создание программы повышения осведомленности
DESCRIPTION
Презентация с вебинара компании LETA на тему ""TRANSCRIPT
![Page 1: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/1.jpg)
Создание в организации программы повышения осведомленности в области ИБ
+7 (495) 921 1410 / www.leta.ru октябрь 13
Александр Бондаренко
Директор по развитию, ЗАО «ЛЕТА», CISA, CISSP
![Page 2: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/2.jpg)
2 +7 (495) 921 1410 / www.leta.ru
Законодательные и
отраслевые требования
![Page 3: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/3.jpg)
3
152-ФЗ
+7 (495) 921 1410 / www.leta.ru
Статья 18.1. Меры, направленные на обеспечение выполнения
оператором обязанностей, предусмотренных настоящим Федеральным
законом
1. Оператор обязан принимать меры, …..
6) ознакомление работников оператора, непосредственно осуществляющих
обработку персональных данных, с положениями законодательства
Российской Федерации о персональных данных, в том числе требованиями к
защите персональных данных, документами, определяющими политику
оператора в отношении обработки персональных данных, локальными актами
по вопросам обработки персональных данных, и (или) обучение указанных
работников.
![Page 4: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/4.jpg)
4
98-ФЗ
+7 (495) 921 1410 / www.leta.ru
Статья 11. Охрана конфиденциальности информации в рамках трудовых
отношений
1. В целях охраны конфиденциальности информации работодатель обязан:
1) ознакомить под расписку работника, доступ которого к информации,
составляющей коммерческую тайну, необходим для выполнения им своих
трудовых обязанностей, с перечнем информации, составляющей
коммерческую тайну, обладателями которой являются работодатель и его
контрагенты;
2) ознакомить под расписку работника с установленным работодателем
режимом коммерческой тайны и с мерами ответственности за его
нарушение;
![Page 5: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/5.jpg)
5
СТО БР ИББС
+7 (495) 921 1410 / www.leta.ru
8.9. Требования к разработке и организации реализации программ по
обучению и повышению осведомленности в области информационной
безопасности
8.9.1. Должна быть организована документально оформленная и
утвержденная руководством работа с персоналом организации БС РФ в
направлении повышения осведомленности и обучения в области ИБ,
включая разработку и реализацию планов и программ обучения и
повышения осведомленности в области ИБ и контроля результатов
выполнения указанных планов.
![Page 6: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/6.jpg)
6
382-П
+7 (495) 921 1410 / www.leta.ru
2.12.1 Оператор по переводу денежных средств, банковский платежный агент
(субагент), являющийся юридическим лицом, оператор услуг платежной
инфраструктуры обеспечивают повышение осведомленности работников
в области обеспечения защиты информации:
- по порядку применения организационных мер защиты информации;
- по порядку использования технических средств защиты информации.
![Page 7: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/7.jpg)
7
PCI DSS
+7 (495) 921 1410 / www.leta.ru
* Перевод http://pcidss.ru
12.6 Должна быть внедрена официальная программа повышения
осведомленности персонала компании о вопросах безопасности, чтобы
донести до них важность обеспечения безопасности данных о держателях карт
12.6.1 Обучение персонала организации должно проводиться при приеме
их на работу, продвижении по службе, а также не реже одного раза в год
12.6.2 Персонал организации должен не реже одного раза в год подтверждать
свое знание и понимание политики и процедур информационной
безопасности организации.
![Page 8: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/8.jpg)
8
ISO 27001
+7 (495) 921 1410 / www.leta.ru
А 8.2.2 Повышение осведомленности, обучение и тренинги в области
информационной безопасности
Все сотрудники организации и, в случае необходимости, подрядчики и
пользователи третьей стороны, должны проходить необходимое
обучение и получать регулярные обновления политик и процедур, принятых
в организации и необходимых для выполнения их должностных
обязанностей.
![Page 9: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/9.jpg)
9 +7 (495) 921 1410 / www.leta.ru
Для чего это нужно
![Page 10: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/10.jpg)
10 +7 (495) 921 1410 / www.leta.ru
Мощный инструмент о котором немногие задумываются
![Page 11: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/11.jpg)
11 +7 (495) 921 1410 / www.leta.ru
Наличие умысла при утечке информации
![Page 12: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/12.jpg)
12 +7 (495) 921 1410 / www.leta.ru
ИНЦИДЕНТ В КОМПАНИИ RSA
![Page 13: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/13.jpg)
13 +7 (495) 921 1410 / www.leta.ru
Как это чаще всего
реализуется
![Page 14: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/14.jpg)
14 +7 (495) 921 1410 / www.leta.ru
27 %
Да никак !
