Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014
Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Р. 8 п. 9 п.п. 1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.7
РОН.7 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса обеспечения операционной надежности, применения организационных мер обеспечения операционной надежности, использования по назначению аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.20.2
ОПР.20.2 Организация определения способов мотивации работников финансовой организации по участию в управлении риском реализации информационных угроз, а также осведомленности об актуальных информационных угроз в целях противодействия реализации информационных угроз.
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ОСО.11
ОСО.11 Повышение осведомленности по вопросам противостояния реализации информационных угроз членов совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, в том числе по вопросам организации и контроля за управлением риском реализации информационных угроз, за обеспечением операционной надежности и защиты информации.
ОСО.12
ОСО.12 Организация и контроль со стороны исполнительного органа финансовой организации деятельности по обучению и повышению осведомленности работников финансовой организации в части противостояния реализации информационных угроз, включая разработку и реализацию соответствующих планов по периодическому обучению и повышению осведомленности работников финансовой организации.
ОСО.5
ОСО.5 Организация и выполнение деятельности по доведению до клиентов финансовой организации информации, способствующей повышению их готовности противостоять реализации информационных угроз и снижению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг, включая справочные материалы в части:
- корректного использования ПО (в том числе электронных средств платежа), используемого в целях осуществления финансовых (банковских)операций, включая операции по переводу денежных средств;
- правильного обращения с информацией конфиденциального характера;
- возможных сценариев реализации информационных угроз (в частности, компьютерных атак, реализуемых посредством применения вредоносного ПО, фишинга и методов социальной инженерии), направленных на клиентов финансовой организации, и способов их выявления.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.6.3
12.6.3
Defined Approach Requirements:
Personnel receive security awareness training as follows:
Defined Approach Requirements:
Personnel receive security awareness training as follows:
- Upon hire and at least once every 12 months.
- Multiple methods of communication are used.
- Personnel acknowledge at least once every 12 months that they have read and understood the information security policy and procedures.
Customized Approach Objective:
Personnel remain knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
Personnel remain knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
- 12.6.3.a Examine security awareness program records to verify that personnel attend security awareness training upon hire and at least once every 12 months.
- 12.6.3.b Examine security awareness program materials to verify the program includes multiple methods of communicating awareness and educating personnel.
- 12.6.3.c Interview personnel to verify they have completed awareness training and are aware of their role in protecting cardholder data.
- 12.6.3.d Examine security awareness program materials and personnel acknowledgments to verify that personnel acknowledge at least once every 12 months that they have read and understand the information security policy and procedures.
Purpose:
Training of personnel ensures they receive the information about the importance of information security and that they understand their role in protecting the organization.
Requiring an acknowledgment by personnel helps ensure that they have read and understood the security policies and procedures, and that they have made and will continue to make a commitment to comply with these policies.
Good Practice:
Entities may incorporate new-hire training as part of the Human Resources onboarding process. Training should outline the security-related “dos” and “don’ts.” Periodic refresher training reinforces key security processes and procedures that may be forgotten or bypassed.
Entities should consider requiring security awareness training anytime personnel transfer into roles where they can impact the security of account data from roles where they did not have this impact.
Methods and training content can vary, depending on personnel roles.
Examples:
Different methods that can be used to provide security awareness and education include posters, letters, web-based training, in-person training, team meetings, and incentives.
Personnel acknowledgments may be recorded in writing or electronically.
Training of personnel ensures they receive the information about the importance of information security and that they understand their role in protecting the organization.
Requiring an acknowledgment by personnel helps ensure that they have read and understood the security policies and procedures, and that they have made and will continue to make a commitment to comply with these policies.
Good Practice:
Entities may incorporate new-hire training as part of the Human Resources onboarding process. Training should outline the security-related “dos” and “don’ts.” Periodic refresher training reinforces key security processes and procedures that may be forgotten or bypassed.
Entities should consider requiring security awareness training anytime personnel transfer into roles where they can impact the security of account data from roles where they did not have this impact.
Methods and training content can vary, depending on personnel roles.
Examples:
Different methods that can be used to provide security awareness and education include posters, letters, web-based training, in-person training, team meetings, and incentives.
Personnel acknowledgments may be recorded in writing or electronically.
Guideline for a healthy information system v.2.0 (EN):
1 STANDARD
/STANDARD
The operational teams (network, security and system administrators, project managers, developers, chief information security officer (CISO)) have special access to the information system. They can, inadvertently or through not understanding the consequences of certain practices, carry out operations creating vulnerabilities.
