Блог
19.08.2016
24.05.2016
14.08.2015
15.05.2015
16.04.2015
27.03.2015
20.11.2014
13.11.2014
Осведомленность в вопросах информационной безопасности как рекомендуемое и обязательное требование

Мероприятия по повышению осведомленности персонала по вопросам информационной безопасности (ИБ) являются одной из важных задач построения комплексной системы обеспечения ИБ в организации. Данная задача находит свое отражение в ряде российских и зарубежных нормативных актов и стандартов.

Ниже приведены статьи самых распространенных российских и зарубежных нормативных актов и стандартов, в которых упоминаются вопросы повышения осведомленности персонала по ИБ в качестве рекомендуемых или обязательных требований (в зависимости от статуса документа).

 

_________________________________________________________________________________________

Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных» (ст. 18.1; п. 1; пп. 6)

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

_________________________________________________________________________________________

Федеральный закон от 29.07.2004 г. №98-ФЗ «О коммерческой тайне» (ст. 11; п. 1; пп. 1-2)

Статья 11. Охрана конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений

1. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работодатель обязан:

1) ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну;

2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение.

_________________________________________________________________________________________

Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Общие положения. Дата введения: 2014-06-01 (СТО БР ИББС-1.0-2014) (п. 8.9)

8.9. Требования к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности.

8.9.1. Должна быть организована санкционированная руководством организации БС РФ работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ.

8.9.2. Должны быть разработаны планы, программы обучения и повышения осведомленности в области ИБ. По результатам выполнения указанных планов должна осуществляться проверка полученных знаний.

8.9.3. В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности.

8.9.4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию:

  • по существующим политикам ИБ;
  • по применяемым в организации БС РФ защитным мерам;
  • по правильному использованию защитных мер в соответствии с внутренними документами организации БС РФ;
  • о значимости и важности деятельности работников для обеспечения ИБ организации БС РФ.

8.9.5. В организации БС РФ должен быть определен перечень свидетельств выполнения программ обучения и повышения осведомленности в области ИБ. В частности, такими свидетельствами могут являться:

  • документы (журналы), подтверждающие прохождение руководителями и работниками организации БС РФ обучения в области ИБ с указанием уровня образования, навыков, опыта и квалификации обучаемых;
  • документы, содержащие результаты проверок обучения работников организации БС РФ;
  • документы, содержащие результаты проверок осведомленности в области ИБ в организации БС РФ.

8.9.6. Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли.

8.9.7. В организации БС РФ должны быть определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей.

_________________________________________________________________________________________

Положения Банка России от 09.07.2012 г. №382-П «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (Глава 2; п. 2.12; пп. 2.12.1-2.12.2)

Глава 2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств

2.12. В состав требований к повышению осведомленности в области обеспечения защиты информации включаются следующие требования.

2.12.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников в области обеспечения защиты информации:

  • по порядку применения организационных мер защиты информации;
  • по порядку использования технических средств защиты информации.

2.12.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников, получивших новую роль, связанную с применением организационных мер защиты информации или использованием технических средств защиты информации.

_________________________________________________________________________________________

ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001: 2005 Information technology — Security techniques — Information security management systems — Requirements (IDT)) (Глава 4; п. 4.2.; пп. 4.2.2 е) (Глава 5; п. 5.2; пп. 5.2.2 a-d) (Приложение A; Таблица A.1; п. А.8.2.2)

4. Система менеджмента информационной безопасности

4.2. Разработка системы менеджмента информационной безопасности. Управление системой менеджмента информационной безопасности

4.2.2 Внедрение и функционирование системы менеджмента информационной безопасности

Организация должна выполнить следующее:

e) реализовать программы по обучению и повышению квалификации сотрудников (см. 5.2.2).

 

5. Ответственность руководства

5.2. Управление ресурсами

5.2.2. Подготовка, осведомленность и квалификация персонала

Организация должна обеспечить необходимую квалификацию персонала, на который возложены обязанности выполнения задач в рамках СМИБ путем:

a) определения требуемого уровня знаний и навыков для персонала, который выполняет работу, влияющую на СМИБ;

b) организации обучения персонала или принятия других мер (например, наем компетентного персонала) для удовлетворения указанных потребностей;

c) оценки результативности предпринятых действий;

d) ведения записей об образовании, подготовке, навыках, опыте и квалификации сотрудников (см. 4.3.3).

 

Приложение A

Таблица A.1

А.8.2.2. Осведомленность, обучение и переподготовка в области информационной безопасности.

_________________________________________________________________________________________

ГОСТ Р ИСО/МЭК ТО 13335-3:2007 Методы и средства обеспечения безопасности. Часть 3 (ISO/IEC TR 13335-3:1998 Information technology — Guidelines for the management of information technology security — Part 3: Techniques for the management of information technology security (IDT)) (п. 10; пп 10.2-10.3)

10 Выполнение плана информационной безопасности

10.2 Компетентность в вопросах безопасности

10.3 Обучение персонала информационной безопасности

_________________________________________________________________________________________

Стандарт безопасности данных индустрии платежных карт PCI DSS 3.0 (Требование 12; п. 12.6; пп. 12.6.1-12.6.2)

Требование 12. Разработать и поддерживать политику информационной безопасности для всего персонала организации

12.6 Должна быть внедрена официальная программа повышения осведомленности персонала по вопросам безопасности с целью донести до них важность обеспечения безопасности данных держателей карт.

12.6.1 Обучение персонала организации должно проводиться при приеме на работу, а также не реже одного раза в год.

12.6.2 Персонал организации должен не реже одного раза в год подтверждать свое знание и понимание политики и процедур обеспечения информационной безопасности организации.

_________________________________________________________________________________________

NIST SP 800-50 "Building an Information Technology Security Awareness and Training Program" (весь документ)