Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Обучение новых работников правилам информационной безопасности

1 2 19

Цель: онбординг новых сотрудников, ознакомление их с принятыми в компании правилами информационной безопасности.

Варианты реализации:

Вручную при трудоустройстве, ознакомление под подпись с документами
Автоматически через LMS системы
Автоматически через SECURITM (Модуль опросов)
Автоматически через скрипты.
В заметке приведен пример скрипта для рассылки новым работникам приветственного письма с правилами ИБ

Рекомендации к заполнению карточки:

Описать как именно проводится обучение новых работников;

Область действия: Вся организация

Классификация

Тип

Организационная

Техническая

Удерживающая

Реализация

Автоматически

Периодичность

По событию

Ответственный

Не определено

Инструменты

Не определено

Цепочка мер

Обучение новых работников правилам информационной безопасности

Проведение рассылки по информационной безопасности

Проведение обучающих мероприятий по информационной безопасности

Последующие меры

№	Этап 1
1	Проведение рассылки по информационной безопасности
2	Проведение обучающих мероприятий по информационной безопасности

Исполнение требований

CIS Critical Security Controls v8 (The 18 CIS CSC):

14.1

14.1 Establish and Maintain a Security Awareness Program
Establish and maintain a security awareness program. The purpose of a security awareness program is to educate the enterprise’s workforce on how to interact with enterprise assets and data in a secure manner. Conduct training at hire and, at a minimum, annually. Review and update content annually, or when significant enterprise changes occur that could impact this Safeguard.

Постановление Правительства РФ № 211 от 21.03.2012 "Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами":

Подпункт 6

6. осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":

7.3 Осведомленность

7.3 Осведомленность
Лица, выполняющие работу под контролем организации, должны быть осведомлены в отношении:

a) политики информационной безопасности;
b) их вклада в эффективность систему менеджмента информационной безопасности, включая выгод от улучшения исполнения информационной безопасности; а также
c) последствий несоответствия требованиям системы менеджмента информационной безопасности.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":

7.3

7.3 Осведомленность
Лица, выполняющие работу под контролем организации, должны быть осведомлены:
а) о политике информационной безопасности организации;
b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности;
с) последствиях несоблюдения требований системы менеджмента информационной безопасности.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":

Requirement 12.6.3

12.6.3
Defined Approach Requirements:
Personnel receive security awareness training as follows:

Upon hire and at least once every 12 months.
Multiple methods of communication are used.
Personnel acknowledge at least once every 12 months that they have read and understood the information security policy and procedures.

Customized Approach Objective:
Personnel remain knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required.

Defined Approach Testing Procedures:

12.6.3.a Examine security awareness program records to verify that personnel attend security awareness training upon hire and at least once every 12 months.
12.6.3.b Examine security awareness program materials to verify the program includes multiple methods of communicating awareness and educating personnel.
12.6.3.c Interview personnel to verify they have completed awareness training and are aware of their role in protecting cardholder data.
12.6.3.d Examine security awareness program materials and personnel acknowledgments to verify that personnel acknowledge at least once every 12 months that they have read and understand the information security policy and procedures.

Purpose:
Training of personnel ensures they receive the information about the importance of information security and that they understand their role in protecting the organization.
Requiring an acknowledgment by personnel helps ensure that they have read and understood the security policies and procedures, and that they have made and will continue to make a commitment to comply with these policies.

Good Practice:
Entities may incorporate new-hire training as part of the Human Resources onboarding process. Training should outline the security-related “dos” and “don’ts.” Periodic refresher training reinforces key security processes and procedures that may be forgotten or bypassed.
Entities should consider requiring security awareness training anytime personnel transfer into roles where they can impact the security of account data from roles where they did not have this impact.
Methods and training content can vary, depending on personnel roles.

Examples:
Different methods that can be used to provide security awareness and education include posters, letters, web-based training, in-person training, team meetings, and incentives.
Personnel acknowledgments may be recorded in writing or electronically.

A.7.2.2

A.7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":

7.3 Awareness

7.3 Awareness
Persons doing work under the organization’s control shall be aware of:

a) the information security policy;
b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
c) the implications of not conforming with the information security management system requirements.

CIS Critical Security Controls v7.1 (SANS Top 20):

CSC 17.1 CSC 17.1 Perform a Skills Gap Analysis
Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":

Requirement 12.6.3.1

12.6.3.1
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность об угрозах и уязвимостях, которые могут повлиять на безопасность CDE, включая, но не ограничиваясь этим:

Фишинг и связанные с ним атаки.
Социальная инженерия.

Цель Индивидуального подхода:
Персонал осведомлен о своих собственных человеческих уязвимостях и о том, как субъекты угроз будут пытаться использовать такие уязвимости. Персонал может получить доступ к помощи и руководству, когда это необходимо.

