Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CIS Critical Security Controls v7.1 (SANS Top 20)


CSC 17.5

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.6  Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер обеспечения операционной надежности в рамках процесса обеспечения операционной надежности.
CIS Critical Security Controls v8 (The 18 CIS CSC):
14.3 Train Workforce Members on Authentication Best Practices
Train workforce members on authentication best practices. Example topics include MFA, password composition, and credential management. 
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.17 Организация целевого обучения работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в частности организация целевого обучения по вопросам противодействия реализации информационных угроз для работников, входящих в группы повышенного риска*.
NIST Cybersecurity Framework (RU):
PR.AT-1: Все пользователи проинформированы и обучены 
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
14.3 Реализовано обучение работников лучшим практикам аутентификации
Сотрудники получают знания о многофакторной аутентификации, создании сильных паролей и управлении учетными записями.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.3.8
Defined Approach Requirements: 
Authentication policies and procedures are documented and communicated to all users including:
  • Guidance on selecting strong authentication factors.
  • Guidance for how users should protect their authentication factors.
  • Instructions not to reuse previously used passwords/passphrases.
  • Instructions to change passwords/passphrases if there is any suspicion or knowledge that the password/passphrases have been compromised and how to report the incident. 
Customized Approach Objective:
Users are knowledgeable about the correct use of authentication factors and can access assistance and guidance when required. 

Defined Approach Testing Procedures:
  • 8.3.8.a Examine procedures and interview personnel to verify that authentication policies and procedures are distributed to all users. 
  • 8.3.8.b Review authentication policies and procedures that are distributed to users and verify they include the elements specified in this requirement. 
  • 8.3.8.c Interview users to verify that they are familiar with authentication policies and procedures. 
Communicating authentication policies and procedures to all users helps them to understand and abide by the policies. 

Good Practice:
Guidance on selecting strong passwords may include suggestions to help personnel select hard-to-guess passwords that do not contain dictionary words or information about the user, such as the user ID, names of family members, date of birth, etc. 
Guidance for protecting authentication factors may include not writing down passwords or not saving them in insecure files, and being alert to malicious individuals who may try to exploit their passwords (for example, by calling an employee and asking for their password so the caller can “troubleshoot a problem”). 
Alternatively, entities can implement processes to confirm passwords meet password policy, for example, by comparing password choices to a list of unacceptable passwords and having users choose a new password for any that match with one on the list. Instructing users to change passwords if there is a chance the password is no longer secure can prevent malicious users from using a legitimate password to gain unauthorized access. 
Guideline for a healthy information system v.2.0 (EN):
The operational teams (network, security and system administrators, project managers, developers, chief information security officer (CISO)) have special access to the information system. They can, inadvertently or through not understanding the consequences of certain practices, carry out operations creating vulnerabilities. 

We can cite for example, granting accounts with too many privileges in relation to the task to be carried out, the use of personal accounts to carry out services or periodical tasks, or even choosing passwords that are not sufficiently robust granting access to privileged accounts. 

The operational teams, to comply with information system security accepted practice, must therefore undertake - upon taking on their role and, subsequently, at regular intervals - training on:
  •  the legislation in effect;
  • the main risks and threats;
  • security maintenance;
  • authentication and access control;
  • the detailed configuration and hardening of systems;
  • network partitioning; 
  • and logging.
This list must be specified according to the employee’s job , considering aspects such as security integration for project managers, secure development for developers, the security reference documents for ISSMs, etc. Moreover, it is necessary to mention specific clauses in service agreements in order to guarantee regular training in information system security for external staff and especially outsourcers. 

Each user is a part of the information system chain. To this end, as he enters the organization, he must be informed of the security stakes, the rules to respect and the proper behaviour to adopt in terms of information system security by awareness raising and training actions. 

