18 Февраля, 2014

Тест на повышение осведомленности сотрудников в сфере ИБ

Игорь Агурьянов
Разрабатываем с коллегами курс для повышение осведомленности сотрудников в сфере информационной безопасности. Финальным этапом будут вопросы для теста - требования к этому делу у нас, чтобы было не скучно и чтобы вопросы не вызывали эффекта "логической бомбы". Ну и чтобы вопросы касались действительно тех областей ИБ, которые полезно/нужно знать всем работникам Компании. Набросал несколько вопросов с вариантами ответов:

1. Что из перечисленного не является инцидентом информационной безопасности:
- Отправка информации по новым разрабатываемым продуктам Компании на внешний ящик
- Загрузка клиентской базы на файлообменник
- Срабатывание антивируса
- Хранение пароля от компьютера на бумажке рядом с компьютером
- Поломка принтера
- Самостоятельная установка дополнительного программного обеспечения
(один ответ)

2. Чем опасно использование «анонимайзеров» (сервисов, позволяющих обходить политику блокировки доступа к запрещенным сайтам):
- Пароли передаются в незащищенном виде, поэтому его могут перехватить и использовать для доступа к тем ресурсам, которые посещались через анонимайзер
- Средства предотвращения утечек Компании не могут определить, какая информация была передана через «анонимайзер»
- Повышаются риски попасть на сайт, содержащий опасный контент
- Использование «анонимайзеров» значительно увеличивает нагрузку на каналы связи
(несколько ответов)

3. Какой пароль не возможно подобрать перебором?

- Пароль длиной более 13 символов
- Включающий символы кириллицы
- qwerty
- Полученный от Департамента ИБ
- Любой пароль можно подобрать
(один ответ, еще будет прикольно если после ответа появится табличка, что именно поэтому необходимо периодически менять пароль)

4. Что необходимо сделать, если по электронной почте от контрагента получен вирус?
- Сообщить о вирусе в правоохранительные органы
- Сообщить о вирусе в Департамент ИБ
- Отправить сообщение с вирусом обратно
- Переслать сообщение непосредственному руководителю
- Переслать сообщение системному администратору
(один ответ)

5. Какие из перечисленных сведений не относятся к персональным данным?
- Семейное положение
- Должность и доходы
- Модель автомобиля
- Скан-копия паспорта
- Политические взгляды
(один ответ)

6. Вы получили электронное письмо от совершенно незнакомого человека с просьбой зайти на его веб-сайт по присланной ссылке. Что разумно предпринять?
- Переслать письмо в Департамент ИБ
- Зайти по предложенной ссылке
- Отправить ответ с вежливым отказом
- В ответном письме предложить зайти на веб-сайт Carcade
- Отправить ответ с угрозой или оскорблением
- Пожаловаться интернет-провайдеру
- Проигнорировать сообщение
- Отключиться на несколько минут от интернета
(один ответ)

7. По каким признакам можно определить, что документ нельзя отправить себе на почту, чтобы поработать дома:
- На документе есть надпись Для внутреннего пользования, Конфиденциально или «Коммерческая тайна»
- В документе содержатся схемы или графики
- Документ зашифрован
- В документе есть информация, которая указана в Перечне сведеней, содержащих информацию ограниченного доступа ООО «Каркаде»
- Тот, кто направил Вам документ, каким-либо образом указал, что он «не для всех»
- Разработчик документа – Департамент информационной безопасности
- Документ в формате pdf или jpeg
- В документе есть информация, которая не размещена на сайте Компании или в Корпоративном журнале
(несколько вариантов)

8. Если Вам звонят из органов исполнительной власти и просят сообщить какую-то информацию о клиентах или работниках Компании – Ваши действия:
- Бросить трубку
- Найти в интернете, из каких стран нет экстрадиции в Россию
- Попросить сделать запрос на официальном бланке и направить на адрес Компании
- Сообщить, что не владеете такой информацией
- Попросить подъехать лично
(один вариант)

