Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Обучение рядовых сотрудников в ИБ

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Повышение экспертизы
Процесс: Повышение экспертизы
Практика: Обучение рядовых сотрудников в ИБ
Инициатива: Обучение базовой ИБ-гигиене
Описание:
Обучение всех сотрудников базовым принципам ИБ позволит сократить риски, связанные с внутренним нарушениями, и повысит общую осведомленность о безопасности в организации. Такое обучение, как правило, представляет собой курс и является обязательным для всех сотрудников, в том числе входит в программу онбординга для новичков. Материалы обучения касаются безопасной передачи данных, хранения паролей, фишинга, а также других важных аспектов ИБ.
Шаги реализации:
Определить цели обучения (повышение осведомленности о киберугрозах, сокращение рисков внутренних нарушений).
Разработать программу обучения: продумать темы, формат (онлайн/оффлайн) и материалы (курсы, презентации и т. д.)
Включить обучение в программу онбординга для новых сотрудников.
Сделать обучение обязательным для всех сотрудников организации.
Регулярно обновлять материалы обучения с учетом изменения киберугроз и технологий.
Зона ответственности: ИБ
Инструмент: -
Артефакт: -
Инициатива: Обучение разработчиков безопасному программированию
Описание:
Чтобы сократить количество уязвимостей, возникающих на этапе написания кода, рекомендуется отправлять разработчиков на специализированные курсы, митапы и конференции. Это позволит им узнать о принципах безопасной разработки, ознакомиться с известными уязвимостями и методами тестирования безопасности, а также повысить осведомленность о вредоносных атаках. Обучение поможет разработчикам лучше понимать свою ответственность в обеспечении безопасности и повысит их навыки написания безопасного кода [SC2].
Шаги реализации:
1. Определить темы обучения разработчиков.
2. Выбрать формат обучения и его периодичность.
3. Регулярно обновлять программу обучения в соответствии с появлением новых практик, известных уязвимостей и т. д.
4. Обновлять регламент безопасного кодирования в соответствии с новыми знаниями разработчиков.
5. Поощрять разработчиков за самостоятельное изучение безопасного кодирования.
6. Сделать процесс повышения компетенций обязательным и регулярным.
Зона ответственности: ИТ
Инструмент: -
Артефакт: -
Инициатива: Проведение тестирования
Описание:
Чтобы убедиться в успешном прохождении сотрудниками обучения, рекомендуется внедрить тестирование по пройденному материалу. Тестирование может проводиться как сразу после курсов в качестве итогового экзамена, так и в рамках периодических ассесментов.
Для практики отработки знаний можно ввести киберучения — т. н. учебные тревоги. Например, отправить фишинговое сообщение на почту и посмотреть, как сотрудники отреагируют. Успешное прохождение тестирования может поощряться, что позволит простимулировать сотрудников и даже выявить потенциальных Security Champion'ов [TAS4] (лидеров продвижения культуры безопасности в организации).
Шаги реализации:
1. Изучить программу обучения и сформировать перечень навыков и знаний, которые будут проверяться.
2. Проводить итоговые экзамены по окончанию курсов.
3. Внедрить периодические киберучения для оценки усвоения материала — фишинговые письма, тестовые атаки, имитацию уязвимостей для проверки реакции сотрудников.
4. Изучить результаты тестирования и киберучений, чтобы выявить пробелы в знаниях и корректировать программу обучения.
5. Внедрить систему поощрений за успешное прохождение тестов и активное участие в киберучениях.
6. Регулярно обновлять сценарии тестирования и киберучений в соответствии с актуальными угрозами.
7. Использовать результаты тестирования как метрику при оценке стратегии и общего уровня безопасности компании.
Зона ответственности: Организация
Инструмент: -
Артефакт: -
Инициатива: Регулярное повышение компетенций
Описание:
При наличии ресурсов рекомендуется постоянно повышать компетенции сотрудников в области ИБ, предоставляя им новые курсы, отправляя на конференции и профессиональные мероприятия. Повышение экспертизы и регулярное обучение позволит увеличить общий уровень зрелости организации, что приведет к росту защищенности разрабатываемых приложений и сокращению рисков, связанных с безопасностью.
Важно также создать культуру постоянного обучения и развития в области ИБ. Это может включать в себя стимулирование сотрудников к самостоятельному изучению новых технологий и методов защиты, создание специальных групп для обмена опытом и знаниями, а также привлечение внешних экспертов для проведения мастер-классов и тренингов.
Шаги реализации:
Разработать план непрерывного повышения экспертизы, включающий новые курсы, конференции, ИБ-мероприятия и др.
Выделять бюджет на обучение сотрудников, включая оплату курсов, командировок и профессиональных материалов.
Сделать обучение доступным для сотрудников, предоставляя доступ к онлайн-курсам, книгам и т. д.
Создать систему стимулирования и поощрения сотрудников за интерес к ИБ.
Организовывать регулярные встречи для обсуждения актуальных проблем безопасности и новых технологий.
Приглашать внешних экспертов для проведения мастер-классов и тренингов.
Создать условия для применения полученных знаний на практике.
Мониторить уровень компетенций сотрудников в области ИБ и при необходимости проводить дополнительные индивидуальные обучения.
Зона ответственности: ИБ
Инструмент: -
Артефакт: -

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.