создание программы повышения осведомленности
DESCRIPTION
Презентация с вебинара компании LETA на тему ""TRANSCRIPT
Создание в организации программы повышения осведомленности в области ИБ
+7 (495) 921 1410 / www.leta.ru октябрь 13
Александр Бондаренко
Директор по развитию, ЗАО «ЛЕТА», CISA, CISSP
2 +7 (495) 921 1410 / www.leta.ru
Законодательные и
отраслевые требования
3
152-ФЗ
+7 (495) 921 1410 / www.leta.ru
Статья 18.1. Меры, направленные на обеспечение выполнения
оператором обязанностей, предусмотренных настоящим Федеральным
законом
1. Оператор обязан принимать меры, …..
6) ознакомление работников оператора, непосредственно осуществляющих
обработку персональных данных, с положениями законодательства
Российской Федерации о персональных данных, в том числе требованиями к
защите персональных данных, документами, определяющими политику
оператора в отношении обработки персональных данных, локальными актами
по вопросам обработки персональных данных, и (или) обучение указанных
работников.
4
98-ФЗ
+7 (495) 921 1410 / www.leta.ru
Статья 11. Охрана конфиденциальности информации в рамках трудовых
отношений
1. В целях охраны конфиденциальности информации работодатель обязан:
1) ознакомить под расписку работника, доступ которого к информации,
составляющей коммерческую тайну, необходим для выполнения им своих
трудовых обязанностей, с перечнем информации, составляющей
коммерческую тайну, обладателями которой являются работодатель и его
контрагенты;
2) ознакомить под расписку работника с установленным работодателем
режимом коммерческой тайны и с мерами ответственности за его
нарушение;
5
СТО БР ИББС
+7 (495) 921 1410 / www.leta.ru
8.9. Требования к разработке и организации реализации программ по
обучению и повышению осведомленности в области информационной
безопасности
8.9.1. Должна быть организована документально оформленная и
утвержденная руководством работа с персоналом организации БС РФ в
направлении повышения осведомленности и обучения в области ИБ,
включая разработку и реализацию планов и программ обучения и
повышения осведомленности в области ИБ и контроля результатов
выполнения указанных планов.
6
382-П
+7 (495) 921 1410 / www.leta.ru
2.12.1 Оператор по переводу денежных средств, банковский платежный агент
(субагент), являющийся юридическим лицом, оператор услуг платежной
инфраструктуры обеспечивают повышение осведомленности работников
в области обеспечения защиты информации:
- по порядку применения организационных мер защиты информации;
- по порядку использования технических средств защиты информации.
7
PCI DSS
+7 (495) 921 1410 / www.leta.ru
* Перевод http://pcidss.ru
12.6 Должна быть внедрена официальная программа повышения
осведомленности персонала компании о вопросах безопасности, чтобы
донести до них важность обеспечения безопасности данных о держателях карт
12.6.1 Обучение персонала организации должно проводиться при приеме
их на работу, продвижении по службе, а также не реже одного раза в год
12.6.2 Персонал организации должен не реже одного раза в год подтверждать
свое знание и понимание политики и процедур информационной
безопасности организации.
8
ISO 27001
+7 (495) 921 1410 / www.leta.ru
А 8.2.2 Повышение осведомленности, обучение и тренинги в области
информационной безопасности
Все сотрудники организации и, в случае необходимости, подрядчики и
пользователи третьей стороны, должны проходить необходимое
обучение и получать регулярные обновления политик и процедур, принятых
в организации и необходимых для выполнения их должностных
обязанностей.
9 +7 (495) 921 1410 / www.leta.ru
Для чего это нужно
10 +7 (495) 921 1410 / www.leta.ru
Мощный инструмент о котором немногие задумываются
11 +7 (495) 921 1410 / www.leta.ru
Наличие умысла при утечке информации
12 +7 (495) 921 1410 / www.leta.ru
ИНЦИДЕНТ В КОМПАНИИ RSA
13 +7 (495) 921 1410 / www.leta.ru
Как это чаще всего
реализуется
14 +7 (495) 921 1410 / www.leta.ru
27 %
Да никак !
15 +7 (495) 921 1410 / www.leta.ru
62 %
Ознакомление с инструкциями
при приеме на работу
16 +7 (495) 921 1410 / www.leta.ru
11 %
Формальные тренинги для
персонала
17 +7 (495) 921 1410 / www.leta.ru
Более половины сотрудников вообще
не знают наличии правил по
безопасности
80% опрошенных не измельчают
документы и носители до отправки в
мусорную корзину
85% открывают любые электронные
сообщения
А В РЕЗУЛЬТАТЕ…
18 +7 (495) 921 1410 / www.leta.ru
БЫСТРЫЙ ТЕСТ
Легко ли доступны принятые в компании политики и регламенты по
информационной безопасности ? Сколько нужно времени рядовому
персоналу чтобы получить к ним доступ ?
Сколько страниц текста составляют документы, обязательные для
ознакомления рядовым персоналом ?
Осознает ли персонал пользу от соблюдения правил по
информационной безопасности ?
19 +7 (495) 921 1410 / www.leta.ru
20 +7 (495) 921 1410 / www.leta.ru
МЕЖДУНАРОДНЫЕ ПРАКТИКИ
NIST SP 800-50 Building an Information Technology Security Awareness
and Training Program
Создание программы повышения осведомленности
Разработка необходимых материалов
Внедрение программы повышения осведомленности
Меры по поддержанию и развитию программы
21 +7 (495) 921 1410 / www.leta.ru
Нанесение правил на различные предметы (ручки, значки,
блокноты и проч.)
Постеры / плакаты
Скрин-сейверы / предупреждающие сообщения
Электронные рассылки
Бумажные рассылки
Видео-ролики
Веб-презентации
Компьютерные курсы
Телеконференции
ПРИЕМЫ ДОНЕСЕНИЯ ИНФОРМАЦИИ
Очные курсы
Талисманы
Игры (например, кроссворды)
Призы и награды
22 +7 (495) 921 1410 / www.leta.ru
ПРИМЕР ИЗ ЖИЗНИ
Московский
Индустриальный Банк
23 +7 (495) 921 1410 / www.leta.ru
Наши рекомендации
24 +7 (495) 921 1410 / www.leta.ru
МИНИМУМ ЛИШНЕЙ ИНФОРМАЦИИ, ПРОСТОЕ ИЗЛОЖЕНИЕ, ЛЕГКАЯ ДОСТУПНОСТЬ 1
25 +7 (495) 921 1410 / www.leta.ru
СОЗДАВАЙТЕ ПРОЦЕСС 2
Цикличность
Непрерывность
Контроль результата
26 +7 (495) 921 1410 / www.leta.ru
АВТОМАТИЗИРУЙТЕ 3
Компьютерные курсы
Автоматические программы
обучения и тестирования
Централизованные рассылки
27 +7 (495) 921 1410 / www.leta.ru
БУДЬТЕ ПОЛЕЗНЫ 4
Делитесь полезной информацией
Не ограничивайтесь только доведением правил
Помогайте
28 +7 (495) 921 1410 / www.leta.ru
Постеры / плакаты
Скрин-сейверы / предупреждающие сообщения
Электронные рассылки
Компьютерные курсы
Очные курсы *
ПРИЕМЫ, КОТОРЫЕ РАБОТАЮТ
29 +7 (495) 921 1410 / www.leta.ru
ТАК БЕЗОПАСНО ! http://tb.leta.ru
30 +7 (495) 921 1410 / www.leta.ru
ТАК БЕЗОПАСНО ! http://tb.leta.ru
Доработка / разработка графических материалов
Разработка программы повышения осведомленности
Очные обучения и тренинги
Разработка компьютерных курсов
Информационные рассылки
Расширенные опции: