Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Р. 8 п. 9 п.п. 5

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.20.2
ОПР.20.2 Организация определения способов мотивации работников финансовой организации по участию в управлении риском реализации информационных угроз, а также осведомленности об актуальных информационных угроз в целях противодействия реализации информационных угроз.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.6.3
12.6.3
Defined Approach Requirements: 
Personnel receive security awareness training as follows:
  • Upon hire and at least once every 12 months.
  • Multiple methods of communication are used. 
  • Personnel acknowledge at least once every 12 months that they have read and understood the information security policy and procedures. 
Customized Approach Objective:
Personnel remain knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required. 

Defined Approach Testing Procedures:
  • 12.6.3.a Examine security awareness program records to verify that personnel attend security awareness training upon hire and at least once every 12 months. 
  • 12.6.3.b Examine security awareness program materials to verify the program includes multiple methods of communicating awareness and educating personnel. 
  • 12.6.3.c Interview personnel to verify they have completed awareness training and are aware of their role in protecting cardholder data. 
  • 12.6.3.d Examine security awareness program materials and personnel acknowledgments to verify that personnel acknowledge at least once every 12 months that they have read and understand the information security policy and procedures. 
Purpose:
Training of personnel ensures they receive the information about the importance of information security and that they understand their role in protecting the organization. 
Requiring an acknowledgment by personnel helps ensure that they have read and understood the security policies and procedures, and that they have made and will continue to make a commitment to comply with these policies. 

Good Practice:
Entities may incorporate new-hire training as part of the Human Resources onboarding process. Training should outline the security-related “dos” and “don’ts.” Periodic refresher training reinforces key security processes and procedures that may be forgotten or bypassed. 
Entities should consider requiring security awareness training anytime personnel transfer into roles where they can impact the security of account data from roles where they did not have this impact. 
Methods and training content can vary, depending on personnel roles. 

Examples:
Different methods that can be used to provide security awareness and education include posters, letters, web-based training, in-person training, team meetings, and incentives. 
Personnel acknowledgments may be recorded in writing or electronically. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.6.3
12.6.3
Определенные Требования к Подходу:
Персонал проходит обучение по вопросам безопасности следующим образом:
  • При приеме на работу и не реже одного раза в 12 месяцев.
  • Используются различные методы комуникации.
  • Персонал подтверждает, по крайней мере, один раз в 12 месяцев, что он прочитал и понял политику и процедуры информационной безопасности.
Цель Индивидуального подхода:
Персонал по-прежнему осведомлен о ландшафте угроз, своей ответственности за функционирование соответствующих средств контроля безопасности и может получить доступ к помощи и руководству, когда это необходимо.

Определенные Процедуры Тестирования Подхода:
  • 12.6.3.a Изучите записи программы повышения осведомленности о безопасности, чтобы убедиться, что персонал проходит обучение по повышению осведомленности о безопасности при приеме на работу и не реже одного раза в 12 месяцев.
  • 12.6.3.b Изучите материалы программы повышения осведомленности о безопасности, чтобы убедиться, что программа включает в себя множество методов информирования и обучения персонала.
  • 12.6.3.c Провести собеседование с персоналом, чтобы убедиться, что он прошел обучение по повышению осведомленности и осведомлен о своей роли в защите данных о держателях карт.
  • 12.6.3.d Изучайте материалы программы повышения осведомленности о безопасности и подтверждения персонала, чтобы убедиться, что персонал подтверждает, по крайней мере, один раз в 12 месяцев, что он прочитал и понял политику и процедуры информационной безопасности.
Цель:
Обучение персонала гарантирует, что они получат информацию о важности информационной безопасности и что они понимают свою роль в защите организации.
Требование подтверждения со стороны персонала помогает убедиться в том, что они прочитали и поняли политики и процедуры безопасности, а также в том, что они взяли и будут продолжать брать на себя обязательство соблюдать эти политики.

Надлежащая практика:
Организации могут включать обучение новых сотрудников в качестве части процесса адаптации персонала. В обучении должны быть изложены “можно” и “нельзя”, связанные с безопасностью. Периодическое повышение квалификации укрепляет ключевые процессы и процедуры безопасности, которые могут быть забыты или обойдены.
Организациям следует рассмотреть возможность проведения обучения по вопросам безопасности в любое время, когда персонал переходит на роли, где он может повлиять на безопасность данных учетной записи, с ролей, где он не оказывал такого влияния.
Методы и содержание обучения могут варьироваться в зависимости от ролей персонала.

Примеры:
Различные методы, которые могут быть использованы для повышения осведомленности и просвещения по вопросам безопасности, включают плакаты, письма, веб-обучение, очное обучение, групповые встречи и поощрения.
Благодарности персонала могут быть записаны в письменной или электронной форме.

Связанные защитные меры

Ничего не найдено