![Page 15: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/15.jpg)
15 +7 (495) 921 1410 / www.leta.ru
62 %
Ознакомление с инструкциями
при приеме на работу
![Page 16: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/16.jpg)
16 +7 (495) 921 1410 / www.leta.ru
11 %
Формальные тренинги для
персонала
![Page 17: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/17.jpg)
17 +7 (495) 921 1410 / www.leta.ru
Более половины сотрудников вообще
не знают наличии правил по
безопасности
80% опрошенных не измельчают
документы и носители до отправки в
мусорную корзину
85% открывают любые электронные
сообщения
А В РЕЗУЛЬТАТЕ…
![Page 18: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/18.jpg)
18 +7 (495) 921 1410 / www.leta.ru
БЫСТРЫЙ ТЕСТ
Легко ли доступны принятые в компании политики и регламенты по
информационной безопасности ? Сколько нужно времени рядовому
персоналу чтобы получить к ним доступ ?
Сколько страниц текста составляют документы, обязательные для
ознакомления рядовым персоналом ?
Осознает ли персонал пользу от соблюдения правил по
информационной безопасности ?
![Page 19: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/19.jpg)
19 +7 (495) 921 1410 / www.leta.ru
![Page 20: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/20.jpg)
20 +7 (495) 921 1410 / www.leta.ru
МЕЖДУНАРОДНЫЕ ПРАКТИКИ
NIST SP 800-50 Building an Information Technology Security Awareness
and Training Program
Создание программы повышения осведомленности
Разработка необходимых материалов
Внедрение программы повышения осведомленности
Меры по поддержанию и развитию программы
![Page 21: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/21.jpg)
21 +7 (495) 921 1410 / www.leta.ru
Нанесение правил на различные предметы (ручки, значки,
блокноты и проч.)
Постеры / плакаты
Скрин-сейверы / предупреждающие сообщения
Электронные рассылки
Бумажные рассылки
Видео-ролики
Веб-презентации
Компьютерные курсы
Телеконференции
ПРИЕМЫ ДОНЕСЕНИЯ ИНФОРМАЦИИ
Очные курсы
Талисманы
Игры (например, кроссворды)
Призы и награды
![Page 22: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/22.jpg)
22 +7 (495) 921 1410 / www.leta.ru
ПРИМЕР ИЗ ЖИЗНИ
Московский
Индустриальный Банк
![Page 23: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/23.jpg)
23 +7 (495) 921 1410 / www.leta.ru
Наши рекомендации
![Page 24: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/24.jpg)
24 +7 (495) 921 1410 / www.leta.ru
МИНИМУМ ЛИШНЕЙ ИНФОРМАЦИИ, ПРОСТОЕ ИЗЛОЖЕНИЕ, ЛЕГКАЯ ДОСТУПНОСТЬ 1
![Page 25: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/25.jpg)
25 +7 (495) 921 1410 / www.leta.ru
СОЗДАВАЙТЕ ПРОЦЕСС 2
Цикличность
Непрерывность
Контроль результата
![Page 26: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/26.jpg)
26 +7 (495) 921 1410 / www.leta.ru
АВТОМАТИЗИРУЙТЕ 3
Компьютерные курсы
Автоматические программы
обучения и тестирования
Централизованные рассылки
![Page 27: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/27.jpg)
27 +7 (495) 921 1410 / www.leta.ru
БУДЬТЕ ПОЛЕЗНЫ 4
Делитесь полезной информацией
Не ограничивайтесь только доведением правил
Помогайте
![Page 28: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/28.jpg)
28 +7 (495) 921 1410 / www.leta.ru
Постеры / плакаты
Скрин-сейверы / предупреждающие сообщения
Электронные рассылки
Компьютерные курсы
Очные курсы *
ПРИЕМЫ, КОТОРЫЕ РАБОТАЮТ
![Page 29: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/29.jpg)
29 +7 (495) 921 1410 / www.leta.ru
ТАК БЕЗОПАСНО ! http://tb.leta.ru
![Page 30: создание программы повышения осведомленности](https://reader035.vdocuments.mx/reader035/viewer/2022081718/5564d31bd8b42ad9498b4c6d/html5/thumbnails/30.jpg)
30 +7 (495) 921 1410 / www.leta.ru
ТАК БЕЗОПАСНО ! http://tb.leta.ru
Доработка / разработка графических материалов
Разработка программы повышения осведомленности
Очные обучения и тренинги
Разработка компьютерных курсов
Информационные рассылки
Расширенные опции: