Awareness корпоративная и государственная

Бдительность и осведомленность сотрудника и гражданина в области информационной безопасности - важная часть его поведения в компании и обществе. Согласно данным из исследования Ponemon "2013 Cost of Data Breach Study: Global Analysis", 35%  "проблем" с данными происходит из-за ошибок пользователя. 

А ошибки - это незнание или невнимательность. И компания, и государство должны понимать, что инвестиции в подобные мероприятия, разработка и реализация планов обучения, программ по повышению осведомленности могут и будут давать результат в виде снижения количества неприятных ситуаций. Если проводить такие мероприятия в организации своими силами, то на мой взгляд это лучше делать по циклу PDCA. А цикличность выбирать, учитывая, в том числе, и текучку персонала.  Ниже я привожу некоторые ресурсы и материалы, которые можно использовать в процессе.

1. SANS Securing The Human.

Проект от SysAdmin, Audit, Networking, and Security Institute. Много различной информации по повышению осведомленности. Есть компьютерные курсы и тренинги. Из бесплатных материалов есть такие как Ежемесячник по информационной безопасности для пользователей OUCH. Материалы выходят на многих языках. С июля 2012 года на русском. Вот, допустим, свежий февральский номер:  Что такое вредоносные программы. 

2. Проект компании LETA "Так безопасно!". Здесь также доступны как базовые бесплатные материалы, так и платные дополнения. Вот, например, обои на рабочий стол, призывающие к осторожности при получении сообщений от незнакомых отправителей. 

3. Symantec Security Awareness Program.

4. Памятка "Управление «К» предупреждает" от МВД России.

На самом деле, хоть я и привел памятку от МВД, но не будь я человеком, трудящимся в сфере информационной безопасности, то вряд ли увидел бы ее. А памятка действительно достойна внимания и ей уже более двух лет, если исходить из названия файла. Создается впечатление (надеюсь, обманчивое), что эта памятка была сделана для того, чтобы отчитаться: мол делаем, работаем с населением.

Кстати, у МВД России есть и другие проекты. Страница на сайте МВД здесь, а ниже пара памяток, аналогичных указанной выше. Есть и другие.

Памятка "Осторожно! Торговля людьми"

Памятка "Моя экономическая безопасность. Как не стать жертвой аферистов"

Что еще почитать:

Повышение осведомленности пользователей как снижение рисков.  

SANS. Обновление 20 Critical Controls

Совсем недавно ФСТЭК собирала замечания и предложения к проекту Мер защиты информации в государственных информационных системах. Сейчас же за аналогичным действием замечен SysAdmin, Audit, Networking, and Security Institute. 

Последние пару месяцев в SANS трудились и актуализировали известные многим 20 Critical Controls. Теперь этот труд доступен для предложений и замечаний.

"Now, we are reaching out to the broader community, asking them to review the panel's final 5.0 draft and provide feedback for any other changes that ought to be considered. The Controls are a valuable asset to increasing security and our goal is to continuously improve its relevance"

Tony Sager, Director of Programs with the Council on CyberSecurity

The Critical Security Controls for Effective Cyber Defense 5.0. Draft 

Предложения необходимо отправлять на CriticalControls@CouncilOnCyberSecurity.org. Срок, до которого будут приниматься предложения, не указан. Однако SANS планирует представить результат на конференции RSA в конце февраля 2014.

В дополнение можно почитать:
SANS. 17 Critical Controls
Symantec. Основные характеристики инсайдеров.