Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Проведение обучающих мероприятий по информационной безопасности

Цель: повышение осведомленности работников.

Выполнять регулярные мероприятия по повышению осведомленности, а также поддерживать знания в области безопасности.

Варианты реализации:
  • Очные или дистанционные курсы;
  • Разовые встречи или вебинары;
  • Непрерывное (регулярное) обучение;
  • Платформы для обучения (например, Kaspersky Automated Security Awareness Platform).
Проведение рассылок по информационной безопасности выделено в отдельную защитную меру.

Обучение может затрагивать:
  • Только технический персонал, пользователей с привилегированными правами в информационных системах;
  • Работников допущенных к конфиденциальной информации и в ключевые системы компании;
  • Всех работников.
Для обучения должна быть определена периодичность. Дополнительное обучение может назначаться в результате инцидентов безопасности, смены должности работника.

Рекомендации к заполнению карточки:
  • Описать в карточке кого из работников обучают, с какой периодичностью, каким образом;
  • Если разработаны отдельные документы (программа, план обучения) - привести на них ссылки;
  • Добавить шаблон регулярной задачи по проведению обучения.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации - инструкций, регламентов, стандарто...
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.15
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 9 п.п. 6
8.9.6. Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли. 
Р. 8 п. 11 п.п. 8
8.11.8. В организации БС РФ должна быть реализована программа обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний. 
Р. 8 п. 9 п.п. 4
8.9.4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию:
  • по существующим политикам ИБ;
  • по применяемым в организации БС РФ защитным мерам;
  • по правильному использованию защитных мер в соответствии с внутренними документами организации БС РФ;
  • о значимости и важности деятельности работников для обеспечения ИБ организации БС РФ. 
CIS Critical Security Controls v8 (The 18 CIS CSC):
Косвенно 14.6
14.6 Train Workforce Members on Recognizing and Reporting Security Incidents
Train workforce members to be able to recognize a potential incident and be able to report such an incident. 
Косвенно 14.3
14.3 Train Workforce Members on Authentication Best Practices
Train workforce members on authentication best practices. Example topics include MFA, password composition, and credential management. 
NIST Cybersecurity Framework (RU):
PR.AT-1
PR.AT-1: Все пользователи проинформированы и обучены 
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
Косвенно A.7.2.2 A.7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности
Средства реализации: Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей.
Косвенно A.17.1.2 A.17.1.2 Обеспечение непрерывности информационной безопасности
Средства реализации: Организация должна установить, документировать, внедрить и поддерживать процессы, процедуры и средства управления, чтобы гарантировать необходимый уровень непрерывности информационной безопасности во время неблагоприятной ситуации.
Косвенно A.12.1.1 A.12.1.1 Документированные рабочие процедуры
Средства реализации: Рабочие процедуры должны быть документированы и доступны всем пользователям, которым они необходимы.
CIS Critical Security Controls v7.1 (SANS Top 20):
Косвенно CSC 17.9 CSC 17.9 Train Workforce Members on Identifying and Reporting Incidents
Train workforce members to be able to identify the most common indicators of an incident and be able to report such an incident.
Косвенно CSC 17.5 CSC 17.5 Train Workforce on Secure Authentication
Train workforce members on the importance of enabling and utilizing secure authentication.
SWIFT Customer Security Controls Framework v2022:
Косвенно 7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
ИПО.0 ИПО.0 Разработка политики информирования и обучения персонала
Косвенно ИПО.4 ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы
NIST Cybersecurity Framework (EN):
Косвенно PR.AT-1 PR.AT-1: All users are informed and trained
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
ИПО.0 ИПО.0 Регламентация правил и процедур информирования и обучения персонала
Косвенно ИПО.4 ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы

Связанные риски

Ничего не найдено