автоматизированной обработки информации;
действующие в организации правила, изложенные во внутренних корпоративных нормативно-методических и организационно-распорядительных документах, определяющих работу персонала со средствами автоматизированной обработки информации и информационными ресурсами;
оценки специалистов подразделений информационной безопасности организации-заказчика по приоритетности (актуальности, предпочтительности) тем;
выбранную форму и общую продолжительность обучения персонала.
Модуль 1. Введение в курс
Принятые и часто встречающиеся в курсе сокращения и определения
Рекомендации по изучению и особенности структуры курса
Введение в проблематику
Что такое «осведомленность в вопросах ИБ»
Основные темы, выносимые на рассмотрение
Цели обучения
Модуль 2. Основные понятия безопасности информационных технологий
Значение информационных технологий для успеха бизнеса организации
Зачем нужны компьютеры и средства телекоммуникации
«Бизнес» и «безопасность» – две стороны одного и того же процесса управления
Перспективы, и что нас ждет дальше
Что такое безопасность информационных технологий
Кого, что, почему и зачем необходимо защищать. Цель защиты АИС и циркулирующей в ней информации
Защита информационных технологий как процесс управления рисками
Оценка и управление рисками
В чем может выражаться ущерб, наносимый ошибочными действиями сотрудников
Угрозы информационной безопасности. Источники угроз безопасности
Почему свои сотрудники являются самой массовой категорией нарушителей безопасности
Статистика потерь от нарушений ИТ безопасности
Предпосылки для реализации угроз, порождаемые ошибками пользователей
Место и роль конечных пользователей в системе обеспечения информационной безопасности организации
Кто отвечает за обеспечение информационной безопасности в организации
Необходимость регламентации действий пользователей и обслуживающего персонала АИС в целях повышения безопасности
Вопросы для самоконтроля
Модуль 3. Безопасность информации при работе на персональных компьютерах и серверах
Использование ресурсов рабочих станций и серверов не по назначению
Порча и хищение оборудования, а также непринятие мер по их предотвращению
Несанкционированное изменение конфигурации рабочих станций. Изменение состава и конфигурации используемых аппаратных средств
Использование сторонних средств вычислительной техники и отчуждаемых носителей информации
Самостоятельная установка и запуск сторонних программ
Изменение режимов, отключение или создание помех для работы антивирусных программ
Понятие о компьютерных вирусах. Как реагировать на вирусные атаки
Использование нелицензионного (пиратского) программного обеспечения
Нарушение установленного порядка формирования, использования, хранения и резервного копирования критичной информации
Ввод ошибочных данных, искажение или утрата важных файлов
Самовольное создание и использование совместно используемых сетевых ресурсов.
Нарушение установленного порядка резервного копирования важной информации
Нарушение установленного порядка обращения с конфиденциальной информацией (создание, учет, хранение, передача, уничтожение)
Нарушение правил использования паролей и средств усиленной аутентификации
Использование простых для подбора паролей, работа под чужими учетными записями
Меры предосторожности при работе с паролями
Дополнительные рекомендации по выбору стойкого пароля
Отключение экранных заставок с парольной защитой
Временная блокировка доступа в систему
Практическая работа по блокировке доступа в систему
Вопросы для самоконтроля
Модуль 4. Безопасная работа с информацией при использовании электронной почты и ресурсов сети Интернет
Личная (непроизводственная) переписка по электронной почте
Пересылка корпоративных конфиденциальных сведений по незащищенным каналам связи
Отправка конфиденциальных сведений по ошибочным адресам
Перегрузка серверов и каналов связи путем пересылки файлов больших объемов
Использование архивирования файлов для уменьшения объема пересылаемых сообщений
Непринятие мер в отношении СПАМа. Простейшие правила защиты от СПАМа
Опасность заражения вирусами через электронную почту
Социальная инженерия - что это такое?
Что такое «фишинг»? Приемы «фишинга»
Рассылка нелицензионных копий информационных продуктов, вирусов и других противоправных материалов
Использование доступа в Интернет в личных целях
Посещение хакерских или взломанных хакерами Интернет – сайтов
Практическая работа по сокращению объема вложения в электронное письмо
Практическая работа по использованию почтового клиента (MS Outlook или Lotus Notes)
Вопросы для самоконтроля
Модуль 5. Безопасность информации при работе на мобильных компьютерах и при удаленном доступе к ресурсам
Использование мобильных компьютеров и устройств
Нарушение правил подключения мобильных компьютеров к АИС
Утрата мобильных компьютеров
Использование мобильных устройств
Защищенность мобильных устройств и работа с конфиденциальной информацией
Нарушение правил применения средств криптографической защиты
Беспроводные сети передачи данных
Использование беспроводных сетей и непринятие мер в отношении оборудования беспроводных сетей
Разглашение (передача другим лицам) реквизитов удаленного доступа.
Вопросы для самоконтроля
Заключение, выводы
Модуль 6. Контрольное итоговое тестирование
Как работать с тестом
Контрольное итоговое тестирование (тестирование уровня усвоения материала слушателями)
Результат тестирования, рекомендации
Контакты:
Лаборатория повышения осведомленности и дистанционного обучения.
Учебный центр "Информзащита", тел: +7 (495) 980-23-45 (доб. 159), e-mail:basic@itsecurity.ru.