Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Программа должна планироваться, исходя из ролей сотрудников организации и, по возможности, желаемой в организации осведомленности подрядчиков. Все меры программы должны быть распланированы по времени, желательно регулярно, таким образом, чтобы они повторялись и охватывали новых сотрудников и подрядчиков. Программа должна также регулярно обновляться в соответствии с организационными политиками ипроцедурами и строиться с учетом извлечения уроков из инцидентов ИБ.
Обучение должно проходить в соответствии с программой. При обучении можно использовать
Обучение в сфере ИБ должно также охватывать такие аспекты, как:
– утверждение приверженности руководства ИБ во всей организации;
– необходимость ознакомления с применяемыми правилами и обязательствами ИБ и их выполнения в соответствиис политиками, стандартами, законами, нормативами, контрактами и соглашениями;
– персональная ответственность за каждое свое действие и его отсутствие и общие ответственности за безопасность и защиту информации, принадлежащей организации и сторонним организациям;
– базовые процедуры ИБ (такие как оповещение об инциденте ИБ) и основные меры защиты (такие как аутентификация, антивирус, чистый рабочий стол);
– контактные источники дополнительной информации и консультация по мерам ИБ, включая дополнительные материалы по обучению в сфере ИБ.
Обучение должно происходить периодически. Те, кто получил новую должность или роль, к которой предъявляются другие требования ИБ, должны пройти обучение сначала с учетом новых требований (но не как новички) до начала выполнения своих ролей.
Организация должна разработать программу обучения таким образом, чтобы обучение было эффективным. Программа должна содержать разные формы обучения, например, лекционные и самостоятельные.
При составлении программы важно учитывать не только «что» и «как», но и «почему». Важно, чтобы сотрудники понимали цель ИБ и потенциальное позитивное и негативное влияние на организацию из-за их поведения.
Обучение в сфере ИБ может быть частью других процессов обучения или проведена во взаимодействии с ними, например в сфере ИТ или общей безопасности. Обучение должно соответствовать индивидуальным ролям, ответственностям и навыкам.
Оценка понимания сотрудников должна проводиться по завершении курса обучения для проверки уровня знаний.
Дисциплинарный процесс
Меры и средства
Должен существовать формальный и известный дисциплинарный процесс для принятия мер в отношении сотрудников, допустивших нарушение ИБ.
Рекомендации по реализации
Не следует начинать дисциплинарный процесс, не получив предварительного подтверждения того, что нарушение ИБ произошло.
Дисциплинарный процесс призван обеспечить уверенность в корректном и справедливом рассмотрении дел сотрудников, подозреваемых в совершении нарушений ИБ. Он должен
Дисциплинарный процесс должен использоваться как сдерживающий фактор для предотвращения нарушений сотрудниками политик и процедур ИБ и любых других нарушений ИБ организации. Преднамеренные нарушения требуют немедленных действий.
Дисциплинарный процесс может также стать мотивом или стимулом для уважительного отношения к требованиям ИБ.
3.3. Увольнение или изменение должности
Цель: Защищать интересы организации при увольнении или изменении должности сотрудника.
Увольнение или изменение обязанностей
Меры и средства
Ответственности и обязанности в сфере ИБ, которые остаются в силе после увольнения или изменения должности, должны быть определены, доведены до сотрудника или подрядчика и реализованы.
Рекомендация по реализации
Информирование об обязанностях при увольнении должно включать в себя актуальные требования ИБ и правовую ответственность и, при необходимости, обязанности, содержащиеся в соглашении о конфиденциальности, и условия трудоустройства, продолжающие действовать в течение определенного периода времени после увольнения сотрудника или подрядчика.
Ответственности и обязанности, которые остаются в силе после увольнения, должны быть включены в условия трудового договора сотрудника или контракта подрядчика.
Изменения обязанностей и условий труда должны приводить к расторжению существующего и заключению нового трудового договора, в котором будут установлены новые обязанности и условия труда.
4. Управление активами
Управление активами определяют следующие составляющие:
– ответственность за активы;
– безопасность активов;
– безопасность носителей информации.
4.1. Ответственность за активы
Цель: Определить активы организации и соответствующие ответственности по их защите.
Ответственность за активы обеспечивают следующие мероприятия:
– инвентаризация активов;
– принадлежность активов;
– использование активов;
– возврат активов.
Инвентаризация активов
Меры и средства
Организация должна идентифицировать активы, связанные с информацией и средствами для обработки информации, составить и вести их инвентарную опись.