Примечания по применению:
См. Требование 5.4.1 для получения указаний о различии между техническими и автоматизированными средствами контроля для обнаружения и защиты пользователей от фишинговых атак, а также это требование для обеспечения обучения пользователей по вопросам безопасности в отношении фишинга и социальной инженерии. Это два отдельных и отличных требования, и одно из них не выполняется путем внедрения средств контроля, требуемых другим.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

12.6.3.1 Изучите содержание тренинга по повышению осведомленности о безопасности, чтобы убедиться, что оно включает все элементы, указанные в этом требовании.

Цель:
Обучение персонала тому, как обнаруживать, реагировать и сообщать о потенциальных фишинговых и связанных с ними атаках, а также попытках социальной инженерии, имеет важное значение для минимизации вероятности успешных атак.

Надлежащая практика:
Эффективная программа повышения осведомленности о безопасности должна включать примеры фишинговых электронных писем и периодическое тестирование для определения распространенности сообщений персонала о таких атаках. Учебные материалы, которые организация может рассмотреть для этой темы, включают:

Как идентифицировать фишинг и другие атаки социальной инженерии.
Как реагировать на подозрения в фишинге и социальной инженерии.
Где и как сообщать о подозрениях в фишинге и социальной инженерии.

Акцент на отчетности позволяет организации поощрять позитивное поведение, оптимизировать технические средства защиты (см. Требование 5.4.1) и принимать немедленные меры по удалению аналогичных фишинговых писем, которые обходили технические средства защиты, из почтовых ящиков получателей.

Requirement 12.6.3.2

12.6.3.2
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.

Цель Индивидуального подхода:
Персонал осведомлен о своей ответственности за безопасность и эксплуатацию технологий конечного пользователя и может получить доступ к помощи и руководству, когда это необходимо.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

12.6.3.2 Изучите содержание тренинга по повышению осведомленности о безопасности, чтобы убедиться, что оно включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.

Цель:
Включив ключевые пункты политики приемлемого использования в регулярное обучение и соответствующий контекст, персонал поймет свои обязанности и то, как они влияют на безопасность систем организации.

Requirement 12.6.3

12.6.3
Определенные Требования к Подходу:
Персонал проходит обучение по вопросам безопасности следующим образом:

При приеме на работу и не реже одного раза в 12 месяцев.
Используются различные методы комуникации.
Персонал подтверждает, по крайней мере, один раз в 12 месяцев, что он прочитал и понял политику и процедуры информационной безопасности.

Цель Индивидуального подхода:
Персонал по-прежнему осведомлен о ландшафте угроз, своей ответственности за функционирование соответствующих средств контроля безопасности и может получить доступ к помощи и руководству, когда это необходимо.

Определенные Процедуры Тестирования Подхода:

12.6.3.a Изучите записи программы повышения осведомленности о безопасности, чтобы убедиться, что персонал проходит обучение по повышению осведомленности о безопасности при приеме на работу и не реже одного раза в 12 месяцев.
12.6.3.b Изучите материалы программы повышения осведомленности о безопасности, чтобы убедиться, что программа включает в себя множество методов информирования и обучения персонала.
12.6.3.c Провести собеседование с персоналом, чтобы убедиться, что он прошел обучение по повышению осведомленности и осведомлен о своей роли в защите данных о держателях карт.
12.6.3.d Изучайте материалы программы повышения осведомленности о безопасности и подтверждения персонала, чтобы убедиться, что персонал подтверждает, по крайней мере, один раз в 12 месяцев, что он прочитал и понял политику и процедуры информационной безопасности.

Цель:
Обучение персонала гарантирует, что они получат информацию о важности информационной безопасности и что они понимают свою роль в защите организации.
Требование подтверждения со стороны персонала помогает убедиться в том, что они прочитали и поняли политики и процедуры безопасности, а также в том, что они взяли и будут продолжать брать на себя обязательство соблюдать эти политики.

Надлежащая практика:
Организации могут включать обучение новых сотрудников в качестве части процесса адаптации персонала. В обучении должны быть изложены “можно” и “нельзя”, связанные с безопасностью. Периодическое повышение квалификации укрепляет ключевые процессы и процедуры безопасности, которые могут быть забыты или обойдены.
Организациям следует рассмотреть возможность проведения обучения по вопросам безопасности в любое время, когда персонал переходит на роли, где он может повлиять на безопасность данных учетной записи, с ролей, где он не оказывал такого влияния.
Методы и содержание обучения могут варьироваться в зависимости от ролей персонала.

Примеры:
Различные методы, которые могут быть использованы для повышения осведомленности и просвещения по вопросам безопасности, включают плакаты, письма, веб-обучение, очное обучение, групповые встречи и поощрения.
Благодарности персонала могут быть записаны в письменной или электронной форме.

Requirement 12.6.2

12.6.2
Определенные Требования к Подходу:
Программа повышения осведомленности о безопасности - это:

Пересматривается не реже одного раза в 12 месяцев, и
Обновляется по мере необходимости для устранения любых новых угроз и уязвимостей, которые могут повлиять на безопасность CDE организации, или информации, предоставляемой персоналу об их роли в защите данных о держателях карт.

Цель Индивидуального подхода:
Содержание информационных материалов по вопросам безопасности периодически пересматривается и обновляется.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

12.6.2 Изучите содержание программы повышения осведомленности о безопасности, доказательства проверок и опросите персонал, чтобы убедиться, что программа повышения осведомленности о безопасности соответствует всем элементам, указанным в этом требовании.

Цель:
Среда угроз и средства защиты объекта не являются статичными. Таким образом, материалы программы повышения осведомленности о безопасности должны обновляться так часто, как это необходимо, чтобы гарантировать, что обучение, полученное персоналом, является актуальным и отражает текущую среду угроз.

А.6.3

А.6.3 Осведомленность, образование и обучение в области ИБ
Персонал организации и релевантные заинтересованные стороны, соответственно их рабочим обязанностям, должны получать соответствующие информацию, повышение осведомленности, образование и обучение в области ИБ, а также регулярные обновления политики ИБ организации, специфических тематических политик и процедур.

Федеральный Закон № 152 от 27.07.2006 "О персональных данных":

Статья 18.1. Пункт 1. п.п.6

6. ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

SWIFT Customer Security Controls Framework v2022:

7 - 7.2 Security Training and Awareness

7.2 Security Training and Awareness

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы

ИПО.1 ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы

Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":

ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.6.3

А.6.3 Information security awareness, education and training
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization's information security policy, topic-specific policies and procedures, as relevant for their job function.

Связанные риски

Риск	Связи
Нарушение установленных политик информационной безопасности из-за отсутствия ознакомления с политиками информационной безопасности у работника Право	2
Нарушение установленных политик информационной безопасности из-за непонимания политик информационной безопасности у работника Право	1

Заметки

Николай

7 месяцев назад

Community

Скрипт User Awareness

Рассылка всем новым пользователям приветственного письма от Службы ИБ с перечнем материалов по информационной безопасности и ссылкой на систему тестирования.
(можно бесплатно сделать тесты на MS Forms, Google Forms, Yandex Forms).
Последующая рассылка уведомлений в службу ИБ но необходимости проверки знаний новых работников.

$ScriptPath = "C:\scripts\UserAwareness" # Каталок с скриптом
$MailServer = "mail.mycorp.ru" # Локальный почтовый сервер
$MailSender = "Информационная безопасность <infosec@mycorp.ru>" # адрес почты для рассылки
$AdminMail = "infosec@mycorp.ru" # кому присылать уведомления о проверке

import-module activedirectory
$users = Get-ADUser  -SearchBase "DC=mycorp,DC=ru" -Filter * -Properties SamAccountName,
        Name, Company, Department, Description, Office, telephoneNumber, whenCreated, whenChanged, LastLogonDate, 
        LastBadPasswordAttempt, CanonicalName, pwdLastSet, mail

$yesterday = (get-date).adddays(-1)

$NewUsers = @()
$NoMailUsers =  @()
$NewUsersCheck = @()

foreach($user in $users)
{
    if($user.whenCreated -gt $yesterday)
    {
        if($user.mail)
        {
            write-output "MAIL YES"
            $NewUsers += $user
        } else {
            write-output "MAIL NO"
            $NoMailUsers += $user
        }

    }
}

# уведомление новых пользователей
foreach($user in $NewUsers)
{
    $MailRecipient = $user.mail
 
    $message = New-Object System.Net.Mail.MailMessage
    $message.From = $MailSender
    $message.Subject = "Правила информационной безопасности (для $($user.name))"
    $smtp = New-Object Net.Mail.SmtpClient($MailServer)
    $smtp.Credentials = $null
    $message.IsBodyHTML = $true
    $message.To.Add($MailRecipient)
    $message.Attachments.Add($Attachment)

$message.Body = '
    Доброго дня,
    <br/>Отдел информационной безопасности приветствует Вас в рядах пользователей информационных систем MyCorp LLC !
    <br/>Как и в любой системе у нас есть определенные правила и порядки, поэтому просим Вас ознакомиться с:
    <ol><li><a href="\\fileserver\Public\Информационная безопасность\Политика ИБ.pdf">Политикой информационной безопасности MyCorp</a>
    </li><li><a href="\\fileserver\Public\Информационная безопасность\UsePolicy.pdf" >Инструкцией по допустимому использованию информационных активов</a>
    </li><li><a href="\\fileserver\Public\Информационная безопасность\Рассылка.docx">Корпоративной рассылкой по информационной безопасности</a>
    </li></ol>Понимая, что информация требует внимательного и спокойного изучения, на это отводится целая неделя.
    
