Создание в организации программы повышения осведомленности в области ИБ

+7 (495) 921 1410 / www.leta.ru октябрь 13

Александр Бондаренко

Директор по развитию, ЗАО «ЛЕТА», CISA, CISSP

2 +7 (495) 921 1410 / www.leta.ru

Законодательные и

отраслевые требования

3

152-ФЗ

+7 (495) 921 1410 / www.leta.ru

Статья 18.1. Меры, направленные на обеспечение выполнения

оператором обязанностей, предусмотренных настоящим Федеральным

законом

1. Оператор обязан принимать меры, …..

6) ознакомление работников оператора, непосредственно осуществляющих

обработку персональных данных, с положениями законодательства

Российской Федерации о персональных данных, в том числе требованиями к

защите персональных данных, документами, определяющими политику

оператора в отношении обработки персональных данных, локальными актами

по вопросам обработки персональных данных, и (или) обучение указанных

работников.

4

98-ФЗ

+7 (495) 921 1410 / www.leta.ru

Статья 11. Охрана конфиденциальности информации в рамках трудовых

отношений

1. В целях охраны конфиденциальности информации работодатель обязан:

1) ознакомить под расписку работника, доступ которого к информации,

составляющей коммерческую тайну, необходим для выполнения им своих

трудовых обязанностей, с перечнем информации, составляющей

коммерческую тайну, обладателями которой являются работодатель и его

контрагенты;

2) ознакомить под расписку работника с установленным работодателем

режимом коммерческой тайны и с мерами ответственности за его

нарушение;

5

СТО БР ИББС

+7 (495) 921 1410 / www.leta.ru

8.9. Требования к разработке и организации реализации программ по

обучению и повышению осведомленности в области информационной

безопасности

8.9.1. Должна быть организована документально оформленная и

утвержденная руководством работа с персоналом организации БС РФ в

направлении повышения осведомленности и обучения в области ИБ,

включая разработку и реализацию планов и программ обучения и

повышения осведомленности в области ИБ и контроля результатов

выполнения указанных планов.

6

382-П

+7 (495) 921 1410 / www.leta.ru

2.12.1 Оператор по переводу денежных средств, банковский платежный агент

(субагент), являющийся юридическим лицом, оператор услуг платежной

инфраструктуры обеспечивают повышение осведомленности работников

в области обеспечения защиты информации:

- по порядку применения организационных мер защиты информации;

- по порядку использования технических средств защиты информации.

7

PCI DSS

+7 (495) 921 1410 / www.leta.ru

* Перевод http://pcidss.ru

12.6 Должна быть внедрена официальная программа повышения

осведомленности персонала компании о вопросах безопасности, чтобы

донести до них важность обеспечения безопасности данных о держателях карт

12.6.1 Обучение персонала организации должно проводиться при приеме

их на работу, продвижении по службе, а также не реже одного раза в год

12.6.2 Персонал организации должен не реже одного раза в год подтверждать

свое знание и понимание политики и процедур информационной

безопасности организации.

8

ISO 27001

+7 (495) 921 1410 / www.leta.ru

А 8.2.2 Повышение осведомленности, обучение и тренинги в области

информационной безопасности

Все сотрудники организации и, в случае необходимости, подрядчики и

пользователи третьей стороны, должны проходить необходимое

обучение и получать регулярные обновления политик и процедур, принятых

в организации и необходимых для выполнения их должностных

обязанностей.

9 +7 (495) 921 1410 / www.leta.ru

Для чего это нужно

10 +7 (495) 921 1410 / www.leta.ru

Мощный инструмент о котором немногие задумываются

11 +7 (495) 921 1410 / www.leta.ru

Наличие умысла при утечке информации

12 +7 (495) 921 1410 / www.leta.ru

ИНЦИДЕНТ В КОМПАНИИ RSA

13 +7 (495) 921 1410 / www.leta.ru

Как это чаще всего

реализуется

14 +7 (495) 921 1410 / www.leta.ru

27 %

Да никак !

15 +7 (495) 921 1410 / www.leta.ru

62 %

Ознакомление с инструкциями

при приеме на работу

16 +7 (495) 921 1410 / www.leta.ru

11 %

Формальные тренинги для

персонала

17 +7 (495) 921 1410 / www.leta.ru

Более половины сотрудников вообще

не знают наличии правил по

безопасности

80% опрошенных не измельчают

документы и носители до отправки в

мусорную корзину

85% открывают любые электронные

сообщения

А В РЕЗУЛЬТАТЕ…

18 +7 (495) 921 1410 / www.leta.ru

БЫСТРЫЙ ТЕСТ

Легко ли доступны принятые в компании политики и регламенты по

информационной безопасности ? Сколько нужно времени рядовому

персоналу чтобы получить к ним доступ ?

Сколько страниц текста составляют документы, обязательные для

ознакомления рядовым персоналом ?

Осознает ли персонал пользу от соблюдения правил по

информационной безопасности ?

19 +7 (495) 921 1410 / www.leta.ru

20 +7 (495) 921 1410 / www.leta.ru

МЕЖДУНАРОДНЫЕ ПРАКТИКИ

NIST SP 800-50 Building an Information Technology Security Awareness

and Training Program

Создание программы повышения осведомленности

Разработка необходимых материалов

Внедрение программы повышения осведомленности

Меры по поддержанию и развитию программы

21 +7 (495) 921 1410 / www.leta.ru

Нанесение правил на различные предметы (ручки, значки,

блокноты и проч.)

Постеры / плакаты

Скрин-сейверы / предупреждающие сообщения

Электронные рассылки

Бумажные рассылки

Видео-ролики

Веб-презентации

Компьютерные курсы

Телеконференции

ПРИЕМЫ ДОНЕСЕНИЯ ИНФОРМАЦИИ

Очные курсы

Талисманы

Игры (например, кроссворды)

Призы и награды

22 +7 (495) 921 1410 / www.leta.ru

ПРИМЕР ИЗ ЖИЗНИ

Московский

Индустриальный Банк

23 +7 (495) 921 1410 / www.leta.ru

Наши рекомендации

24 +7 (495) 921 1410 / www.leta.ru

МИНИМУМ ЛИШНЕЙ ИНФОРМАЦИИ, ПРОСТОЕ ИЗЛОЖЕНИЕ, ЛЕГКАЯ ДОСТУПНОСТЬ 1

25 +7 (495) 921 1410 / www.leta.ru

СОЗДАВАЙТЕ ПРОЦЕСС 2

Цикличность

Непрерывность

Контроль результата

26 +7 (495) 921 1410 / www.leta.ru

АВТОМАТИЗИРУЙТЕ 3

Компьютерные курсы

Автоматические программы

обучения и тестирования

Централизованные рассылки

27 +7 (495) 921 1410 / www.leta.ru

БУДЬТЕ ПОЛЕЗНЫ 4

Делитесь полезной информацией

Не ограничивайтесь только доведением правил

Помогайте

28 +7 (495) 921 1410 / www.leta.ru

Постеры / плакаты

Скрин-сейверы / предупреждающие сообщения

Электронные рассылки

Компьютерные курсы

Очные курсы *

ПРИЕМЫ, КОТОРЫЕ РАБОТАЮТ

29 +7 (495) 921 1410 / www.leta.ru

ТАК БЕЗОПАСНО ! http://tb.leta.ru

30 +7 (495) 921 1410 / www.leta.ru

ТАК БЕЗОПАСНО ! http://tb.leta.ru

Доработка / разработка графических материалов

Разработка программы повышения осведомленности

Очные обучения и тренинги

Разработка компьютерных курсов

Информационные рассылки

Расширенные опции: