Соответствие требованиям

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации

ГОСТ Р № 57580.1-2017 от 01.01.2018

РЗИ.16

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации

Обязательно для уровня защиты 1 2 3

Связанные защитные меры

	Название	Дата	Влияние
Community 1 6 / 40	Доведение до новых работников документов по информационной безопасности По событию Вручную Организационная Удерживающая 28.10.2021	28.10.2021	1 6 / 40
Цель: Ознакомление с действующими в компании документами по информационной безопасности (политики, положения, обязательства) под подпись при трудоустройстве. Варианты реализации, в зависимости от специфики организации: В момент трудоустройства и подписания трудового договора (в кадровом подразделении); После трудоустройства в службе безопасности или информационных технологий; После трудоустройства на рабочем месте (ответственность непосредственного руководителя). *Рекомендации к заполнению карточки:* Зафиксировать ответственное за сбор подписей подразделение и место хранения реестров с подписями. Добавить шаблон регулярной контрольной задачи по проверке наличия реестров с подписями
Community 4 3 / 39	Подписание работниками обязательств о конфиденциальности Разово Вручную Организационная Удерживающая 12.10.2021	12.10.2021	4 3 / 39
Цель: закрепление за работниками ответственности за нарушения информационной безопасности. Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник. Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен.... Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д. Варианты утверждения: Как самостоятельный документ, отдельным приказом; Как часть другого документа, например, Положения о коммерческой тайне. Варианты распространения: Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота; Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. Варианты контроля: Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений; Контроль подписания обязательств возлагается на кадровые подразделения или руководителей подразделений. В заметке к мере приведен шаблон обязательства о конфиденциальности. *Рекомендации к заполнению карточки:* Приложить к карточке шаблон обязательства, подписываемого работниками, или ссылку на содержащий его документ; Добавить шаблон регулярной контрольной задачи на проверку наличия подписанных обязательств, если контроль не осуществляется в рамках иной защитной меры.
Community 1 1 / 17	Добавление предупреждений к письмам от внешних отправителей Постоянно Автоматически Техническая Удерживающая 26.05.2021	26.05.2021	1 1 / 17
Цель: предупреждение пользователей о возможных вредоносных вложениях или фишинге. Ко всем поступающим из вне письмам (от внешних отправителей) добавляется в заголовок письма предупреждение. Например: ВНИМАНИЕ! Письмо было отправлено внешним отправителем. Не переходите по ссылкам и не открывайте вложения, пока не убедитесь, что это безопасно. Настраивается на MTA, почтовом сервере, специализированном средстве защиты электронной почты. Важно убедиться, что из вне не могут приходить поддельные письма от корпоративных почтовых доменов, иначе защитная мера будет неэффективна. Реализуется отдельной защитной мерой по безопасной конфигурации почтовых серверов (DKIM и настройки правил обработки почты).
Community 1 6 / 22	Проведение рассылки по информационной безопасности Еженедельно Вручную Организационная Удерживающая 11.05.2021	11.05.2021	1 6 / 22
Цель: повышение осведомленности персонала. Проведение информационной рассылки является базовой мерой повышения осведомленности персонала в вопросах ИБ. Ключевым недостатком информационной рассылки является то, что работники могут пренебрегать ее изучением. Чтобы снизить этот недостаток рассылку следует проводить в максимально дружественной к работнику форме, без бюрократизированных фраз, с картинками и цветовыми акцентами. В рассылке следует чередовать вопросы корпоративной ИБ и личной безопасности работников (работа с банковскими мошенниками, защита личных устройств и домашнего ПК), чтобы повысить ее ценность для работников. В случае появления инцидентов безопасности и иных событий в компании, которые можно разобрать в рассылке, это следует делать чтобы работники воспринимали вопросы ИБ как реальность а не абстрактные рекомендации. Например, рассылка о фишинговой атаке на компанию, статистика по взломанным паролям пользователей компании, по вирусным заражениям и их основным источникам. В заметке к мере приведены примеры тем для информационных рассылок. Инструкция Проработать тему новой рассылки с учетом: Тем предыдущих рассылок Произошедших инцидентов безопасности Ситуации в мире (громкие инциденты в отрасли и на рынке) Подготовить (написать) рассылку Разослать всем работникам По завершении задачи отразить тему проведенной рассылки в отчете *Рекомендации к заполнению карточки:* В заметке к мере прикрепить шаблон информационного письма для рассылки; Создать шаблон регулярной задачи по проведению рассылки; В отчете по исполнению задач указывать название проведенной рассылки.
Community 2 1 / 17	Введение режима коммерческой тайны (приказом) Разово Вручную Организационная Удерживающая 16.05.2020	08.05.2022	2 1 / 17
Цель: закрепление обязательств сотрудников организации по выполнению требований информационной безопасности. В соответствии с Статьей 6.1 98-ФЗ "О коммерческой тайне" режим коммерческой тайны должен устанавливаться, изменяться, отменяться в письменной форме. Допустимо введение режима не самостоятельным приказом, а в рамках утверждения Положения о коммерческой тайне. *Рекомендации к заполнению карточки:* Привести ссылку на утвержденный приказ; Описать как организовано доведение приказа до действующих и новых работников, если это не реализовано отдельной защитной мерой
Community 2 1 / 17	Разработка Положения о коммерческой тайне Разово Вручную Организационная 16.05.2020	08.05.2022	2 1 / 17
Цель: закрепление обязательств сотрудников организации по выполнению требований информационной безопасности. Положение о коммерческой тайне должно регулировать ключевые требования к режиму коммерческой тайны, установленные 98-ФЗ "О коммерческой тайне". Положение может включать так же: Перечень информации, составляющей коммерческую тайну, Форму Обязательства о конфиденциальности (для работников), Форму Соглашения о конфиденциальности (для контрагентов) Иные документы Разработка Положения является основой для введения в компании режима коммерческой тайны. *Рекомендации к заполнению карточки:* Привести ссылку на утвержденный документ; Создать шаблон регулярной задачи на пересмотр/актуализацию документа

ГОСТ Р № 57580.1-2017 от 01.01.2018

РЗИ.16

Похожие требования

Связанные защитные меры