Оценить:
 Рейтинг: 3.67

Управление информационной безопасностью. Стандарты СУИБ

Год написания книги
2018
<< 1 ... 13 14 15 16 17 18 19 20 21 22 >>
На страницу:
17 из 22
Настройки чтения
Размер шрифта
Высота строк
Поля

– осведомлены о своих ролях и обязанностях в сфере ИБ прежде, чем получили доступ к конфиденциальной информации или ИС;

– обеспечены рекомендациями по формулированию их предполагаемых ролей в сфере ИБ в рамках организации;

– заинтересованы следовать политике ИБ организации;

– достигли уровня осведомленности в сфере ИБ, соответствующего их ролям и обязанностям в организации;

– следуют условиям работы, которые включают политику ИБ организации и соответствующие методы работы;

– продолжают поддерживать соответствующие навыки и квалификацию и обучаются на регулярной основе;

– осведомлены о необходимости информирования любым способом о нарушениях политик и процедур ИБ.

Руководство должно демонстрировать поддержку политик, процедур и мер ИБ и быть образцом для подражания.

Осведомленность персонала

Меры и средства

Все сотрудники организации и, по возможности, подрядчики должны проходить соответствующее обучение и быть в курсе актуальных организационных политик и процедур, применимых к их функциям.

Рекомендации по реализации

Программа обучения должна преследовать цель осведомленности сотрудников и, по возможности, подрядчиков о своих обязанностях в сфере ИБ и мерах по их выполнению.

Программа обучения разрабатывается в соответствии с политиками и процедурами ИБ для изучения информации, которую надо защищать, и мер, которые ее должны защищать. Программа должна содержать ряд таких учебно-воспитательных мер, как акция (например, «День ИБ») и издание информационных буклетов и бюллетеней.

Программа должна планироваться, исходя из ролей сотрудников организации и, по возможности, желаемой в организации осведомленности подрядчиков. Все меры программы должны быть распланированы по времени, желательно регулярно, таким образом, чтобы они повторялись и охватывали новых сотрудников и подрядчиков. Программа должна также регулярно обновляться в соответствии с организационными политиками ипроцедурами и строиться с учетом извлечения уроков из инцидентов ИБ.

Обучение должно проходить в соответствии с программой. При обучении можно использовать разные способы и средства, включая аудиторные и дистанционные, веб-сайты, самостоятельные и другие.

Обучение в сфере ИБ должно также охватывать такие аспекты, как:

– утверждение приверженности руководства ИБ во всей организации;

– необходимость ознакомления с применяемыми правилами и обязательствами ИБ и их выполнения в соответствиис политиками, стандартами, законами, нормативами, контрактами и соглашениями;

– персональная ответственность за каждое свое действие и его отсутствие и общие ответственности за безопасность и защиту информации, принадлежащей организации и сторонним организациям;

– базовые процедуры ИБ (такие как оповещение об инциденте ИБ) и основные меры защиты (такие как аутентификация, антивирус, чистый рабочий стол);

– контактные источники дополнительной информации и консультация по мерам ИБ, включая дополнительные материалы по обучению в сфере ИБ.

Обучение должно происходить периодически. Те, кто получил новую должность или роль, к которой предъявляются другие требования ИБ, должны пройти обучение сначала с учетом новых требований (но не как новички) до начала выполнения своих ролей.

Организация должна разработать программу обучения таким образом, чтобы обучение было эффективным. Программа должна содержать разные формы обучения, например, лекционные и самостоятельные.

При составлении программы важно учитывать не только «что» и «как», но и «почему». Важно, чтобы сотрудники понимали цель ИБ и потенциальное позитивное и негативное влияние на организацию из-за их поведения.

Обучение в сфере ИБ может быть частью других процессов обучения или проведена во взаимодействии с ними, например в сфере ИТ или общей безопасности. Обучение должно соответствовать индивидуальным ролям, ответственностям и навыкам.

Оценка понимания сотрудников должна проводиться по завершении курса обучения для проверки уровня знаний.

Дисциплинарный процесс

Меры и средства

Должен существовать формальный и известный дисциплинарный процесс для принятия мер в отношении сотрудников, допустивших нарушение ИБ.

Рекомендации по реализации

Не следует начинать дисциплинарный процесс, не получив предварительного подтверждения того, что нарушение ИБ произошло.

Дисциплинарный процесс призван обеспечить уверенность в корректном и справедливом рассмотрении дел сотрудников, подозреваемых в совершении нарушений ИБ. Он должен обеспечивать дифференцированное реагирование, учитывающее такие факторы, как тип и тяжесть нарушения и его негативное влияние на бизнес, совершено ли нарушение впервые или повторно, получил ли нарушитель должную подготовку, законодательство, бизнес-контракты и другие требуемые факторы.

Дисциплинарный процесс должен использоваться как сдерживающий фактор для предотвращения нарушений сотрудниками политик и процедур ИБ и любых других нарушений ИБ организации. Преднамеренные нарушения требуют немедленных действий.

Дисциплинарный процесс может также стать мотивом или стимулом для уважительного отношения к требованиям ИБ.

3.3. Увольнение или изменение должности

Цель: Защищать интересы организации при увольнении или изменении должности сотрудника.

Увольнение или изменение обязанностей

Меры и средства

Ответственности и обязанности в сфере ИБ, которые остаются в силе после увольнения или изменения должности, должны быть определены, доведены до сотрудника или подрядчика и реализованы.

Рекомендация по реализации

Информирование об обязанностях при увольнении должно включать в себя актуальные требования ИБ и правовую ответственность и, при необходимости, обязанности, содержащиеся в соглашении о конфиденциальности, и условия трудоустройства, продолжающие действовать в течение определенного периода времени после увольнения сотрудника или подрядчика.

Ответственности и обязанности, которые остаются в силе после увольнения, должны быть включены в условия трудового договора сотрудника или контракта подрядчика.

Изменения обязанностей и условий труда должны приводить к расторжению существующего и заключению нового трудового договора, в котором будут установлены новые обязанности и условия труда.

4. Управление активами

Управление активами определяют следующие составляющие:

– ответственность за активы;

– безопасность активов;

– безопасность носителей информации.

4.1. Ответственность за активы
<< 1 ... 13 14 15 16 17 18 19 20 21 22 >>
На страницу:
17 из 22