These actions must be regular and adapted to the users targeted. It may take different forms (emails, displays, meetings, dedicated intranet space, etc.) and, as a minimum, deal with the following issues:
  • the objectives and stakes that the organization encounters in terms of information system security;
  • the information considered as sensitive; 
  • the regulations and legal obligations;
  • the rules and security instructions governing daily activity: adhering to the security policy, not connecting personal devices to the network of the organization, not divulging passwords to a third party, not reusing professional passwords in the private sphere or the other way round, reporting suspicious events, etc.;
  • the means available and involved in computer security: systematically locking the session when the user leaves his device, password protection tool, etc. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.2.2  Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности 
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей 
A.9.3.1 Использование секретной аутентификационной информации 
Мера обеспечения информационной безопасности: При использовании секретной аутентификационной информации пользователи должны выполнять установленные в организации правила 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.3.8
Определенные Требования к Подходу:
Политики и процедуры аутентификации документируются и доводятся до сведения всех пользователей, включая:
  • Руководство по выбору надежных факторов аутентификации.
  • Руководство по тому, как пользователи должны защищать свои факторы аутентификации.
  • Инструкции не использовать повторно ранее использованные пароли / парольные фразы.
  • Инструкции по смене паролей/парольных фраз, если есть какие-либо подозрения или сведения о том, что пароль/парольные фразы были скомпрометированы, и как сообщить об инциденте.
Цель Индивидуального подхода:
Пользователи осведомлены о правильном использовании факторов аутентификации и при необходимости могут получить доступ к помощи и рекомендациям.

Определенные Процедуры Тестирования Подхода:
  • 8.3.8.a Изучить процедуры и опросить персонал, чтобы убедиться, что политики и процедуры аутентификации распространены среди всех пользователей.
  • 8.3.8.b Просмотрите политики и процедуры аутентификации, которые распространяются среди пользователей, и убедитесь, что они включают элементы, указанные в этом требовании.
  • 8.3.8.c Опрашивать пользователей, чтобы убедиться, что они знакомы с политиками и процедурами аутентификации.
Доведение политик и процедур аутентификации до сведения всех пользователей помогает им понять эти политики и соблюдать их.

Надлежащая практика:
Руководство по выбору надежных паролей может включать рекомендации, помогающие персоналу выбирать пароли, которые трудно угадать, которые не содержат словарных слов или информации о пользователе, такой как идентификатор пользователя, имена членов семьи, дата рождения и т.д.
Рекомендации по защите факторов аутентификации могут включать в себя отказ от записи паролей или их сохранения в небезопасных файлах, а также предупреждение о злоумышленниках, которые могут попытаться использовать их пароли (например, позвонив сотруднику и попросив его пароль, чтобы вызывающий абонент мог “устранить проблему”).
В качестве альтернативы, организации могут реализовать процессы для подтверждения соответствия паролей политике паролей, например, путем сравнения выбранных паролей со списком неприемлемых паролей и предоставления пользователям возможности выбрать новый пароль для любого, который совпадает с одним из них в списке. Указание пользователям сменить пароли, если есть вероятность, что пароль больше не является безопасным, может помешать злоумышленникам использовать законный пароль для получения несанкционированного доступа.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.3 Осведомленность, образование и обучение в области ИБ
Персонал организации и релевантные заинтересованные стороны, соответственно их рабочим обязанностям, должны получать соответствующие информацию, повышение осведомленности, образование и обучение в области ИБ, а также регулярные обновления политики ИБ организации, специфических тематических политик и процедур.
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.1 ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы
ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
NIST Cybersecurity Framework (EN):
PR.AT-1 PR.AT-1: All users are informed and trained
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИПО.1 ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы
ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.3.1 Использование секретной аутентификационной информации

Мера обеспечения ИБ
При использовании секретной аутентификационной информации пользователи должны выполнять установленные в организации правила.

Руководство по применению
Всем пользователям должно быть рекомендовано:
  • a) хранить секретную аутентификационную информацию в тайне, гарантируя, что она не будет разглашена никакой другой стороне, в том числе представителям органов власти;
  • b) избегать хранения записей секретной аутентификационной информации (например на бумаге, в файле программного обеспечения или на мобильном устройстве), кроме тех случаев, когда эти записи могут быть надежно сохранены, а способ хранения одобрен (например хранилище паролей);
  • c) изменять секретную аутентификационную информацию всякий раз, когда есть какие-либо признаки ее возможной компрометации;
  • d) когда в качестве секретной аутентификационной информации используются пароли, необходимо выбирать стойкие пароли с достаточной минимальной длиной, которые:
  1. легко запомнить;
  2. не основаны на том, о чем кто-либо другой может легко догадаться или вычислить на основе личной информации, например имена, номера телефонов и даты рождения и т.д.;
  3. неуязвимы к атакам по словарю (т.е. не состоят из слов, включенных в словари);
  4. не содержат последовательности идентичных символов, не являются полностью цифровыми или буквенными;
  5. если являются временными, изменяются при первом входе в систему;
  6. не делятся секретной аутентификационной информацией;
  7. помогают обеспечить надлежащую защиту в тех случаях, когда пароли используются в качестве секретной аутентификационной информации в процедурах автоматического входа и хранятся в системе;
  • e) не используют одну и ту же секретную аутентификационную информацию для деловых и частных целей.

