КРЕДО-С
CREDOS:CAMP/Пентест и киберучения

Киберучения и фишинг-тесты

Контролируемая проверка: сколько сотрудников откроют фишинговое письмо и введут пароль. По итогам — обучение и повторный тест. Снижение уязвимости персонала в 3–5 раз.

Для кого: Организации с командой ИБ, субъекты КИИ по требованиям ФСТЭК, компании после инцидентов

Фишинг-тестRed/Blue Team
1–2 недели
Подготовка сценариев
1–5 дней
Проведение учений
3–5 рабочих дней
Итоговый отчёт
через 2–3 месяца
Повторное тестирование
Услуга «Киберучения и фишинг-тесты» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Контролируемая проверка: сколько сотрудников откроют фишинговое письмо и введут пароль. По итогам — обучение и повторный тест. Снижение уязвимости персонала в 3–5 раз. Категория: Пентест и киберучения. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Более 80% успешных взломов начинаются не с уязвимости в коде, а с одного клика сотрудника по фишинговой ссылке. Периметр защищён — а человек внутри него открывает дверь сам.

Фишинг-тест показывает точные цифры: сколько людей в вашей организации переходят по подозрительной ссылке, вводят учётные данные на поддельном портале, открывают вредоносное вложение. Без этих данных любая оценка защищённости неполна.

Проведение киберучений — требование Указа Президента РФ № 250 от 01.05.2022 для ключевых предприятий. Для субъектов КИИ (187-ФЗ) обучение персонала входит в обязательный перечень мер по приказу ФСТЭК 239.

Этапы проведения:

Разведка и подготовка — OSINT по сотрудникам организации: корпоративные адреса, социальные сети, публикации. На основе собранных данных создаются правдоподобные сценарии: письмо от руководства, уведомление HR, запрос от ИТ-поддержки, сообщение от контрагента.

Фишинг-тест — контролируемая рассылка с отслеживанием каждого действия получателя: открытие письма, переход по ссылке, ввод учётных данных, загрузка вложения. Техники варьируются: URL-фишинг, вложения с макросами, QR-коды, имитация корпоративных порталов.

Анализ результатов — статистика по подразделениям, должностям и типам атак. При первом тестировании в среднем 20–30% сотрудников переходят по ссылке, 10–15% вводят данные. Результаты сравниваются с отраслевыми бенчмарками.

Обучающий семинар — разбор реальных примеров атак, методов социальной инженерии, правил работы с почтой. Интерактивный формат: не лекция, а практические кейсы.

Повторное тестирование — через 1–3 месяца. После обучения процент сотрудников, поддающихся на фишинг, снижается в 3–5 раз. КРЕДО-С рекомендует ежеквартальный формат для поддержания бдительности.

Регулярные киберучения учитываются при расчёте показателя КЗИ по приказу ФСТЭК №117 как организационная мера защиты. КРЕДО-С имеет лицензии ФСТЭК и ФСБ России и собственную платформу для проведения реалистичных фишинг-тестов.

Как проходит работа

1

Анализ целевой аудитории

Изучаем оргструктуру, роли, типичные бизнес-коммуникации. Определяем группы риска и подбираем релевантные сценарии атак.

2

Разработка сценариев

Создаём фишинговые письма, посадочные страницы, сценарии vishing/smishing. Адаптируем под специфику компании: логотипы, домены, контекст.

3

Проведение фишинг-теста

Контролируемая рассылка с отслеживанием на каждом этапе: открытие, переход по ссылке, ввод данных, загрузка файла.

4

Обучающие семинары

Интерактивные тренинги по распознаванию угроз: фишинг, социальная инженерия, безопасное поведение. Разбор реальных кейсов.

5

Tabletop-учения

Командные штабные учения по сценариям инцидентов: шифровальщик, утечка данных, DDoS. Отработка процедур эскалации и коммуникации.