9. При работе с бумажными документами, содержащими сведения ограниченного доступа, требуется соблюдать следующие правила:
- Не выбрасывать такие документы в корзину, а сжигать или погружать в кислоту
- Измельчать документы, перед тем, как их выбросить
- Не оставлять документы на столе без присмотра, а убирать их в ящики стола и шкафы
- Не забывать документы в переговорных или в принтере, после отправки на печать
- Всегда делать ксерокопию документа и хранить ее в качестве резервной копии
- Прятать документы в труднодоступных местах
(несколько ответов)

Понимаю, что для ряда организаций "смешные варианты ответов" могут оказаться совсем не смешными (а кое-где не будет правильного ответа)... К слову, число вопросов нужно увеличить примерно в 5 раз - если у кого-то есть наработки, которых не жалко, буду рад если поделитесь. А может у кого-то начнется после прочтения поста бурный полет фантазии на тему вопросов - ю а велком ту :)
или введите имя

CAPTCHA
19 Февраля, 2014
вопрос 2 вреден, так как те кто и не знал об анонимайзерах тут то о них и узнают 4 - как пользователь узнает что от контрагента получен вирус? А Департамен ИБ сам должен об этом узнать, если он об этом не узнает это не ИБ, поэтому отсутствует правильный ответ: Сообщить об этом своему контрагенту с предложением полечиться
0 |
  • Поделиться
  • Ссылка
19 Февраля, 2014
По поводу вопроса 2 - мне жутко интересно у скольких людей в Компании существует заблуждение, что те анонимайзеры, которыми они пользуются, не позволяют определять что они отправляют. Что же касается вредности... у нас в Компании исторически запрещены все соц.сети у большинства сотрудников - соответственно и про "обход" знают почти все. Да и вообще - безопасность системы не должна основываться на предположении, что нарушитель не обладает достаточной квалификацией. Насчет вопроса 4 соглашусь... нужно будет переформулировать.
0 |
20 Февраля, 2014
Я бы назвал такой вопросник "Тест на повышение осведомленности сотрудников в сфере инсайдерства" Если честно не могу понять цель которую Вы, коллега, преследуете и как это соотносится с корпоративной этикой организации по обеспечению конфиденциальности своих ресурсов. Сотрудники конечно должны быть осведомлены об угрозах в сфере ИТ и для этих целей в организации должен быть разработан соответствующий документ. Но, ряд вышеперечисленных вопросов раскрывает как раз один из возможных каналов (в2-аномайзер); первый вопрос работника совсем не касается ибо ему безразлиная терминология ИБ-ков; в3 - суть непонятна вовсе ибо пароль любой длины можно подобрать была бы заинтересованность и эта информация стоила бы таких усилий; и.т.п. Но как документ к 1 апрелю самое оно я бы по в.4 переслал бы его руководитею и сисадмину, "пущай порадуются интелекту разработчика"
0 |
  • Поделиться
  • Ссылка
20 Февраля, 2014
Николай, добрый день! Если к инсайдерам относить сотрудников, совершающих неумышленные утечки - то я с Вами соглашусь - именно защита от утечек является приоритетной задачей подразделения в нашей Компании. Касательно документа, направленного на повышение осведомленности... честно, даже если мы подписи будем брать за ознакомление - в головах "ознакомившихся" в скором времени не останется воспоминаний. (Тем более, что большинство подпишет "не глядя"). Соответственно, цель тестирования - что бы информация усвоилась. Вопрос 1 - необходим. Т.к. согласно нашим регламентам сотрудник обязан сообщить администратору ИБ о ставших ему известных инцидентах ИБ. А если он не знает, что такое инцидент -то есть мнение, что это требование не будет выполняться. Насчет вопроса 2 - ответил выше - лучше не надеяться, что сотрудники не знают про обход, а объяснить им, что так уводят аккаунты во всяких вконтактах и могут заразить компьютер. Вопрос 3 - естественно, любой пароль можно подобрать. Именно поэтому и происходит плановая смена пароля. Важно, чтобы сотрудник понимал, зачем происходят те или иные процессы, ибо непонимание приводит к "забиванию" и/или агрессивному неприятию. Буду признателен, если расскажете как у Вас проводится повышение осведомленности в сфере ИБ для сотрудников.
0 |