We can cite for example, granting accounts with too many privileges in relation to the task to be carried out, the use of personal accounts to carry out services or periodical tasks, or even choosing passwords that are not sufficiently robust granting access to privileged accounts.
The operational teams, to comply with information system security accepted practice, must therefore undertake - upon taking on their role and, subsequently, at regular intervals - training on:
We can cite for example, granting accounts with too many privileges in relation to the task to be carried out, the use of personal accounts to carry out services or periodical tasks, or even choosing passwords that are not sufficiently robust granting access to privileged accounts.
The operational teams, to comply with information system security accepted practice, must therefore undertake - upon taking on their role and, subsequently, at regular intervals - training on:
- the legislation in effect;
- the main risks and threats;
- security maintenance;
- authentication and access control;
- the detailed configuration and hardening of systems;
- network partitioning;
- and logging.
This list must be specified according to the employee’s job , considering aspects such as security integration for project managers, secure development for developers, the security reference documents for ISSMs, etc. Moreover, it is necessary to mention specific clauses in service agreements in order to guarantee regular training in information system security for external staff and especially outsourcers.
2 STANDARD
/STANDARD
Each user is a part of the information system chain. To this end, as he enters the organization, he must be informed of the security stakes, the rules to respect and the proper behaviour to adopt in terms of information system security by awareness raising and training actions.
These actions must be regular and adapted to the users targeted. It may take different forms (emails, displays, meetings, dedicated intranet space, etc.) and, as a minimum, deal with the following issues:
Each user is a part of the information system chain. To this end, as he enters the organization, he must be informed of the security stakes, the rules to respect and the proper behaviour to adopt in terms of information system security by awareness raising and training actions.
These actions must be regular and adapted to the users targeted. It may take different forms (emails, displays, meetings, dedicated intranet space, etc.) and, as a minimum, deal with the following issues:
- the objectives and stakes that the organization encounters in terms of information system security;
- the information considered as sensitive;
- the regulations and legal obligations;
- the rules and security instructions governing daily activity: adhering to the security policy, not connecting personal devices to the network of the organization, not divulging passwords to a third party, not reusing professional passwords in the private sphere or the other way round, reporting suspicious events, etc.;
- the means available and involved in computer security: systematically locking the session when the user leaves his device, password protection tool, etc.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.2.2
A.7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.6.3
12.6.3
Определенные Требования к Подходу:
Персонал проходит обучение по вопросам безопасности следующим образом:
Определенные Требования к Подходу:
Персонал проходит обучение по вопросам безопасности следующим образом:
- При приеме на работу и не реже одного раза в 12 месяцев.
- Используются различные методы комуникации.
- Персонал подтверждает, по крайней мере, один раз в 12 месяцев, что он прочитал и понял политику и процедуры информационной безопасности.
Цель Индивидуального подхода:
Персонал по-прежнему осведомлен о ландшафте угроз, своей ответственности за функционирование соответствующих средств контроля безопасности и может получить доступ к помощи и руководству, когда это необходимо.
Определенные Процедуры Тестирования Подхода:
Персонал по-прежнему осведомлен о ландшафте угроз, своей ответственности за функционирование соответствующих средств контроля безопасности и может получить доступ к помощи и руководству, когда это необходимо.
Определенные Процедуры Тестирования Подхода:
- 12.6.3.a Изучите записи программы повышения осведомленности о безопасности, чтобы убедиться, что персонал проходит обучение по повышению осведомленности о безопасности при приеме на работу и не реже одного раза в 12 месяцев.
- 12.6.3.b Изучите материалы программы повышения осведомленности о безопасности, чтобы убедиться, что программа включает в себя множество методов информирования и обучения персонала.
- 12.6.3.c Провести собеседование с персоналом, чтобы убедиться, что он прошел обучение по повышению осведомленности и осведомлен о своей роли в защите данных о держателях карт.
- 12.6.3.d Изучайте материалы программы повышения осведомленности о безопасности и подтверждения персонала, чтобы убедиться, что персонал подтверждает, по крайней мере, один раз в 12 месяцев, что он прочитал и понял политику и процедуры информационной безопасности.
Цель:
Обучение персонала гарантирует, что они получат информацию о важности информационной безопасности и что они понимают свою роль в защите организации.
Требование подтверждения со стороны персонала помогает убедиться в том, что они прочитали и поняли политики и процедуры безопасности, а также в том, что они взяли и будут продолжать брать на себя обязательство соблюдать эти политики.
