Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Проведение рассылки по информационной безопасности

Цель: повышение осведомленности персонала.

Проведение информационной рассылки является базовой мерой повышения осведомленности персонала в вопросах ИБ.
Ключевым недостатком информационной рассылки является то, что работники могут пренебрегать ее изучением. Чтобы снизить этот недостаток рассылку следует проводить в максимально дружественной к работнику форме, без бюрократизированных фраз, с картинками и цветовыми акцентами.
В рассылке следует чередовать вопросы корпоративной ИБ и личной безопасности работников (работа с банковскими мошенниками, защита личных устройств и домашнего ПК), чтобы повысить ее ценность для работников.
В случае появления инцидентов безопасности и иных событий в компании, которые можно разобрать в рассылке, это следует делать чтобы работники воспринимали вопросы ИБ как реальность а не абстрактные рекомендации. Например, рассылка о фишинговой атаке на компанию, статистика по взломанным паролям пользователей компании, по вирусным заражениям и их основным источникам.

В заметке к мере приведены примеры тем для информационных рассылок.

Инструкция
  1. Проработать тему новой рассылки с учетом:
    1. Тем предыдущих рассылок
    2. Произошедших инцидентов безопасности
    3. Ситуации в мире (громкие инциденты в отрасли и на рынке) 
  2. Подготовить (написать) рассылку
  3. Разослать всем работникам
  4. По завершении задачи отразить тему проведенной рассылки в отчете
Рекомендации к заполнению карточки:
  • В заметке к мере прикрепить шаблон информационного письма для рассылки;
  • Создать шаблон регулярной задачи по проведению рассылки;
  • В отчете по исполнению задач указывать название проведенной рассылки.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации - инструкций, регламентов, стандарто...
Удерживающая ? Удерживающие (сдерживающие) меры Организация применяет сдерживающие меры пытаясь отговорить злоумышленников атаковать ее системы или помещения. Другими словами, сдерживающая контрмера используе...
Реализация
Вручную
Периодичность
Еженедельно
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
Косвенно РЗИ.16
РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации
Косвенно РЗИ.15
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Косвенно Р. 8 п. 9 п.п. 1
8.9.1. Должна быть организована санкционированная руководством организации БС РФ работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ. 
Косвенно Р. 8 п. 9 п.п. 6
8.9.6. Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли. 
Косвенно Р. 8 п. 11 п.п. 8
8.11.8. В организации БС РФ должна быть реализована программа обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний. 
Косвенно Р. 8 п. 9 п.п. 4
8.9.4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию:
  • по существующим политикам ИБ;
  • по применяемым в организации БС РФ защитным мерам;
  • по правильному использованию защитных мер в соответствии с внутренними документами организации БС РФ;
  • о значимости и важности деятельности работников для обеспечения ИБ организации БС РФ. 
CIS Critical Security Controls v8 (The 18 CIS CSC):
Косвенно 14.3
14.3 Train Workforce Members on Authentication Best Practices
Train workforce members on authentication best practices. Example topics include MFA, password composition, and credential management. 
Косвенно 14.6
14.6 Train Workforce Members on Recognizing and Reporting Security Incidents
Train workforce members to be able to recognize a potential incident and be able to report such an incident. 
NIST Cybersecurity Framework (RU):
Косвенно PR.AT-1
PR.AT-1: Все пользователи проинформированы и обучены 
Косвенно DE.DP-4
DE.DP-4: Информация об обнаружении событий передается соответствующим сторонам 
Косвенно RS.CO-4
RS.CO-4: Координация с заинтересованными сторонами происходит в соответствии с планами реагирования 
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
Косвенно A.7.2.2 A.7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности
Средства реализации: Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей.
Косвенно A.9.3.1 A.9.3.1 Использование секретной информации аутентификации
Средства реализации: Пользователи обязаны следовать правилам организации при использовании секретной аутентификационной информации.
Косвенно A.16.1.6 A.16.1.6 Излечение уроков из инцидентов информационной безопасности
Средства реализации: Знания, полученные из анализа и разрешения инцидентов информационной безопасности, должны использоваться для уменьшения вероятности инцидентов в будущем или их воздействия.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 17.5 CSC 17.5 Train Workforce on Secure Authentication
Train workforce members on the importance of enabling and utilizing secure authentication.
CSC 19.6 CSC 19.6 Publish Information Regarding Reporting Computer Anomalies and Incidents
Publish information for all workforce members, regarding reporting computer anomalies and incidents, to the incident handling team. Such information should be included in routine employee awareness activities.
CSC 17.9 CSC 17.9 Train Workforce Members on Identifying and Reporting Incidents
Train workforce members to be able to identify the most common indicators of an incident and be able to report such an incident.
CSC 17.1 CSC 17.1 Perform a Skills Gap Analysis
Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.1 ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы
Косвенно ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
Косвенно ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
NIST Cybersecurity Framework (EN):
Косвенно PR.AT-1 PR.AT-1: All users are informed and trained
Косвенно DE.DP-4 DE.DP-4: Event detection information is communicated
Косвенно RS.CO-4 RS.CO-4: Coordination with stakeholders occurs consistent with response plans
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
Косвенно ИПО.1 ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы
Косвенно ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
Косвенно ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Заражение вредоносным программным обеспечением из-за реагирования на мошеннические, фишинговые письма и сообщения у работника
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Реагирование на мошеннические, фишинговые письма и сообщения Работник 2

Комментарии 1

1 год назад
Примеры тем:
  • О передаче паролей
  • Выявляем фишинговые сайты
  • О массовой фишинговой атаке на компанию
  • Об архивах с паролем на электронной почте
  • Как отписаться от рассылок электронной почты
  • Безопасность мобильного банка и интернет-банка
  • Советы по использованию банковских карт
  • Безопасность при использовании банковских карт
  • Как настроить двойную проверку при входе
  • Каким может быть фишинговое письмо?
  • Ваша карта заблокирована
  • Использование личных устройств для работы
  • Что такое инцидент и что делать при его выявлении
  • Об ограничении запуска программ
  • Вашу почту взломали?
  • Снижение скорости работы компьютера
  • Об ошибках при входе в систему
  • Посторонние на территории
  • Коварный WiFi
  • Работа с браузерами
  • Как восстанавливать файлы
  • Защита мобильных устройств
  • Фишинговые письма
  • Электронная почта
  • Ограничение доступа к нежелательным сайтам
  • Не выбрасывайте чеки банкомата
  • О съемных носителях
  • Об антивирусной защите
  • О блокировке компьютера
  • О расширениях файлов
  • Зачем и как делать резервные копии?
  • Зачем нужны обновления ПО?
  • Как сменить пароль? 
  • Как запомнить пароль?
  • Каким должен быть пароль