    <br/><br/>После ознакомления просим Вас пройти <a href="https://forms.mycorp.ru/......">Оценку подготовленности к отражению информационных угроз</a>.

    <br/><i>К сожалению, в случае отсутствия ознакомления с материалами или непрохождения теста доступ к информационным ресурсам <b>может быть ограничен</b>. Но уверены, это не про Вас!</i>
    <br/>Если появятся вопросы - будем рад помочь.
    <br/>__________
    <br/>С уважением, отдел информационной безопасности
    <br/>MyCorp LLC
    <br/>infosec@mycorp.ru
    '
    $smtp.Send($message)
}

#ежедневное уведомление администратора (лог, удалить если не нужно)
if($NewUsers -or $NoMailUsers)
{
    $message = New-Object System.Net.Mail.MailMessage
    $message.From = $MailSender
    $message.Subject = "Awareness: Отчет"
    $smtp = New-Object Net.Mail.SmtpClient($MailServer)
    $smtp.Credentials = $null
    $message.IsBodyHTML = $true
    $message.To.Add($AdminMail)
    $message.Body = "Отчет по работе скрипта User Awareness за $yesterday"

    if($NewUsers)
    {
        $message.Body += '<br/><br/><font color="green">Отправлены уведомления новым пользователям:</font>'
        foreach($user in $NewUsers)
        {
            $message.Body += "<br/><br/><b>$($user.SamAccountName)</b>($($user.Mail))<br/>$($user.CanonicalName)"
        }
    }

    if($NoMailUsers)
    {
        $message.Body += '<br/><br/><font color="red">Не отправлены уведомления новым пользователям (нет почты):</font>'
        foreach($user in $NoMailUsers)
        {
            $message.Body += "<br/><br/><b>$($user.SamAccountName)</b><br/>$($user.CanonicalName)"
        }
    }
    
    $message.Body += "<br/><br/>_____________<br/>С уважением, скрипт User Awareness"
    $smtp.Send($message)
}

#Еженедельное уведомление администратора (задача)
if((get-date).DayOfWeek -eq "Friday")
{
    foreach($user in $users)
    {
        if(($user.whenCreated -gt $yesterday.AddDays(-21)) -and 
            ($user.whenCreated -lt $yesterday.AddDays(-14)) -and
            $user.mail)
        {
            $NewUsersCheck += $user
        }
    }
    if($NewUsersCheck)
    {
        $message = New-Object System.Net.Mail.MailMessage
        $message.From = $MailSender
        $message.Subject = "Awareness: Необходимо провести проверку ($($NewUsersCheck.count) пользователей)"
        $smtp = New-Object Net.Mail.SmtpClient($MailServer)
        $smtp.Credentials = $null
        $message.IsBodyHTML = $true
        $message.To.Add($AdminMail)
        $message.Body = "Необходимо провести проверку новых пользователей за период с $($yesterday.AddDays(-14)) по $($yesterday.AddDays(-7))<br/>"
        $message.Body += ' <br/>1. Прошли ли пользователи тестирование (<a href="https://forms.mycorp.ru/....">Отчет MyCorp Forms</a>) ?'
        $message.Body += ' <br/>2. Открывали ли пользователи документы (DLP/DCAP/Logs) ?'
		$message.Body += '<br/><font color="blue">_________________________________________</font>'
        foreach($user in $NewUsersCheck)
        {
            $message.Body += "<br/><br/><b>$($user.SamAccountName)</b> (создан $($user.whenCreated))<br/>$($user.CanonicalName)"
        }
        $message.Body += '<br/><font color="blue">_________________________________________</font>'
        $message.Body += '<br/><br/>Если проверка не пройдена необходимо (в зависимости от ситуации):'
		$message.Body += '<br/>1. Проверить, использовалась ли учетная запись пользователя (...)?'
		$message.Body += '<br/>2. Провести беседу с пользователем (<a href="https://sharepoint.mycorp.ru/Pages/Employees.aspx">Телефонный справочник</a>)'
		$message.Body += '<br/>3. Ограничить права учетной записи (...)</i><br/><br/>_____________<br/>С уважением, скрипт User Awareness'
        $smtp.Send($message)
    }
}

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.