КРЕДО-С

Киберучения и фишинг-тесты

Проверка персонала на устойчивость к социальной инженерии. Имитация фишинговых атак, обучающие семинары, повторное тестирование. Формирование культуры информационной безопасности.

Услуга «Киберучения и фишинг-тесты» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Проверка персонала на устойчивость к социальной инженерии. Имитация фишинговых атак, обучающие семинары, повторное тестирование. Формирование культуры информационной безопасности. Категория: Пентест и киберучения. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: 117fstec.credos.ru

Описание услуги

Киберучения и фишинг-тесты — комплексная программа проверки устойчивости персонала к методам социальной инженерии и формирования культуры информационной безопасности (security awareness). Человеческий фактор остаётся причиной более 80% инцидентов безопасности: фишинговые атаки, претекстинг, приманки с вредоносным ПО приводят к компрометации учётных записей, утечке данных и заражению инфраструктуры.

Проведение киберучений является требованием Указа Президента РФ № 250 от 01.05.2022 для ключевых предприятий. Для субъектов критической информационной инфраструктуры (187-ФЗ) обучение персонала основам кибербезопасности и проверка осведомлённости входят в обязательный перечень мер защиты по приказу ФСТЭК 239.

Этапы проведения киберучений:

Разведка и подготовка — сбор информации о сотрудниках из открытых источников (OSINT): корпоративные email, социальные сети, публикации. Разрабатываются правдоподобные сценарии фишинговых атак с учётом специфики организации: имитация письма от руководства, уведомление от HR-отдела, сообщение от ИТ-поддержки, уведомление от контрагента.

Проведение фишинг-теста — контролируемая рассылка фишинговых писем с отслеживанием действий получателей на каждом этапе: открытие письма, переход по ссылке, ввод учётных данных, загрузка вложения, запуск исполняемого файла. Используются различные техники: URL-фишинг, вложения с макросами, QR-коды, имитация корпоративных порталов.

Анализ результатов — формируется статистика по подразделениям, должностям и типам атак. Выявляются наиболее уязвимые группы сотрудников, определяются типы атак с наибольшей эффективностью. Результаты сравниваются с отраслевыми бенчмарками.

Обучающий семинар — проводится интерактивное обучение по распознаванию фишинговых атак, правилам безопасного поведения при работе с электронной почтой и в интернете. Разбираются реальные примеры атак, методы социальной инженерии, правила создания и хранения паролей.

Повторное тестирование — через 1-3 месяца проводится повторный фишинг-тест для оценки эффективности обучения. Статистика показывает, что после качественного обучения процент сотрудников, поддающихся на фишинг, снижается в 3-5 раз. КРЕДО-С рекомендует проводить фишинг-тесты ежеквартально.

Регулярное проведение киберучений и повышение осведомлённости персонала учитывается при расчёте показателя защищённости КЗИ по приказу ФСТЭК №117 как одна из организационных мер защиты информации. Организации с действующей программой security awareness демонстрируют более высокие показатели КЗИ.

КРЕДО-С имеет лицензии ФСТЭК и ФСБ России, собственную платформу для проведения фишинг-тестов, позволяющую создавать реалистичные сценарии атак и отслеживать реакции сотрудников в режиме реального времени.

Что входит

  • Разведка (OSINT) и сбор информации о сотрудниках
  • Разработка сценариев фишинговых атак под специфику организации
  • Проведение контролируемой фишинговой рассылки с отслеживанием
  • Анализ результатов по подразделениям и должностям
  • Обучающий семинар по распознаванию фишинговых атак
  • Повторное тестирование для оценки эффективности обучения
  • Формирование программы повышения осведомлённости (security awareness)

Результаты работы

Отчёт о результатах фишинг-теста со статистикой по подразделениям
Сравнительный анализ с отраслевыми бенчмарками
Материалы обучающего семинара по кибербезопасности
Рекомендации по повышению осведомлённости персонала
Отчёт о повторном тестировании с динамикой показателей

Преимущества

Собственная платформа для реалистичных фишинг-тестов

Индивидуальные сценарии атак под специфику организации

Снижение уязвимости персонала в 3-5 раз после обучения

Соответствие требованиям Указа Президента № 250 и приказа ФСТЭК 239

Ежеквартальная программа тестирования для поддержания бдительности

Другие услуги

Пентест и киберучения

Тестирование на проникновение

Пентест информационных систем по методологии Black/Gray/White Box. Тестирование внешнего и внутреннего периметра, веб-приложений, беспроводных сетей, мобильных приложений. Имитация действий реальных злоумышленников.

  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • и ещё 4...
Подробнее
Пентест и киберучения

Анализ защищённости

Комплексная проверка безопасности ИТ-инфраструктуры: автоматизированное сканирование уязвимостей и ручной анализ конфигураций. Оценка рисков, проверка настроек, тестирование контроля доступа.

  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • и ещё 4...
Подробнее

Часто задаваемые вопросы

Что такое киберучения?
Киберучения — это контролируемая имитация кибератак на сотрудников организации для проверки их устойчивости к методам социальной инженерии. Программа включает фишинг-тесты, обучающие семинары и повторное тестирование для формирования культуры информационной безопасности.
Как проводятся фишинг-тесты?
Разрабатываются правдоподобные сценарии с учётом специфики организации: письма от руководства, HR-отдела, ИТ-поддержки или контрагентов. Проводится контролируемая рассылка с отслеживанием действий сотрудников на каждом этапе: открытие письма, переход по ссылке, ввод данных.
Какой процент сотрудников обычно проваливает фишинг-тест?
При первом тестировании в среднем 20-30% сотрудников переходят по фишинговой ссылке, а 10-15% вводят свои учётные данные. После качественного обучения эти показатели снижаются в 3-5 раз. Результаты зависят от отрасли и уровня подготовки персонала.
Как часто нужно проводить киберучения?
Рекомендуется проводить фишинг-тесты ежеквартально для поддержания бдительности сотрудников. Обучающие семинары — не реже двух раз в год. Регулярность важна, поскольку без постоянного подкрепления уровень осведомлённости персонала постепенно снижается.

Обсудить ваш проект

Рассчитайте класс защищённости онлайн или оставьте заявку для бесплатной консультации

Рассчитать КЗИ