18.

17. Шёл 2019-й год...

6. Интерактивный инструктаж

7. https://haveibeenpwned.com и типовая выдача для засвеченного в утечках адреса

10. Ещё один общий пункт Небольшая оговорка: современная криптография подразумевает систему, в которой ключ является единственным секретом; алгоритмы шифрования открыты и, как правило, подлежат разглашению.

1. Инструктаж сотрудников по ИБ. Методика и практика Виктор Буренков

21. Дополнительная трудность Если пользователь удовлетворил требования парольной политики, то при правильной схеме хранения пароля нет этического способа дополнительной проверки качества заданного пароля.

13. Подробнее по теме «пароли» Задумайтесь, где Вы вводите служебный пароль, и надо ли там его вводить? В зависимости от конфигурации систем можно проинструктировать, например, пароль вводим только при входе в компьютер и никогда не вводим в браузере

25. victor.burenkov@y» ahoo.com +7 962 3268935 Skype: vburro СПАСИБО ЗА ВНИМАНИЕ! # CODEIB

24. Выводы Повышайте бдительность пользователей в части фишинговых атак, в части подозрительных признаков при работе с программами. Наладьте обратную связь. Пусть станет нормой обращение за консультациями к ИБ-специалистам. Создайте специальный адрес для пересылки подозрительных писем на дополнительную проверку специалистами по ИБ.

9. 1 2 3 4 5 6 Ваши пункты Информационная безопасность должна учитывать вид и специфику деятельности

12. Подробнее по теме «фишинг» Задумайтесь, прежде чем переходить по ссылкам из письма. Совпадает ли фактический адрес ссылки с отображаемым в письме? Посмотрите внимательнее на адрес отправителя. Адрес Вам знаком? Внушает ли Вам доверие текст письма? Если, например, в тексте слишком много орфографических ошибок для официального письма — скорее всего, письмо подделано. Есть ли вложения в письме? Задумайтесь, Вы отправляли бы вложение в подобной ситуации? Если нет веских причин на наличие вложения — следует с отнестись с подозрением к вложению.

20. 1 2 Когда «123456» и «qwerty» » особенно опасны? Удалённый доступ VPN, RD), как правило, P-шлюз, ... Знакомая картинка? Любой web mail, интегрированный с AD

19. Если пользователи создают такие пароли, нужны ли они в принципе, когда есть второй фактор авторизации? В информационных системах компаний (AD), как правило, ), как правило, по-прежнему без альтернатив. MasterPass: не нужны YubiKey: (тем более) не нужны ... Реальность: пользователи создают пароли «Qwerty123», «Ivanova20» и подобные на грани удовлетворения парольной политики

23. Выводы Проводите инструктаж по ИБ при приёме на работу и регулярно для действующих сотрудников. Посвящайте пользователей в современные явления и понятия в мире киберугроз и информ. безопасности. Убедите пользователя в рисках на его собственном примере. Нельзя использовать в служебных учётных записях пароли от бесплатных сервисов. Также следует ограничить регистрацию в сервисах на служебную почту.

2. Кого следует инструктировать? Что включить в инструктаж? Инструктаж и должностная инструкция: отличия Обратная связь пользователей с подразделением ИБ Основные вопросы

15. Как правильно выстроить парольную политику и соответствующий инструктаж в зависимости от условий ? О паролях

14. Подробнее: Ваши действия Если случайно допустили действие, не исключающее риск — перешли по вредоносной ссылке, открыли вложение с Macros или просто увидели лишнее всплывающее окно — обратитесь в подразделение информационной безопасности! Подразделение ИБ — ваш друг в борьбе с угрозами. Если Вам пришло подозрительное письмо — перешлите его нам на адрес itsec@yourcompany.com — мы посмотрим! Доверительное отношение к подазделению ИБ — залог успеха!

4. «Разработчиков, системных администраторов инструктировать по ИБ не нужно, поскольку они и так опытные компьютерщики». Практика показывает, что множество утечек происходит по вине разработчиков и квалифицированного ИТ-персонала. Пример: Яндекс, .svn-base Кого инструктируем?

11. «Перспективные» утечек служебных данных (интернет) VK.com Сервисы загрузки изображений Файлообменники translate.yandex.ru translate.google.com 2 1 3 5 4 6 pastebin TeamViewer

22. Что делаем с «123456» и «qwerty» »? Если у пользователя не подключен удалённый доступ — в принципе, большой угрозы нет. Главное, чтобы коллеги не подобрали пароль. Если удалённый доступ необходим — объясняем о необходимости установить стойкий пароль и предупреждаем об ответственности. Контрмеры (отдельная тема).

3. Предпосылки инструктажа по информ. безопасности • Недостатки текстовых инструкций: - «подписал и забыл» (воспринимается как формальность); - важные пункты не поняты. • Если есть подразделение ИБ: - инструктаж — возможность консультации со специалистом; - создаём обратную связь сотрудников с подразделением ИБ. • Возможно проведение ИБ-инструктажа не только ИБ-специалистами

5. Первичный и регулярный По очерёдности: • плановый; • внеплановый (реагирование на инцидент). По форме: • рассылка письма; • беседа или семинар. Варианты изложения содержания • пересказ (вспомните стюардесс); • интерактивный. Основа интерактивного инструктажа — вопросы пользователю. Нужен доброволец! Варианты инструктажа

16. Год 2019-накопителий • ok.ru Нужна девичья фамилия матери? Вам сюда! • поразвлекаемся с кол-центром • 20 лет спустя: что изменилось в мире паролей? Конец XX века • секретный вопрос • кодовое слово • пароль

8. Какие темы важно затронуть USB-накопителинакопители Можно объяснить, что они не актуальны по нескольким причинам, не только из соображений ИБ Электронная почта Один из главных векторов атаки на корпоративный сегмент Бесплатные сервисы и социальные сети Не используйте пароли оттуда в служебных учётных записях, и будет Вам счастье! И компании тоже. Один пользователь — один пароль Служебный пароль не вещь, которую передают в пользование. За действия под Вашим логином будут спрос с Вас Держите контакт с ИБ Всегда можно обратиться с вопросом в случае сомнений (подозрительное письмо и т. д.) 2 1 3 5 4 6 Фишинг, шифровальщик, социальная инженерия, ... Пусть для пользователя эти слова станут так же понятны, как «селфи», «мем», «трансляция» — пусть больше задумываются об угрозах