Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Ведение учета обучения сотрудников, участвующих в разработке программного обеспечения

Цель: обеспечить контроль за прохождением сотрудниками обучения по безопасной разработке, зафиксировать факты повышения квалификации и осведомленности, а также обеспечить соответствие требованиям ГОСТ Р 56939-2024.

Формируется единый и актуальный реестр обучения сотрудников, содержащий сведения о прохождении курсов, внутренних тренингов, внешних программ, а также мероприятий по повышению осведомленности.

Это позволяет отслеживать прогресс, подтверждать квалификацию и демонстрировать соответствие требованиям по обучению (внутренним и внешним).

Учет должен включать:

Фактические сведения по каждому сотруднику: ФИО, подразделение, должность;
Курсы и тренинги (внутренние и внешние), в которых сотрудник принял участие;
Форматы и темы мероприятий по повышению осведомленности (вебинары, рассылки, тестирования и пр.);
Документы, подтверждающие факт прохождения: сертификаты, свидетельства, отчеты LMS-платформ, скан-копии результатов итоговых тестов и заданий;
Сопоставление с планом обучения (по артефакту 5.2.3.2): наименование курса, сроки, ожидаемые результаты.

Артефакты по ГОСТ Р 56939-2024:

5.2.3.2 – План обучения (ФИО, сроки, курс, результат);
5.2.3.3 – Сертификаты, дипломы, отчёты платформ;
5.2.3.6 – Информация о мероприятиях повышения осведомленности и списки участников.

Рекомендации к заполнению карточки меры:

Добавить файл реестра учета (Excel, Word, выгрузку из LMS), фиксирующий факт прохождения обучения каждым сотрудником, в Реестр документов по защите информации (в модуле активов SECURITM);
Альтернативный вариант учета - в электронной форме в реестре активов SECURITM;
Вести журнал прохождения обучения: дата, тема, подтверждающий документ, результат, подпись/сертификат;
Добавить шаблон задачи для ежеквартального обновления реестра (журнала) учета обучений;
Назначить ответственных за ведение (актуализацию) реестра: DevSecOps-инженер, HR, руководитель ИБ, администратор LMS (при наличии).

Дополнительно:

Рекомендуется оформлять учёт обученных сотрудников в виде таблицы с фильтрацией по фамилии, курсу, подразделению.

Мероприятия по повышению осведомленности (рассылки, видеолекции, митапы) также должны учитываться в реестре (журнале) с указанием темы и охвата сотрудников.

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Ежеквартально

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Журнал учета обучений.docx

Цепочка мер

Разработка Плана обучения сотрудников, участвующих в разработке программного обеспечения

Ведение учета обучения сотрудников, участвующих в разработке программного обеспечения

Предшествующие меры

№	Этап -1
1					Разработка Плана обучения сотрудников, участвующих в разработке программного обеспечения

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая

Связанные риски

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.