24 Февраля, 2014
По мне так цель аналогичного документа - предупредить сотрудника компании и пресечь (в дальнейшем) выполнение подобных действий с его стороны, назвать его можно по разному - памятка по ИБ компании, памятка по пользованию средствами ЭП и т.п. "Подпись" за ознакомление с документом это не формализм, а согласие субъекта с правилами и требованиями организации. Если человек ознакомился и поставил подпись значит он СОГЛАСЕН с требованиями и положениями данного документа. Документ само собой должен быть утвержден руководителем компании. Соответственно все его дальнейшие действия, направленные против соблюдения такого документа, можно расценивать как нарушение правил компании со всеми вытекающими. По мне аналогичный документ должен отражать конкретные действия и формировать понимание рядового сотрудника на соблюдение конфиденциальности информации компании. Внутрь самих процессов формирования ИБ я бы углубляться не стал...рядовому пользователю это не нужно. "Вопросы кстати из серии - Вы подъехали на заправку на легковом авто. Из какого пистолета вы будете заправлять автомобиль: 1 - на котором написано - 92 2 - на котором написано - 95 3 - на котором написано - 95G 4 - на котором написано "дизельное топливо" 5 - спрошу у заправщика 6 - нет правильного ответа 7 - посмотрю в паспорт транспортного средства 8 - позвоню хозяину авто" Я к чему - пользователю который занимается маркетингом совершенно безразлично какие сведения относятся к персоналке и т.п. его задача - развивать компанию. в случае необходимости он может обратиться к ИБ либо к кратким инструкциям и памяткам (так называемый психологический аспект) которые содержат основные выдержки. По практике так и их быстро забывают, зато при личной беседе и разъяснении в конкретных действиях процент запоминания намного выше, а значит и выше уровень осведомленности.
0 |
20 Февраля, 2014
Вопрос 5 некорректен
5. Какие из перечисленных сведений не относятся к персональным данным?http://www.securitylab.ru/contest/408606.php - Семейное положение - Должность и доходы - Модель автомобиля - Скан-копия паспорта - Политические взгляды 1. Скан-копия - это не ПДн - это файл, содержащий ПДн. Если распечатанный, то это носитель информации, содержащий ПДн 2. Остальные пункты, как самостоятельные категории (без доп. информации, позволяющей хоть как-то определить личность) - не являются ПДн. вообще ХЗ что отвечать. Такие же комментарии почти по каждому вопросу. - неоднозначность
0 |
  • Поделиться
  • Ссылка
20 Февраля, 2014
Спасибо, Антон. Действительно вопрос формально не верен. Но я бы его оставил, т.к. буду крайне рад, если мои коллеги из других департаментов будут мне на это указывать (т.е. самостоятельно погрузятся в тему).
0 |
20 Февраля, 2014
Я тоже подумываю что-то такое запустить в рамках обучения... Многие просят провести коллективный семинар, но бесполезность таких мероприятий я уже осознал. Двигаюсь в сторону: "ЧИТАЙ-ЗАДАВАЙ ВОПРОСЫ-ПРОВЕРЯЙ" ))
0 |
20 Февраля, 2014
Это тест для рядовых сотрудников? Надо делать проще и понятнее. Чтобы охватить как можно большую аудиторию, а не только продвинутых пользователей. Например 3. Какой пароль сложнее сломать хакеру (компьютерному взломщику)? а. Кличка моей кошечки. б. Комбинации моего ФИО или даты рождения. в. Длинный пароль из заглавных и маленьких букв + цифры. г. Номер моего телефона.
-1.3333 |
  • Поделиться
  • Ссылка
20 Февраля, 2014
Да, Роман, тест для рядовых сотрудников, но прошедших предварительно курс повышения осведомленности. Тест - "закрепление" полученного материала. Хороший пример - спасибо. А то, что вопрос под номером 3, предполагает, что у Вас еще есть чем поделиться?
0 |
20 Февраля, 2014
Навскидку 4. Что необходимо сделать, если по электронной почте от контрагента получен вирус? Обычный юзер не поймет, что пришел вирус. Если уж вирусные аналитики удивляются некоторым пайлоадам. Лучше так. 4. Ваши действия, если пришло письмо от незнакомого контакта с вложением. а. Открою вложение. б. Перешлю коллегам. в. Вступлю в переписку. г. Ни в коем случае ничего не открывать, переслать в ИБ и удалить.
0 |
  • Поделиться
  • Ссылка