6

Отчёт и повторный тест

Статистика по группам и отделам, динамика осведомлённости, план мероприятий. Через 2–3 месяца — контрольный фишинг-тест.

Направления

Фишинг-симуляция

Контролируемая рассылка с отслеживанием каждого действия: открытие письма, переход по ссылке, ввод данных. Статистика по подразделениям, должностям, типам атак

Проверка патч-менеджмента

Тестируем, насколько быстро организация закрывает известные уязвимости. Имитируем атаки через CVE, для которых уже есть патчи — самый частый вектор реальных взломов

Оценка осведомлённости

Тестируем знание правил ИБ: распознавание фишинга, поведение при подозрительных запросах, работа с привилегиями. Измеряем динамику после обучения

Разбор инцидентов (tabletop)

Отрабатываем сценарии реагирования с руководством и ИТ-командой — без реальной атаки. Выявляем пробелы в коммуникации, процессах и полномочиях

Что входит

  • Разведка (OSINT) и сбор информации о сотрудниках
  • Разработка сценариев фишинговых атак под специфику организации
  • Проведение контролируемой фишинговой рассылки с отслеживанием
  • Анализ результатов по подразделениям и должностям
  • Обучающий семинар по распознаванию фишинговых атак
  • Повторное тестирование для оценки эффективности обучения
  • Проверка процессов патч-менеджмента — имитация атак через незакрытые CVE
  • Формирование программы повышения осведомлённости (security awareness)

Результаты работы

Отчёт о результатах фишинг-теста со статистикой по подразделениям
Сравнительный анализ с отраслевыми бенчмарками
Материалы обучающего семинара по кибербезопасности
Рекомендации по повышению осведомлённости персонала
Отчёт о повторном тестировании с динамикой показателей
CREDOS:CAMP

Почему КРЕДО-С

Собственная платформа: реалистичные сценарии, отслеживание в реальном времени

Сценарии разрабатываются под вашу организацию — не шаблонные письма

После обучения 3–5× меньше сотрудников попадаются на фишинг

Выполняет требования Указа Президента № 250 и приказа ФСТЭК 239

Ежеквартальный формат: осведомлённость не деградирует со временем

Другие услуги

Пентест и киберучения

Тестирование на проникновение

Пентест внешнего и внутреннего периметра, веб-приложений и мобильных сервисов по методологии Black/Gray/White Box. Реальная эксплуатация уязвимостей с доказательствами и оценкой ущерба.

OWASPRed TeamФСТЭК
  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • и ещё 4...
Подробнее
Пентест и киберучения

Анализ защищённости

Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.

ФСТЭКГосСОПКА
  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • и ещё 4...
Подробнее

Часто задаваемые вопросы

Что такое киберучения?
Киберучения — это контролируемая имитация кибератак на сотрудников организации для проверки их устойчивости к методам социальной инженерии. Программа включает фишинг-тесты, обучающие семинары и повторное тестирование для формирования культуры информационной безопасности.
Как проводятся фишинг-тесты?
Разрабатываются правдоподобные сценарии с учётом специфики организации: письма от руководства, HR-отдела, ИТ-поддержки или контрагентов. Проводится контролируемая рассылка с отслеживанием действий сотрудников на каждом этапе: открытие письма, переход по ссылке, ввод данных.
Какой процент сотрудников обычно проваливает фишинг-тест?
При первом тестировании в среднем 20-30% сотрудников переходят по фишинговой ссылке, а 10-15% вводят свои учётные данные. После качественного обучения эти показатели снижаются в 3-5 раз. Результаты зависят от отрасли и уровня подготовки персонала.
Как часто нужно проводить киберучения?
Рекомендуется проводить фишинг-тесты ежеквартально для поддержания бдительности сотрудников. Обучающие семинары — не реже двух раз в год. Регулярность важна, поскольку без постоянного подкрепления уровень осведомлённости персонала постепенно снижается.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 15 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC