Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 12.6.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 11 п.п. 8
8.11.8. В организации БС РФ должна быть реализована программа обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний.
Р. 8 п. 9 п.п. 4
8.9.4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию:
- по существующим политикам ИБ;
- по применяемым в организации БС РФ защитным мерам;
- по правильному использованию защитных мер в соответствии с внутренними документами организации БС РФ;
- о значимости и важности деятельности работников для обеспечения ИБ организации БС РФ.
Р. 8 п. 9 п.п. 2
8.9.2. Должны быть разработаны планы, программы обучения и повышения осведомленности в области ИБ. По результатам выполнения указанных планов должна осуществляться проверка полученных знаний.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.5.2
ОРО.5.2 Проведение оценки соответствия кандидатов на должности согласно установленным требованиям в отношении их компетенции.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
7.3 Осведомленность
7.3 Осведомленность
Лица, выполняющие работу под контролем организации, должны быть осведомлены в отношении:
Лица, выполняющие работу под контролем организации, должны быть осведомлены в отношении:
- a) политики информационной безопасности;
- b) их вклада в эффективность систему менеджмента информационной безопасности, включая выгод от улучшения исполнения информационной безопасности; а также
- c) последствий несоответствия требованиям системы менеджмента информационной безопасности.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.6.1
12.6.1
Defined Approach Requirements:
A formal security awareness program is implemented to make all personnel aware of the entity’s information security policy and procedures, and their role in protecting the cardholder data.
Customized Approach Objective:
Personnel are knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
Defined Approach Requirements:
A formal security awareness program is implemented to make all personnel aware of the entity’s information security policy and procedures, and their role in protecting the cardholder data.
Customized Approach Objective:
Personnel are knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
- 12.6.1 Examine the security awareness program to verify it provides awareness to all personnel about the entity’s information security policy and procedures, and personnel’s role in protecting the cardholder data.
Purpose:
If personnel are not educated about their company’s information security policies and procedures and their own security responsibilities, security safeguards and processes that have been implemented may become ineffective through unintentional errors or intentional actions.
If personnel are not educated about their company’s information security policies and procedures and their own security responsibilities, security safeguards and processes that have been implemented may become ineffective through unintentional errors or intentional actions.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.3 Awareness
7.3 Awareness
Persons doing work under the organization’s control shall be aware of:
Persons doing work under the organization’s control shall be aware of:
- a) the information security policy;
- b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
- c) the implications of not conforming with the information security management system requirements.
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.0
ИПО.0 Разработка политики информирования и обучения персонала
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 7 п. 2 п.п. 1
7.2.1. В организации БС РФ рекомендуется внедрить программу регулярного обучения и повышения осведомленности по следующим основным направлениям:
- повышение осведомленности работников организации БС РФ по вопросам исполнения регламента обнаружения событий ИБ и оповещения о них, в том числе по составу событий ИБ;
- повышение осведомленности представителей внешних организаций и клиентов организации БС РФ, использующих информационную инфраструктуру организации БС РФ, о порядке и процедурах информирования организации БС РФ об обнаруженных инцидентах ИБ;
- обучение и повышение осведомленности членов ГРИИБ и работников организации БС РФ, привлекаемых к реагированию на инциденты ИБ, по вопросам сбора, фиксации и документирования информации об инцидентах ИБ, использования классификатора инцидентов ИБ;
- обучение и повышение осведомленности членов ГРИИБ и работников организации БС РФ, привлекаемых к реагированию на инциденты ИБ, с целью приобретения знаний по технической эксплуатации информационной инфраструктуры организации БС РФ, позволяющих осуществить оперативное закрытие инцидентов ИБ;
- обучение работников подразделений информатизации организации БС РФ по вопросам эксплуатации технических средств;
- обучение работников службы ИБ организации БС РФ по вопросам контроля эксплуатации технических средств.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИПО.0
ИПО.0 Регламентация правил и процедур информирования и обучения персонала
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.