Куда я попал?
Стратегия киберкультуры v.1.1
Методический документ
Стратегия киберкультуры для коммерческих организаций от Secure-T (Solar group)
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
86
%
Входящая логистика
70
%
Создание продукта
68
%
Исходящая логистика
90
%
Маркетинг, продажа
79
%
Обслуживание клиента
92
%
Инфраструктура
48
%
HR-менеджмент
86
%
Технологии
69
%
Закупки / Снабжение
85
%
Опыт клиента
Список требований
-
Область применения
Стратегия направлена на развитие киберкультуры внутри организации, охватывая все ключевые подразделения и сотрудников, а также взаимодействие с внешними сторонами, включая клиентов, поставщиков и других участников экосистемы, с целью создания комплексного подхода к защите данных. Стратегия применяется к следующим направлениям:- Руководящие органы и управленческий персонал. Топ-менеджеры и руководители несут ответственность за принятие стратегических решений в области кибербезопасности. В связи с этим важно обеспечить их понимание ключевых рисков и методов минимизации угроз, включая развитие осведомлённости и формирование культуры безопасного поведения. Топ-менеджеры должны интегрировать кибербезопасность в общекорпоративную программу обучения, требовать систематического повышения компетенций у сотрудников и своим примером демонстрировать осведомленность и значимость этого направления.
- Технические специалисты и ИТ-подразделения. Сотрудники, которые отвечают за техническое обеспечение безопасности информационных систем, играют ключевую роль в защите критически важной информации. Для данных специалистов важно активно участвовать в обучении, направленном на освоение новых методов предотвращения угроз, а также внедрять передовые практики в повседневную работу. Стратегия включает меры по усилению киберкультуры среди данных сотрудников для своевременного реагирования на угрозы и предотвращения инцидентов.
- Операционные отделы и сотрудники. Общие сотрудники компании, работающие с персональными данными, корпоративной информацией и внешними ресурсами, являются важным звеном в цепочке информационной безопасности. Стратегия направлена на повышение их киберкультуры, осведомлённости об угрозах и внедрение безопасных практик в повседневную работу.
Стратегия также применяется к следующим процессам:- Обработка и хранение данных: соблюдение стандартов и требований к защите корпоративной и личной информации!
- Работа с удалёнными сотрудниками: создание и контроль условий для безопасного взаимодействия, включая использование стандартов безопасности!
- Внедрение и использование информационных систем: обеспечение киберкультуры при настройке и эксплуатации всех критически важных систем.
Стратегия распространяется на все уровни организации и способствует формированию единого подхода к вопросам киберкультуры, защите данных и предотвращению угроз. Её внедрение обеспечит более высокий уровень защищённости как внутри компании, так и при взаимодействии с внешними партнерами и организациями, а также соответствует комплаенсу:- Приказ ФСТЭК России № 239, № 17, № 31
- Указ Президента № 250
- 187-ФЗ
- 152-ФЗ
- 98-ФЗ
- ГОСТ 57580.1, ГОСТ Р ИСО/ МЭК 27002-2012
- ГОСТ Р 56939-2016
- Положение № 382-П, № 719-П
- Payment Card Industry Data Security Standard
- ИСО/МЭК 27001:2022!
- ISO/IEC 27001:2013
- GDPR
- NIST Cybersecurity Framework
-
Ключевые направления
Стратегия направлена на формирование киберкультуры, которая позволит всем сотрудникам осознавать существующие киберугрозы, действовать проактивно и защищаться от потенциальных рисков. Особое внимание уделяется различным категориям сотрудников, включая топ-менеджмент, технических специалистов и сотрудников без глубоких технических знаний. Каждая группа сталкивается с разными вызовами, и подход к обучению должен быть адаптирован для достижения максимальной эффективности.- Образовательные материалы:
- Разработка и распространение материалов в различных форматах, включая статьи, инфографику, видеоролики и курсы. Эти материалы будут охватывать такие темы, как основы информационной безопасности, защита корпоративных данных, безопасное использование корпоративных систем, работа с личной информацией и другое.
- Интерактивные мероприятия:
- Проведение тренингов, вебинаров и киберсимуляций для сотрудников всех уровней. Использование элементов геймификации повысит уровень вовлеченности и улучшит усвоение информации. Фишинговые симуляции будут проводиться для выявления уязвимых участков и повышения осведомленности о реальных угрозах.
- Обучение топ-менеджмента:
- Специальные программы для руководителей, направленные на повышение их осведомлённости о стратегической важности киберкультуры и развитие навыков принятия решений в условиях киберугроз. Обучение будет включать практические занятия-тренинги со спикером и рассмотрение кейсов, основанных на реальных инцидентах, чтобы топменеджеры могли лучше понимать, как реагировать на кибератаки и защищать данные организации.
- Обучение технических специалистов и специалистов ИБ:
- Для технических специалистов будут проводиться углубленные курсы (общеинфраструктурные аспекты безопасности, сетевая безопасность, безопасная архитектура, безопасная разработка др.) Специалисты ИБ проходят внешнее обучение, и важно обеспечить их непрерывное профессиональное развитие. Для технических специалистов будет проводиться внутренняя баг-баунти.
- Обучение сотрудников без технической подготовки:
- Для общей массы сотрудников будут разработаны адаптированные курсы, направленные на формирование базовых знаний по киберкультуре и безопасному использованию цифровых инструментов в повседневной работе. Особое внимание будет уделено предотвращению ошибок, связанных с человеческим фактором, таким как несанкционированное раскрытие информации или несоблюдение правил безопасности. Для сотрудников организаций, работающих с персональными данными, также будет включено обучение по 152-ФЗ "О персональных данных".
- Кампании осведомленности:
- Регулярные кампании по повышению осведомленности сотрудников о киберугрозах через корпоративные информационные каналы и социальные сети. Включение симуляций кибератак (фишинговых писем) поможет сотрудникам научиться распознавать мошеннические действия и защищаться от них в реальных условиях.
- Образовательные материалы:
-
- Создание информационных материалов по киберкультуре
- Важной задачей является разработка и активное распространение информационных материалов внутри компании. Эти материалы будут включать рекомендации по обеспечению безопасности в сети и актуальную информацию о новых угрозах.
- Обучение и просвещение сотрудников в области киберкультуры
- Основной задачей является всестороннее обучение сотрудников, что включает в себя проведение информационных кампаний по современным киберугрозам и методам защиты. Важно, чтобы каждый сотрудник получил практические навыки и знания, необходимые для безопасного взаимодействия с цифровыми ресурсами и защиты личной информации.
- Внедрение специализированной платформы для повышения осведомлённости
- Для повышения уровня киберкультуры в организации будет внедрена специализированная платформа для повышения осведомленности сотрудников о киберугрозах и безопасном поведении в цифровой среде. Она будет использоваться для симуляции фишинговых атак, что поможет сотрудникам научиться распознавать и эффективно реагировать на киберугрозы, а также для внутреннего обучения. Платформа также будет собирать статистику по результатам обучения, позволяя оценивать эффективность программ и выявлять области, требующие внимания. Платформа позволит эффективно выполнять требования российских стандартов и законодательства, включая ФЗ-152, ФЗ-187, приказ ФСТЭК № 17, № 31, ГОСТ Р 57580.1-2017.
- Разработка обучающих модулей и курсов для различных групп сотрудников
- Внутри организации будут созданы обучающие модули и курсы, адаптированные под конкретные потребности различных категорий сотрудников — от новых работников до IT-специалистов. Курсы будут охватывать темы от основ информационной безопасности до продвинутых методов защиты данных и управления инцидентами. Также будут разработаны примеры фишинговых атак для повышения осведомленности о возможных угрозах
- Мониторинг и оценка эффективности программ по повышению киберкультуры
- Для обеспечения эффективного выполнения программ будет осуществляться регулярный мониторинг их результатов. Это включает анализ данных о прохождении обучающих мероприятий, результаты тестирования на киберугрозы и проведение опросов среди сотрудников. Такой подход позволит своевременно вносить изменения в программы и обеспечивать их актуальность и эффективность.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.