Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard (RU)

Requirement 12.6.3

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.6
РОН.6  Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер обеспечения операционной надежности в рамках процесса обеспечения операционной надежности.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.15
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
3-О 2-О 1-О
РЗИ.16
РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации
3-О 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 9 п.п. 1
8.9.1. Должна быть организована санкционированная руководством организации БС РФ работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ. 
Р. 8 п. 9 п.п. 6
8.9.6. Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли. 
Р. 8 п. 9 п.п. 3
8.9.3. В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности. 
Р. 8 п. 9 п.п. 5
8.9.5. В организации БС РФ должен быть определен перечень свидетельств выполнения программ обучения и повышения осведомленности в области ИБ. В частности, такими свидетельствами могут являться:
  • документы (журналы), подтверждающие прохождение руководителями и работниками организации БС РФ обучения в области ИБ с указанием уровня образования, навыков, опыта и квалификации обучаемых; 
  • документы, содержащие результаты проверок обучения работников организации БС РФ; 
  • документы, содержащие результаты проверок осведомленности в области ИБ в организации БС РФ. 
Р. 7 п. 2 п.п. 6
7.2.6. Рекомендуется определить, выполнять и регистрировать с фиксацией результатов процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки - при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии.
CIS Critical Security Controls v8 (The 18 CIS CSC):
14.6
14.6 Train Workforce Members on Recognizing and Reporting Security Incidents
Train workforce members to be able to recognize a potential incident and be able to report such an incident. 
14.3
14.3 Train Workforce Members on Authentication Best Practices
Train workforce members on authentication best practices. Example topics include MFA, password composition, and credential management. 
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.17
ОРО.17 Организация целевого обучения работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в частности организация целевого обучения по вопросам противодействия реализации информационных угроз для работников, входящих в группы повышенного риска*.
NIST Cybersecurity Framework (RU):
PR.AT-1
PR.AT-1: Все пользователи проинформированы и обучены 
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.1
РВН.1 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников финансовой организации, деятельность которых может оказать влияние на риск реализации информационных угроз:
  • при приеме на работу кандидатов на замещение должностей в финансовой организации;
  • в рамках исполнения работниками своих должностных обязанностей;
  • в случае прекращения трудовых отношений или изменения должностных обязанностей работников.
ОСО.14
ОСО.14 Организация обучения или инструктажа" работника, получившего новую роль, с последующим проведением оценочных мероприятий по вопросам противостояния реализации информационных угроз и доведением результатов указанных мероприятий до работника, принимавшего в них участие.
ОСО.12
ОСО.12 Организация и контроль со стороны исполнительного органа финансовой организации деятельности по обучению и повышению осведомленности работников финансовой организации в части противостояния реализации информационных угроз, включая разработку и реализацию соответствующих планов по периодическому обучению и повышению осведомленности работников финансовой организации.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
14.3
14.3 Реализовано обучение работников лучшим практикам аутентификации
Сотрудники получают знания о многофакторной аутентификации, создании сильных паролей и управлении учетными записями.
14.6
14.6 Реализовано обучение работников распознаванию инцидентов безопасности и сообщению о них
Обучить сотрудников распознавать инциденты безопасности и сообщать о них.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
7.3 Осведомленность
7.3 Осведомленность
Лица, выполняющие работу под контролем организации, должны быть осведомлены в отношении:
  • a) политики информационной безопасности;
  • b) их вклада в эффективность систему менеджмента информационной безопасности, включая выгод от улучшения исполнения информационной безопасности; а также
  • c) последствий несоответствия требованиям системы менеджмента информационной безопасности.
7.2 Компетенция
7.2 Компетенция
Организация должна:
  • a) определить необходимую компетенцию лиц (-а), выполняющих работы под ее (организации) контролем, влияющим на их (лиц) исполнение информационной безопасности;
  • b) обеспечить компетентность этих лиц на основе соответствующих образования, обучения или опыта;
  • c) где это применимо, предпринимать действия по овладению необходимой компетенцией и оценивать эффективность предпринятых действий; а также
  • d) сохранять соответствующую документированную информацию в качестве подтверждения компетенции.
ПРИМЕЧАНИЕ Применимыми действиями могут быть, например, предоставление обучения, наставничество или переназначения действующих сотрудников, или найм или привлечение по контракту компетентных лиц.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.6.3
12.6.3
Defined Approach Requirements: 
Personnel receive security awareness training as follows:
  • Upon hire and at least once every 12 months.
  • Multiple methods of communication are used. 
  • Personnel acknowledge at least once every 12 months that they have read and understood the information security policy and procedures. 
Customized Approach Objective:
Personnel remain knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required. 

Defined Approach Testing Procedures:
  • 12.6.3.a Examine security awareness program records to verify that personnel attend security awareness training upon hire and at least once every 12 months. 
  • 12.6.3.b Examine security awareness program materials to verify the program includes multiple methods of communicating awareness and educating personnel. 
  • 12.6.3.c Interview personnel to verify they have completed awareness training and are aware of their role in protecting cardholder data. 
  • 12.6.3.d Examine security awareness program materials and personnel acknowledgments to verify that personnel acknowledge at least once every 12 months that they have read and understand the information security policy and procedures. 
Purpose:
Training of personnel ensures they receive the information about the importance of information security and that they understand their role in protecting the organization. 
Requiring an acknowledgment by personnel helps ensure that they have read and understood the security policies and procedures, and that they have made and will continue to make a commitment to comply with these policies. 

