Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Доведение до новых работников документов по информационной безопасности

Ознакомление с действующими в компании документами по информационной безопасности (политики, положения, обязательства) под подпись при трудоустройстве.
Варианты реализации, в зависимости от специфики организации:
  • В момент трудоустройства и подписания трудового договора (в кадровом подразделении);
  • После трудоустройства в службе безопасности или информационных технологий;
  • После трудоустройства на рабочем месте (ответственность непосредственного руководителя).
Примечание: в карточке меры следует зафиксировать ответственное за сбор подписей подразделение и место хранения реестров с подписями
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации - инструкций, регламентов, стандарто...
Удерживающая ? Удерживающие (сдерживающие) меры Организация применяет сдерживающие меры пытаясь отговорить злоумышленников атаковать ее системы или помещения. Другими словами, сдерживающая контрмера используе...
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования":
7.3 Осведомленность Персонал, выполняющий работу под контролем организации, должен знать:
a) политику в области информационной безопасности,
b) их вклад в результативность системы менеджмента информационной безопасности, включая выгоды от улучшения деятельности по обеспечению информационной безопасности, и
c) последствия несоответствий требованиям системы менеджмента информационной безопасности.
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.7.3.1 Освобождение от обязанностей или их изменение
Средства реализации: Должны быть определены, доведены до сведения сотрудника или работающего по контракту его область ответственности и обеспечено выполнение его обязанностей в отношении информационной безопасности, остающихся в силе после прекращения или изменения трудовых отношений.
A.7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности
Средства реализации: Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей.
A.5.1.1 Политики информационной безопасности
Средства реализации: Должен быть разработан, одобрен руководством, опубликован и доведен до персонала и соответствующих внешних сторон комплекс политик информационной безопасности.
The 20 CIS Controls Resources:
CSC 17.5 ? Косвенная связь
CSC 17.5 Train Workforce on Secure Authentication
Train workforce members on the importance of enabling and utilizing secure authentication.
CSC 17.9 ? Косвенная связь
CSC 17.9 Train Workforce Members on Identifying and Reporting Incidents
Train workforce members to be able to identify the most common indicators of an incident and be able to report such an incident.
CSC 17.1 ? Косвенная связь
CSC 17.1 Perform a Skills Gap Analysis
Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
NIST Cybersecurity Framework:
ID.GV-1: Organizational cybersecurity policy is established and communicated
PR.DS-5 ? Косвенная связь
PR.DS-5: Protections against data leaks are implemented
PR.IP-11 ? Косвенная связь
PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)
PR.AT-3 ? Косвенная связь
PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities
RS.CO-1 ? Косвенная связь
RS.CO-1: Personnel know their roles and order of operations when a response is needed
PR.AT-2 ? Косвенная связь
PR.AT-2: Privileged users understand their roles and responsibilities
PR.AT-1 ? Косвенная связь
PR.AT-1: All users are informed and trained
DE.DP-1 ? Косвенная связь
DE.DP-1: Roles and responsibilities for detection are well defined to ensure accountability
PR.AT-5 ? Косвенная связь
PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities
PR.AT-4 ? Косвенная связь
PR.AT-4: Senior executives understand their roles and responsibilities