Дополнительная информация
Применение технологии единого входа (англ. Single Sign-On, SSO) или других инструментов управления секретной аутентификационной информацией уменьшает объем секретной аутентификационной информации, которую пользователи должны защищать, и, таким образом, может повысить эффективность этой меры обеспечения ИБ. Однако эти инструменты также могут увеличить последствия от раскрытия секретной аутентификационной информации.
7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

Мера обеспечения ИБ
Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур ИБ организации, необходимых для выполнения их функциональных обязанностей.

Руководство по применению
Программа повышения осведомленности в области ИБ должна быть направлена на то, чтобы работники и, в соответствующих случаях, подрядчики понимали свои обязанности по обеспечению ИБ и средства, с помощью которых эти обязанности следует выполнять.
Программа повышения осведомленности в области ИБ должна быть разработана в соответствии с политикой и соответствующими процедурами ИБ организации, принимая во внимание информацию и меры обеспечения ИБ, которые внедрены для ее защиты. Программа должна включать в себя ряд мероприятий, таких как кампании по повышению осведомленности (например, "День информационной безопасности") и выпуск буклетов или информационных бюллетеней.
Программу повышения осведомленности необходимо планировать с учетом роли работников в организации и, при необходимости, ожиданий организации в отношении осведомленности подрядчиков. Мероприятия в рамках программы должны быть рассчитаны на длительный период, предпочтительно быть регулярными, повторяться и охватывать новых работников и подрядчиков. Следует регулярно обновлять программу, чтобы она соответствовала политикам и процедурам организации и основывалась на уроках, извлеченных из инцидентов ИБ.
Практическая реализация программы повышения осведомленности должна проводиться в соответствии с требованиями программы. В качестве методов можно использовать обучение в классе, дистанционное обучение, сетевое обучение, самостоятельное изучение и другие методы.

Обучение и практическая подготовка в области ИБ должна также охватывать общие аспекты, такие как:
  • a) заявление руководства о приверженности ИБ во всей организации;
  • b) необходимость ознакомления с правилами и обязательствами, применяемыми в области ИБ, определенными в политиках, стандартах, законах, положениях, договорах и соглашениях;
  • c) персональная ответственность за свои действия и бездействие, а также общая ответственность за обеспечение безопасности или защиту информации, принадлежащей организации и внешним сторонам;
  • d) базовые процедуры ИБ (такие как сообщение об инцидентах ИБ) и базовые меры обеспечения ИБ (такие как парольная защита, защита от вредоносного программного обеспечения или "чистый стол");
  • e) контакты и ресурсы для получения дополнительной информации и консультаций по вопросам ИБ, включая дополнительные материалы по обучению и подготовке в области ИБ.
Обучение и практическую подготовку по ИБ следует проводить на периодичной основе. Вводный курс следует проходить не только новым работникам, но и тем, кто переводится на новую должность или получает роль с существенно отличающимися требованиями ИБ, при этом обучение следует проводить заранее.
Для большей результативности организация должна разработать программу обучения и практической подготовки. Программа должна соответствовать политике ИБ организации и соответствующим процедурам, принимая во внимание защищаемую информацию и меры, которые были внедрены для обеспечения ее защиты. Программа должна учитывать возможность реализации различных форм обучения и подготовки, например лекции или самостоятельные занятия.

Дополнительная информация
Программа повышения осведомленности в области ИБ должна основываться на различном уровне ценности информационных активов, а также на мировой практике негативных событий в области ИБ.
Процесс повышения осведомленности должен быть соотнесен с имеющейся загрузкой работников организации и, по возможности, должен занимать у работников максимально короткое время, при этом обучая их самым значимым аспектам ИБ.
При формировании программы повышения осведомленности важно сфокусироваться не только на "что" и "как", но и на "почему". Важно, чтобы работники понимали цель ИБ и потенциальное влияние, положительное или отрицательное, их действий на организацию.
Осведомленность, обучение и практическая подготовка могут быть частью или проводиться совместно с другими обучающими мероприятиями, например общими тренингами в области информационных технологий или безопасности. Мероприятия по повышению осведомленности, обучению и практической подготовке должны соответствовать конкретным ролям, обязанностям и навыкам.
В конце курса по повышению осведомленности, обучению и практической подготовке может быть проведена оценка знаний по пройденным материалам.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.3 Information security awareness, education and training
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization's information security policy, topic-specific policies and procedures, as relevant for their job function.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.