Good Practice:
Entities may incorporate new-hire training as part of the Human Resources onboarding process. Training should outline the security-related “dos” and “don’ts.” Periodic refresher training reinforces key security processes and procedures that may be forgotten or bypassed. 
Entities should consider requiring security awareness training anytime personnel transfer into roles where they can impact the security of account data from roles where they did not have this impact. 
Methods and training content can vary, depending on personnel roles. 

Examples:
Different methods that can be used to provide security awareness and education include posters, letters, web-based training, in-person training, team meetings, and incentives. 
Personnel acknowledgments may be recorded in writing or electronically. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.2.2
A.7.2.2  Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности 
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.3 Awareness
7.3 Awareness
Persons doing work under the organization’s control shall be aware of:
  • a) the information security policy;
  • b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
  • c) the implications of not conforming with the information security management system requirements.
7.2 Competence
7.2 Competence
The organization shall:
  • a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
  • b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
  • c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
  • d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.
Strategies to Mitigate Cyber Security Incidents (EN):
1.15.
User education. Avoid phishing emails (e.g. with links to login to fake websites), weak passphrases, passphrase reuse, as well as unapproved: removable storage media, connected devices and cloud services.
Relative Security Effectiveness:  Good | Potential User Resistance:   Medium | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.3
А.6.3 Осведомленность, образование и обучение в области ИБ
Персонал организации и релевантные заинтересованные стороны, соответственно их рабочим обязанностям, должны получать соответствующие информацию, повышение осведомленности, образование и обучение в области ИБ, а также регулярные обновления политики ИБ организации, специфических тематических политик и процедур.
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
NIST Cybersecurity Framework (EN):
PR.AT-1 PR.AT-1: All users are informed and trained
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
7.2.2
7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

Мера обеспечения ИБ
Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур ИБ организации, необходимых для выполнения их функциональных обязанностей.

Руководство по применению
Программа повышения осведомленности в области ИБ должна быть направлена на то, чтобы работники и, в соответствующих случаях, подрядчики понимали свои обязанности по обеспечению ИБ и средства, с помощью которых эти обязанности следует выполнять.
Программа повышения осведомленности в области ИБ должна быть разработана в соответствии с политикой и соответствующими процедурами ИБ организации, принимая во внимание информацию и меры обеспечения ИБ, которые внедрены для ее защиты. Программа должна включать в себя ряд мероприятий, таких как кампании по повышению осведомленности (например, "День информационной безопасности") и выпуск буклетов или информационных бюллетеней.
Программу повышения осведомленности необходимо планировать с учетом роли работников в организации и, при необходимости, ожиданий организации в отношении осведомленности подрядчиков. Мероприятия в рамках программы должны быть рассчитаны на длительный период, предпочтительно быть регулярными, повторяться и охватывать новых работников и подрядчиков. Следует регулярно обновлять программу, чтобы она соответствовала политикам и процедурам организации и основывалась на уроках, извлеченных из инцидентов ИБ.
Практическая реализация программы повышения осведомленности должна проводиться в соответствии с требованиями программы. В качестве методов можно использовать обучение в классе, дистанционное обучение, сетевое обучение, самостоятельное изучение и другие методы.

Обучение и практическая подготовка в области ИБ должна также охватывать общие аспекты, такие как:
  • a) заявление руководства о приверженности ИБ во всей организации;
  • b) необходимость ознакомления с правилами и обязательствами, применяемыми в области ИБ, определенными в политиках, стандартах, законах, положениях, договорах и соглашениях;
  • c) персональная ответственность за свои действия и бездействие, а также общая ответственность за обеспечение безопасности или защиту информации, принадлежащей организации и внешним сторонам;
  • d) базовые процедуры ИБ (такие как сообщение об инцидентах ИБ) и базовые меры обеспечения ИБ (такие как парольная защита, защита от вредоносного программного обеспечения или "чистый стол");
  • e) контакты и ресурсы для получения дополнительной информации и консультаций по вопросам ИБ, включая дополнительные материалы по обучению и подготовке в области ИБ.
Обучение и практическую подготовку по ИБ следует проводить на периодичной основе. Вводный курс следует проходить не только новым работникам, но и тем, кто переводится на новую должность или получает роль с существенно отличающимися требованиями ИБ, при этом обучение следует проводить заранее.
Для большей результативности организация должна разработать программу обучения и практической подготовки. Программа должна соответствовать политике ИБ организации и соответствующим процедурам, принимая во внимание защищаемую информацию и меры, которые были внедрены для обеспечения ее защиты. Программа должна учитывать возможность реализации различных форм обучения и подготовки, например лекции или самостоятельные занятия.

Дополнительная информация
Программа повышения осведомленности в области ИБ должна основываться на различном уровне ценности информационных активов, а также на мировой практике негативных событий в области ИБ.
Процесс повышения осведомленности должен быть соотнесен с имеющейся загрузкой работников организации и, по возможности, должен занимать у работников максимально короткое время, при этом обучая их самым значимым аспектам ИБ.
При формировании программы повышения осведомленности важно сфокусироваться не только на "что" и "как", но и на "почему". Важно, чтобы работники понимали цель ИБ и потенциальное влияние, положительное или отрицательное, их действий на организацию.
Осведомленность, обучение и практическая подготовка могут быть частью или проводиться совместно с другими обучающими мероприятиями, например общими тренингами в области информационных технологий или безопасности. Мероприятия по повышению осведомленности, обучению и практической подготовке должны соответствовать конкретным ролям, обязанностям и навыкам.
В конце курса по повышению осведомленности, обучению и практической подготовке может быть проведена оценка знаний по пройденным материалам.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.3
А.6.3 Information security awareness, education and training
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization's information security policy, topic-specific policies and procedures, as relevant for their job function.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.