Мини-курсы об информационной безопасности для банка «Санкт-Петербург». Часть 1
Micro-learning (микро-обучение) и группа Ленинград на защите конфиденциальной информации
Перед подразделением банка «Санкт-Петербург» стояла задача — повысить уровень информационной безопасности у сотрудников и показать последствия нарушения.
До недавнего времени обучение было реализовано в формате презентаций со списком правил. Как показала практика и оценка знаний, такой формат не позволял обеспечить эффективное усвоение информации.
Задача команды разработки — переструктурировать разрозненный набор правил, выстроить понятную и удобную последовательность и сделать курс интересным и увлекательным, чтобы его хотелось проходить.
Решение
Решением стал набор небольших курсов по основным темам информационной безопасности. Курсы включают теорию, упражнения и итоговые тестирования.
Курс #1. Вводный инструктаж по информационной безопасности
Банк «Санкт-Петербург» — это банк с развитой культурой и высокими стандартами в области информационной безопасности. Для обеспечения сохранности и конфиденциальности данных важны ответственность и профессионализм каждого сотрудника.
Курс о правилах информационной безопасности, простых в исполнении и эффективных по своим результатам.
Вопросы курса: 1. Правила и ошибки работы с оборудованием. 2. Правила использования паролей. 3. Правила работы с конфиденциальной информацией.
Фишка курса Четыре интерактивных задания: безопасная работа с оборудованием, выбор пароля, антивирусная защита, хранение конфиденциальной информации. Упражнения разбавляют теорию и делают прохождение курса интересным и интерактивным.
Интерактивное упражнение о правилах работы с оборудованием в виде пазла
Упражнение на правила использования паролей
Анимация — практически на уровне игры, а не курса. Я старалась в каждую иконку или иллюстрацию вкладывать максимальное количество смысла, и при этом сделать ее живой и запоминающейся.
Дарья Грачева
Дизайнер проекта
Курс #2. Правила информационной безопасности при работе с электронной почтой и сетью-Интернет
Курс погружает пользователя в историю, в которой хакеры намерены взломать базу данных банка. Чтобы получить доступ к конфиденциальной информации, они подготовили ряд хитростей. Задача пользователя — обойти все ловушки, созданные злоумышленниками.
Курс знакомит с правилами информационной безопасности в области работы с оборудованием, обращения с конфиденциальной информацией и обеспечения антивирусной защиты. Полученные знания позволяют предотвратить риск утери банковских данных.
Вопросы курса: 1. Зачем используется сеть-Интернет в рабочем процессе. 2. Какими особенностями отличается работа в сети-Интернет на рабочем компьютере. 3. Какие меры предосторожности необходимо соблюдать при работе с электронной почтой. 4. Насколько важно соблюдать правила информационной безопасности при работе в сети-Интернет.
Фишки курса В финальном упражнении создали мини-версию игры в танчики, где мы защищаем Банк Санкт-Петербург, верно отвечая на вопросы. Все опасные элементы в процессе изучения нейтрализуются — например, бомба превращается в новогодний шар и больше не представляет угрозы.
Это не настоящий бой, где льется кровь и гибнут воины, но всем знакомая отсылка к простой игре, в которой при этом прослеживается идея защиты и безопасности
Курс #3. Правила информационной безопасности при использовании мобильных устройств
У пользователя мобильный телефон, завладеть которым желают многие, так как в устройстве содержится конфиденциальная информация, которую злоумышленники могут использовать в корыстных целях. Хакеры продумали 5 способов кражи.
Задача пользователя — вооружиться знаниями, способными предотвратить утечку информации с мобильного устройства и избежать угроз.
Вопросы курса: 1. Необходимы ли мобильные устройства в рабочем процессе. 2. Чем опасна утечка информации. 3. Правила информационной безопасности.
Фишки курса Контекст задачи. Вводные слайды, которые погружают в ситуацию.
Структура. Меню из 5 ситуаций, которые рассказывают о возможных вариантах утечки информации. С каждым новым делом ситуация усложняется, а масштабы угрозы — увеличиваются.
На первых слайдах пользователь узнает о ситуации, погружается в проблематику. Далее на своих ошибках понимает, что можно и нельзя делать
Мини-курсы об информационной безопасности получились яркими, не нагруженными и легкими для восприятия.
1. Любая информация, переданная Сторонами друг другу при пользовании ресурсами данного Сайта, является конфиденциальной информацией.
2. Пользователь дает разрешение Компании ООО "Лэвел" на сбор, обработку и хранение своих личных персональных данных, а также на рассылку текстовой и графической информации рекламного характера.
3. Стороны обязуются соблюдать данное соглашение, регламентирующее правоотношения, связанные с установлением, изменением и прекращением режима конфиденциальности в отношении личной информации Сторон, и не разглашать конфиденциальную информацию третьим лицам.
4. Компания ООО "Лэвел" собирает два вида информации о Пользователе:
1) персональную информацию, которую Пользователь сознательно раскрыл Компании ООО "Лэвел" в целях пользования ресурсами Сайта;
2) техническую информацию, автоматически собираемую программным обеспечением Сайта во время его посещения. Во время посещения Пользователем Сайта службе поддержки автоматически становится доступной информация из стандартных журналов регистрации сервера (server logs). Сюда входит IP-адрес компьютера Пользователя (или прокси-сервера, если он используется для выхода в интернет), имя интернет-провайдера, имя домена, тип браузера и операционной системы, информация о сайте, с которого Пользователь совершил переход на Сайт, страницах Сайта, которые посещает Пользователь, дате и времени этих посещений, файлах, которые Пользователь загружает. Эта информация анализируется программно в агрегированном (обезличенном) виде для анализа посещаемости Сайта и используется при разработке предложений по его улучшению и развитию. Связь между IP-адресом и персональной информацией Пользователя никогда не раскрывается третьим лицам, за исключением тех случаев, когда это требуется законодательство страны, резидентом которой является Пользователь.
5. Компания ООО "Лэвел" очень серьезно относится к защите персональных данных Пользователя и никогда не предоставляет персональную информацию Пользователя кому бы то ни было, кроме случаев, когда этого прямо требует уполномоченный государственный орган (например, по письменному запросу суда). Вся персональная информация Пользователя используется для связи с ним, для исполнения сделки, заключенной между Пользователями Сайта с помощью ресурсов Сайта, для анализа посещаемости Сайта, для разработки предложений по его улучшению и развитию и может быть раскрыта иным третьим лицам только с его разрешения.
6. Компания ООО "Лэвел" осуществляет защиту персональной информации Пользователя, применяя общепринятые методы безопасности для обеспечения защиты информации от потери, искажения и несанкционированного распространения. Безопасность реализуется программными средствами сетевой защиты, процедурами проверки доступа, применением криптографических средств защиты информации, соблюдением политики конфиденциальности.
7. На Сайте реализована технология идентификации пользователей, основанная на использовании файлов cookies. Cookies — это небольшие по размеру файлы, сохраняемые на компьютере Пользователя посредством веб-браузера. На компьютере, используемом Пользователем для доступа на Сайт, могут быть записаны файлы cookies, которые в дальнейшем будут использованы для автоматической авторизации, а также для сбора статистических данных, в частности о посещаемости Сайта. Администрация Сайта не сохраняет персональные данные или пароли в файлах cookies. Пользователь вправе запретить сохранение файлов cookies на компьютере, используемом для доступа к Сайту, соответствующим образом настроив свой браузер. При этом следует иметь в виду, что все сервисы, использующие данную технологию, могут оказаться недоступными.