Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Доведение до новых работников документов по информационной безопасности

Цель: Ознакомление с действующими в компании документами по информационной безопасности (политики, положения, обязательства) под подпись при трудоустройстве.

Варианты реализации, в зависимости от специфики организации:
  • В момент трудоустройства и подписания трудового договора (в кадровом подразделении);
  • После трудоустройства в службе безопасности или информационных технологий;
  • После трудоустройства на рабочем месте (ответственность непосредственного руководителя).
Рекомендации к заполнению карточки:
  • Зафиксировать ответственное за сбор подписей подразделение и место хранения реестров с подписями.
  • Добавить шаблон регулярной контрольной задачи по проверке наличия реестров с подписями
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации - инструкций, регламентов, стандарто...
Удерживающая ? Удерживающие (сдерживающие) меры Организация применяет сдерживающие меры пытаясь отговорить злоумышленников атаковать ее системы или помещения. Другими словами, сдерживающая контрмера используе...
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
Косвенно РЗИ.15
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
Косвенно РЗИ.16
РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Косвенно Р. 7 п. 4 п.п. 13
7.4.13. В организации БС РФ должны применяться меры, направленные на обеспечение защиты от НСД, повреждения или нарушения целостности данных о действиях и операциях, а также меры по защите информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД к такой информации должны регистрироваться. Доступ к данным о действиях и операциях предоставляется только с целью выполнения служебных обязанностей.
При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанным данным, необходимо выполнить регламентированные процедуры соответствующего пересмотра прав доступа.
Косвенно Р. 8 п. 9 п.п. 4
8.9.4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию:
  • по существующим политикам ИБ;
  • по применяемым в организации БС РФ защитным мерам;
  • по правильному использованию защитных мер в соответствии с внутренними документами организации БС РФ;
  • о значимости и важности деятельности работников для обеспечения ИБ организации БС РФ. 
Косвенно Р. 8 п. 9 п.п. 1
8.9.1. Должна быть организована санкционированная руководством организации БС РФ работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ. 
Косвенно Р. 8 п. 9 п.п. 6
8.9.6. Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли. 
Косвенно Р. 8 п. 11 п.п. 8
8.11.8. В организации БС РФ должна быть реализована программа обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний. 
Косвенно Р. 8 п. 6 п.п. 2
8.6.2. В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:
  • политика ИБ организации БС РФ;
  • частные политики ИБ организации БС РФ;
  • документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ организации БС РФ. 
Кроме того, должен быть определен перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ в организации БС РФ. 
Политика ИБ организации БС РФ должна быть утверждена руководством 
CIS Critical Security Controls v8 (The 18 CIS CSC):
Косвенно 14.6
14.6 Train Workforce Members on Recognizing and Reporting Security Incidents
Train workforce members to be able to recognize a potential incident and be able to report such an incident. 
Косвенно 14.3
14.3 Train Workforce Members on Authentication Best Practices
Train workforce members on authentication best practices. Example topics include MFA, password composition, and credential management. 
NIST Cybersecurity Framework (RU):
Косвенно PR.DS-5
PR.DS-5:  Реализована защита от утечки данных
Косвенно PR.IP-11
PR.IP-11: Кибербезопасность включена в практику работы с персоналом (например, ограничение доступа, проверка персонала) 
Косвенно ID.GV-1
ID.GV-1:  Установлена политика информационной безопасности организации 
Косвенно PR.AT-3
PR.AT-3: Внешние заинтересованные стороны (например, поставщики, клиенты, партнеры) понимают роли и ответственность

Косвенно PR.AT-2
PR.AT-2: Привилегированные пользователи понимают роли и ответственность 
Косвенно DE.DP-1
DE.DP-1:  Для обеспечения подотчетности четко определены роли и обязанности по выявлению
Косвенно PR.AT-1
PR.AT-1: Все пользователи проинформированы и обучены 
Косвенно PR.AT-5
PR.AT-5: Сотрудники физической и информационной безопасности понимают роли и ответственность 
Косвенно RS.CO-1
RS.CO-1: Персонал знает свои роли и порядок действий, при выполнении мероприятий по реагированию 
Косвенно PR.AT-4
PR.AT-4: Высшее руководство понимает роли и ответственность 
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования":
7.3 7.3 Осведомленность Персонал, выполняющий работу под контролем организации, должен знать:
a) политику в области информационной безопасности,
b) их вклад в результативность системы менеджмента информационной безопасности, включая выгоды от улучшения деятельности по обеспечению информационной безопасности, и
c) последствия несоответствий требованиям системы менеджмента информационной безопасности.
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.7.3.1 A.7.3.1 Освобождение от обязанностей или их изменение
Средства реализации: Должны быть определены, доведены до сведения сотрудника или работающего по контракту его область ответственности и обеспечено выполнение его обязанностей в отношении информационной безопасности, остающихся в силе после прекращения или изменения трудовых отношений.
A.7.2.2 A.7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности
Средства реализации: Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей.
A.5.1.1 A.5.1.1 Политики информационной безопасности
Средства реализации: Должен быть разработан, одобрен руководством, опубликован и доведен до персонала и соответствующих внешних сторон комплекс политик информационной безопасности.
Косвенно A.9.2.6 A.9.2.6 Отмена или изменение прав доступа
Средства реализации: Права доступа к информации и устройствам обработки информации всех сотрудников и внешних пользователей должны быть отменены после завершения трудовых отношений, контракта или соглашения.
CIS Critical Security Controls v7.1 (SANS Top 20):
Косвенно CSC 17.5 CSC 17.5 Train Workforce on Secure Authentication
Train workforce members on the importance of enabling and utilizing secure authentication.
Косвенно CSC 17.9 CSC 17.9 Train Workforce Members on Identifying and Reporting Incidents
Train workforce members to be able to identify the most common indicators of an incident and be able to report such an incident.
Косвенно CSC 17.1 CSC 17.1 Perform a Skills Gap Analysis
Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
Косвенно ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
Косвенно ИПО.0 ИПО.0 Разработка политики информирования и обучения персонала
Косвенно ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
Косвенно ЗИС.0 ЗИС.0 Разработка политики защиты информационной (автоматизированной) системы и ее компонентов
NIST Cybersecurity Framework (EN):
ID.GV-1 ID.GV-1: Organizational cybersecurity policy is established and communicated
Косвенно PR.DS-5 PR.DS-5: Protections against data leaks are implemented
Косвенно PR.IP-11 PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)
Косвенно PR.AT-3 PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities
Косвенно RS.CO-1 RS.CO-1: Personnel know their roles and order of operations when a response is needed
Косвенно PR.AT-2 PR.AT-2: Privileged users understand their roles and responsibilities
Косвенно PR.AT-1 PR.AT-1: All users are informed and trained
Косвенно DE.DP-1 DE.DP-1: Roles and responsibilities for detection are well defined to ensure accountability
Косвенно PR.AT-5 PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities
Косвенно PR.AT-4 PR.AT-4: Senior executives understand their roles and responsibilities
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
Косвенно ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
Косвенно ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
Косвенно ИПО.0 ИПО.0 Регламентация правил и процедур информирования и обучения персонала