Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Стандарт Банка России № СТО БР... Р. 8 п. 9 п.п. 6
Группы требований Все документы
Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 8 п. 9 п.п. 6

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.7.2.2 A.7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности
Средства реализации: Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей.
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстанавливающая Удерживающая Компенсирующая
Название Дата Влияние
Community
11 / 12
Проведение обучающих мероприятий по информационной безопасности
Разово Организационная
08.05.2022 		08.05.2022 11 / 12
Цель: повышение осведомленности работников.

Выполнять регулярные мероприятия по повышению осведомленности, а также поддерживать знания в области безопасности.

Варианты реализации:
  • Очные или дистанционные курсы;
  • Разовые встречи или вебинары;
  • Непрерывное (регулярное) обучение;
  • Платформы для обучения (например, Kaspersky Automated Security Awareness Platform).
Проведение рассылок по информационной безопасности выделено в отдельную защитную меру.

Обучение может затрагивать:
  • Только технический персонал, пользователей с привилегированными правами в информационных системах;
  • Работников допущенных к конфиденциальной информации и в ключевые системы компании;
  • Всех работников.
Для обучения должна быть определена периодичность. Дополнительное обучение может назначаться в результате инцидентов безопасности, смены должности работника.

Рекомендации к заполнению карточки:
  • Описать в карточке кого из работников обучают, с какой периодичностью, каким образом;
  • Если разработаны отдельные документы (программа, план обучения) - привести на них ссылки;
  • Добавить шаблон регулярной задачи по проведению обучения.
Community
1 6 / 40
Доведение до новых работников документов по информационной безопасности
По событию Вручную Организационная Удерживающая
28.10.2021 		28.10.2021 1 6 / 40
Цель: Ознакомление с действующими в компании документами по информационной безопасности (политики, положения, обязательства) под подпись при трудоустройстве.

Варианты реализации, в зависимости от специфики организации:
  • В момент трудоустройства и подписания трудового договора (в кадровом подразделении);
  • После трудоустройства в службе безопасности или информационных технологий;
  • После трудоустройства на рабочем месте (ответственность непосредственного руководителя).
Рекомендации к заполнению карточки:
  • Зафиксировать ответственное за сбор подписей подразделение и место хранения реестров с подписями.
  • Добавить шаблон регулярной контрольной задачи по проверке наличия реестров с подписями
Community
4 3 / 39
Подписание работниками обязательств о конфиденциальности
Разово Вручную Организационная Удерживающая
12.10.2021 		12.10.2021 4 3 / 39
Цель: закрепление за работниками ответственности за нарушения информационной безопасности.
 
Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник.
Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен....
Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д.

Варианты утверждения:
  • Как самостоятельный документ, отдельным приказом;
  • Как часть другого документа, например, Положения о коммерческой тайне.
Варианты распространения:
  • Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота;
  • Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. 
Варианты контроля:
  • Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений;
  • Контроль подписания обязательств возлагается на кадровые подразделения или руководителей подразделений.
Рекомендации к заполнению карточки:
  • Приложить к карточке шаблон обязательства, подписываемого работниками, или ссылку на содержащий его документ;
  • Добавить шаблон регулярной контрольной задачи на проверку наличия подписанных обязательств, если контроль не осуществляется в рамках иной защитной меры.
Community
1 1 / 17
Добавление предупреждений к письмам от внешних отправителей
Постоянно Автоматически Техническая Удерживающая
26.05.2021 		26.05.2021 1 1 / 17
Цель: предупреждение пользователей о возможных вредоносных вложениях или фишинге. 

Ко всем поступающим из вне письмам (от внешних отправителей) добавляется в заголовок письма предупреждение. Например:
ВНИМАНИЕ! Письмо было отправлено внешним отправителем. Не переходите по ссылкам и не открывайте вложения, пока не убедитесь, что это безопасно.

Настраивается на MTA, почтовом сервере, специализированном средстве защиты электронной почты.

Важно убедиться, что из вне не могут приходить поддельные письма от корпоративных почтовых доменов, иначе защитная мера будет неэффективна. Реализуется отдельной защитной мерой по безопасной конфигурации почтовых серверов (DKIM и настройки правил обработки почты).
Community
1 6 / 22
Проведение рассылки по информационной безопасности
Еженедельно Вручную Организационная Удерживающая
11.05.2021 		11.05.2021 1 6 / 22
Цель: повышение осведомленности персонала.

Проведение информационной рассылки является базовой мерой повышения осведомленности персонала в вопросах ИБ.
Ключевым недостатком информационной рассылки является то, что работники могут пренебрегать ее изучением. Чтобы снизить этот недостаток рассылку следует проводить в максимально дружественной к работнику форме, без бюрократизированных фраз, с картинками и цветовыми акцентами.
В рассылке следует чередовать вопросы корпоративной ИБ и личной безопасности работников (работа с банковскими мошенниками, защита личных устройств и домашнего ПК), чтобы повысить ее ценность для работников.
В случае появления инцидентов безопасности и иных событий в компании, которые можно разобрать в рассылке, это следует делать чтобы работники воспринимали вопросы ИБ как реальность а не абстрактные рекомендации. Например, рассылка о фишинговой атаке на компанию, статистика по взломанным паролям пользователей компании, по вирусным заражениям и их основным источникам.

В заметке к мере приведены примеры тем для информационных рассылок.

Инструкция
  1. Проработать тему новой рассылки с учетом:
    1. Тем предыдущих рассылок
    2. Произошедших инцидентов безопасности
    3. Ситуации в мире (громкие инциденты в отрасли и на рынке) 
  2. Подготовить (написать) рассылку
  3. Разослать всем работникам
  4. По завершении задачи отразить тему проведенной рассылки в отчете
Рекомендации к заполнению карточки:
  • В заметке к мере прикрепить шаблон информационного письма для рассылки;
  • Создать шаблон регулярной задачи по проведению рассылки;
  • В отчете по исполнению задач указывать название проведенной рассылки.
Community
2 1 / 17
Введение режима коммерческой тайны (приказом)
Разово Вручную Организационная Удерживающая
16.05.2020 		08.05.2022 2 1 / 17
Цель: закрепление обязательств сотрудников организации по выполнению требований информационной безопасности.

В соответствии с Статьей 6.1 98-ФЗ "О коммерческой тайне" режим коммерческой тайны должен устанавливаться, изменяться, отменяться в письменной форме. Допустимо введение режима не самостоятельным приказом, а в рамках утверждения Положения о коммерческой тайне.

Рекомендации к заполнению карточки:
  • Привести ссылку на утвержденный приказ;
  • Описать как организовано доведение приказа до действующих и новых работников, если это не реализовано отдельной защитной мерой
Community
2 1 / 17
Разработка Положения о коммерческой тайне
Разово Вручную Организационная
16.05.2020 		08.05.2022 2 1 / 17
Цель: закрепление обязательств сотрудников организации по выполнению требований информационной безопасности.

Положение о коммерческой тайне должно регулировать ключевые требования к режиму коммерческой тайны, установленные 98-ФЗ "О коммерческой тайне". Положение может включать так же:

  1. Перечень информации, составляющей коммерческую тайну, 
  2. Форму Обязательства о конфиденциальности (для работников), 
  3. Форму Соглашения о конфиденциальности (для контрагентов)
  4. Иные документы
Разработка Положения является основой для введения в компании режима коммерческой тайны.

Рекомендации к заполнению карточки:
  • Привести ссылку на утвержденный документ;
  • Создать шаблон регулярной задачи на пересмотр/актуализацию документа