Надлежащая практика:
Организации могут включать обучение новых сотрудников в качестве части процесса адаптации персонала. В обучении должны быть изложены “можно” и “нельзя”, связанные с безопасностью. Периодическое повышение квалификации укрепляет ключевые процессы и процедуры безопасности, которые могут быть забыты или обойдены.
Организациям следует рассмотреть возможность проведения обучения по вопросам безопасности в любое время, когда персонал переходит на роли, где он может повлиять на безопасность данных учетной записи, с ролей, где он не оказывал такого влияния.
Методы и содержание обучения могут варьироваться в зависимости от ролей персонала.
Примеры:
Различные методы, которые могут быть использованы для повышения осведомленности и просвещения по вопросам безопасности, включают плакаты, письма, веб-обучение, очное обучение, групповые встречи и поощрения.
Благодарности персонала могут быть записаны в письменной или электронной форме.
Обучение персонала гарантирует, что они получат информацию о важности информационной безопасности и что они понимают свою роль в защите организации.
Требование подтверждения со стороны персонала помогает убедиться в том, что они прочитали и поняли политики и процедуры безопасности, а также в том, что они взяли и будут продолжать брать на себя обязательство соблюдать эти политики.
Надлежащая практика:
Организации могут включать обучение новых сотрудников в качестве части процесса адаптации персонала. В обучении должны быть изложены “можно” и “нельзя”, связанные с безопасностью. Периодическое повышение квалификации укрепляет ключевые процессы и процедуры безопасности, которые могут быть забыты или обойдены.
Организациям следует рассмотреть возможность проведения обучения по вопросам безопасности в любое время, когда персонал переходит на роли, где он может повлиять на безопасность данных учетной записи, с ролей, где он не оказывал такого влияния.
Методы и содержание обучения могут варьироваться в зависимости от ролей персонала.
Примеры:
Различные методы, которые могут быть использованы для повышения осведомленности и просвещения по вопросам безопасности, включают плакаты, письма, веб-обучение, очное обучение, групповые встречи и поощрения.
Благодарности персонала могут быть записаны в письменной или электронной форме.
Общий регламент защиты персональных данных (GDPR):
Глава IV Раздел 4 Статья 39 Пункт 1
1. Сотрудник по защите данных должен выполнять, по крайней мере, следующие задачи:
- (а) информировать и консультировать контролера или обработчика и сотрудников, которые осуществляют обработку, об их обязательствах в соответствии с настоящим Регламентом и другими положениями Союза или государства-члена о защите данных;
- (b) контролировать соблюдение настоящего Регламента, других положений Союза или государства-члена о защите данных и политики контролера или обработчика в отношении защиты персональных данных, включая распределение обязанностей, повышение осведомленности и обучение персонала, участвующего в операциях обработки, и соответствующие аудиты;
- (c) предоставлять консультации по запросу в отношении оценки воздействия на защиту данных и контролировать ее выполнение в соответствии со статьей 35;
- (d) сотрудничать с надзорным органом;
- (e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, включая предварительную консультацию, упомянутую в статье 36, и консультироваться, при необходимости, по любому другому вопросу.
Strategies to Mitigate Cyber Security Incidents (EN):
1.15.
User education. Avoid phishing emails (e.g. with links to login to fake websites), weak passphrases, passphrase reuse, as well as unapproved: removable storage media, connected devices and cloud services.
Relative Security Effectiveness: Good | Potential User Resistance: Medium | Upfront Cost: High | Ongoing Maintenance Cost: Medium
Relative Security Effectiveness: Good | Potential User Resistance: Medium | Upfront Cost: High | Ongoing Maintenance Cost: Medium
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.3
А.6.3 Осведомленность, образование и обучение в области ИБ
Персонал организации и релевантные заинтересованные стороны, соответственно их рабочим обязанностям, должны получать соответствующие информацию, повышение осведомленности, образование и обучение в области ИБ, а также регулярные обновления политики ИБ организации, специфических тематических политик и процедур.
Персонал организации и релевантные заинтересованные стороны, соответственно их рабочим обязанностям, должны получать соответствующие информацию, повышение осведомленности, образование и обучение в области ИБ, а также регулярные обновления политики ИБ организации, специфических тематических политик и процедур.
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.13.
1.13. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), в целях противодействия незаконным финансовым операциям.
Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов:
Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов:
- информации о возможных рисках несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления;
- информации о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции, контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления финансовой операции, и своевременному обнаружению воздействия вредоносного кода.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.3
А.6.3 Information security awareness, education and training
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization's information security policy, topic-specific policies and procedures, as relevant for their job function.
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization's information security policy, topic-specific policies and procedures, as relevant for their job function.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.