Куда я попал?
Цель: повышение осведомленности работников.
Выполнять регулярные мероприятия по повышению осведомленности, а также поддерживать знания в области безопасности.
Варианты реализации:
Выполнять регулярные мероприятия по повышению осведомленности, а также поддерживать знания в области безопасности.
Варианты реализации:
- Очные или дистанционные курсы;
- Разовые встречи или вебинары;
- Непрерывное (регулярное) обучение;
- Платформы для обучения (например, Kaspersky Automated Security Awareness Platform).
Проведение рассылок по информационной безопасности выделено в отдельную защитную меру.
Обучение может затрагивать:
Обучение может затрагивать:
- Только технический персонал, пользователей с привилегированными правами в информационных системах;
- Работников допущенных к конфиденциальной информации и в ключевые системы компании;
- Всех работников.
Для обучения должна быть определена периодичность. Дополнительное обучение может назначаться в результате инцидентов безопасности, смены должности работника.
Рекомендации к заполнению карточки:
- Описать в карточке кого из работников обучают, с какой периодичностью, каким образом;
- Если разработаны отдельные документы (программа, план обучения) - привести на них ссылки;
- Добавить шаблон регулярной задачи по проведению обучения.
Область действия: Вся организация
Классификация
Тип
Организационная
?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Цепочка мер
Проведение обучающих мероприятий по информационной безопасности
Предшествующие меры
№ | Этап -1 | ||||
---|---|---|---|---|---|
1 | Обучение новых работников правилам информационной безопасности |
Исполнение требований
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.15
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
3-О 2-О 1-О
3-О 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 9 п.п. 6
8.9.6. Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли.
Р. 8 п. 11 п.п. 8
8.11.8. В организации БС РФ должна быть реализована программа обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний.
Р. 8 п. 9 п.п. 4
8.9.4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию:
- по существующим политикам ИБ;
- по применяемым в организации БС РФ защитным мерам;
- по правильному использованию защитных мер в соответствии с внутренними документами организации БС РФ;
- о значимости и важности деятельности работников для обеспечения ИБ организации БС РФ.
NIST Cybersecurity Framework (RU):
PR.AT-1
PR.AT-1: Все пользователи проинформированы и обучены
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.2
ИПО.2 Обучение персонала правилам безопасной работы
ДНС.2
ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
ИПО.0
ИПО.0 Разработка политики информирования и обучения персонала
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ДНС.2
ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
ИПО.2
ИПО.2 Обучение персонала правилам безопасной работы
ИПО.0
ИПО.0 Регламентация правил и процедур информирования и обучения персонала
Связанные риски
Ничего не найдено