Мероприятия по повышению осведомленности персонала по вопросам информационной безопасности (ИБ) являются одной из важных задач построения комплексной системы обеспечения ИБ в организации. Данная задача находит свое отражение в ряде российских и зарубежных нормативных актов и стандартов.
Ниже приведены статьи самых распространенных российских и зарубежных нормативных актов и стандартов, в которых упоминаются вопросы повышения осведомленности персонала по ИБ в качестве рекомендуемых или обязательных требований (в зависимости от статуса документа).
_________________________________________________________________________________________
Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных» (ст. 18.1; п. 1; пп. 6)
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
_________________________________________________________________________________________
Федеральный закон от 29.07.2004 г. №98-ФЗ «О коммерческой тайне» (ст. 11; п. 1; пп. 1-2)
Статья 11. Охрана конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений
1. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работодатель обязан:
1) ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну;
2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение.
_________________________________________________________________________________________
Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Общие положения. Дата введения: 2014-06-01 (СТО БР ИББС-1.0-2014) (п. 8.9)
8.9. Требования к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности.
8.9.1. Должна быть организована санкционированная руководством организации БС РФ работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ.
8.9.2. Должны быть разработаны планы, программы обучения и повышения осведомленности в области ИБ. По результатам выполнения указанных планов должна осуществляться проверка полученных знаний.
8.9.3. В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности.
8.9.4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию:
8.9.5. В организации БС РФ должен быть определен перечень свидетельств выполнения программ обучения и повышения осведомленности в области ИБ. В частности, такими свидетельствами могут являться:
8.9.6. Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли.
8.9.7. В организации БС РФ должны быть определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей.
_________________________________________________________________________________________
Положения Банка России от 09.07.2012 г. №382-П «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (Глава 2; п. 2.12; пп. 2.12.1-2.12.2)
Глава 2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств
2.12. В состав требований к повышению осведомленности в области обеспечения защиты информации включаются следующие требования.
2.12.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников в области обеспечения защиты информации:
2.12.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников, получивших новую роль, связанную с применением организационных мер защиты информации или использованием технических средств защиты информации.
_________________________________________________________________________________________
ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001: 2005 Information technology — Security techniques — Information security management systems — Requirements (IDT)) (Глава 4; п. 4.2.; пп. 4.2.2 е) (Глава 5; п. 5.2; пп. 5.2.2 a-d) (Приложение A; Таблица A.1; п. А.8.2.2)
4. Система менеджмента информационной безопасности
4.2. Разработка системы менеджмента информационной безопасности. Управление системой менеджмента информационной безопасности
4.2.2 Внедрение и функционирование системы менеджмента информационной безопасности
Организация должна выполнить следующее:
e) реализовать программы по обучению и повышению квалификации сотрудников (см. 5.2.2).
5. Ответственность руководства
5.2. Управление ресурсами
5.2.2. Подготовка, осведомленность и квалификация персонала
Организация должна обеспечить необходимую квалификацию персонала, на который возложены обязанности выполнения задач в рамках СМИБ путем:
a) определения требуемого уровня знаний и навыков для персонала, который выполняет работу, влияющую на СМИБ;
b) организации обучения персонала или принятия других мер (например, наем компетентного персонала) для удовлетворения указанных потребностей;
c) оценки результативности предпринятых действий;
d) ведения записей об образовании, подготовке, навыках, опыте и квалификации сотрудников (см. 4.3.3).
Приложение A
Таблица A.1
А.8.2.2. Осведомленность, обучение и переподготовка в области информационной безопасности.
_________________________________________________________________________________________
ГОСТ Р ИСО/МЭК ТО 13335-3:2007 Методы и средства обеспечения безопасности. Часть 3 (ISO/IEC TR 13335-3:1998 Information technology — Guidelines for the management of information technology security — Part 3: Techniques for the management of information technology security (IDT)) (п. 10; пп 10.2-10.3)
10 Выполнение плана информационной безопасности
10.2 Компетентность в вопросах безопасности
10.3 Обучение персонала информационной безопасности
_________________________________________________________________________________________
Стандарт безопасности данных индустрии платежных карт PCI DSS 3.0 (Требование 12; п. 12.6; пп. 12.6.1-12.6.2)
Требование 12. Разработать и поддерживать политику информационной безопасности для всего персонала организации
12.6 Должна быть внедрена официальная программа повышения осведомленности персонала по вопросам безопасности с целью донести до них важность обеспечения безопасности данных держателей карт.
12.6.1 Обучение персонала организации должно проводиться при приеме на работу, а также не реже одного раза в год.
12.6.2 Персонал организации должен не реже одного раза в год подтверждать свое знание и понимание политики и процедур обеспечения информационной безопасности организации.
_________________________________________________________________________________________
NIST SP 800-50 "Building an Information Technology Security Awareness and Training Program" (весь документ)