Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Во время работы ИБ обеспечивают следующие составляющие:

— ответственность руководства;

— осведомленность в сфере ИБ;

— дисциплинарный процесс.

Ответственность руководства

Меры и средства

Руководство должно требовать от всех сотрудников и подрядчиков соблюдения правил ИБ в соответствии с установленными политиками и процедурами организации.

Рекомендации по реализации

Руководство обязано обеспечить уверенность в том, что сотрудники и подрядчики:

— осведомлены о своих ролях и обязанностях в сфере ИБ прежде, чем получили доступ к конфиденциальной информации или ИС;

— обеспечены рекомендациями по формулированию их предполагаемых ролей в сфере ИБ в рамках организации;

— заинтересованы следовать политике ИБ организации;

— достигли уровня осведомленности в сфере ИБ, соответствующего их ролям и обязанностям в организации;

— следуют условиям работы, которые включают политику ИБ организации и соответствующие методы работы;

— продолжают поддерживать соответствующие навыки и квалификацию и обучаются на регулярной основе;

— осведомлены о необходимости информирования любым способом о нарушениях политик и процедур ИБ.

Руководство должно демонстрировать поддержку политик, процедур и мер ИБ и быть образцом для подражания.

Осведомленность персонала

Меры и средства

Все сотрудники организации и, по возможности, подрядчики должны проходить соответствующее обучение и быть в курсе актуальных организационных политик и процедур, применимых к их функциям.

Рекомендации по реализации

Программа обучения должна преследовать цель осведомленности сотрудников и, по возможности, подрядчиков о своих обязанностях в сфере ИБ и мерах по их выполнению.

Программа обучения разрабатывается в соответствии с политиками и процедурами ИБ для изучения информации, которую надо защищать, и мер, которые ее должны защищать. Программа должна содержать ряд таких учебно-воспитательных мер, как акция (например, «День ИБ») и издание информационных буклетов и бюллетеней.

Программа должна планироваться, исходя из ролей сотрудников организации и, по возможности, желаемой в организации осведомленности подрядчиков. Все меры программы должны быть распланированы по времени, желательно регулярно, таким образом, чтобы они повторялись и охватывали новых сотрудников и подрядчиков. Программа должна также регулярно обновляться в соответствии с организационными политиками ипроцедурами и строиться с учетом извлечения уроков из инцидентов ИБ.

Обучение должно проходить в соответствии с программой. При обучении можно использовать разные способы и средства, включая аудиторные и дистанционные, веб-сайты, самостоятельные и другие.

Обучение в сфере ИБ должно также охватывать такие аспекты, как:

— утверждение приверженности руководства ИБ во всей организации;

— необходимость ознакомления с применяемыми правилами и обязательствами ИБ и их выполнения в соответствиис политиками, стандартами, законами, нормативами, контрактами и соглашениями;

— персональная ответственность за каждое свое действие и его отсутствие и общие ответственности за безопасность и защиту информации, принадлежащей организации и сторонним организациям;

— базовые процедуры ИБ (такие как оповещение об инциденте ИБ) и основные меры защиты (такие как аутентификация, антивирус, чистый рабочий стол);

— контактные источники дополнительной информации и консультация по мерам ИБ, включая дополнительные материалы по обучению в сфере ИБ.

Обучение должно происходить периодически. Те, кто получил новую должность или роль, к которой предъявляются другие требования ИБ, должны пройти обучение сначала с учетом новых требований (но не как новички) до начала выполнения своих ролей.

Организация должна разработать программу обучения таким образом, чтобы обучение было эффективным. Программа должна содержать разные формы обучения, например, лекционные и самостоятельные.

При составлении программы важно учитывать не только «что» и «как», но и «почему». Важно, чтобы сотрудники понимали цель ИБ и потенциальное позитивное и негативное влияние на организацию из-за их поведения.

Обучение в сфере ИБ может быть частью других процессов обучения или проведена во взаимодействии с ними, например в сфере ИТ или общей безопасности. Обучение должно соответствовать индивидуальным ролям, ответственностям и навыкам.

Оценка понимания сотрудников должна проводиться по завершении курса обучения для проверки уровня знаний.

Дисциплинарный процесс

Меры и средства

Должен существовать формальный и известный дисциплинарный процесс для принятия мер в отношении сотрудников, допустивших нарушение ИБ.

Рекомендации по реализации

Не следует начинать дисциплинарный процесс, не получив предварительного подтверждения того, что нарушение ИБ произошло.