Презентация команды dandelions
TRANSCRIPT
Актуальность осведомленности в области ИБ Ярким примером является инцидент с телеканалом
TV5Monde, чьи внутренняя сеть и аккаунты в социальных сетях были взломаны после выхода интервью с сотрудником компании, который был снят на фоне своего рабочего места, обвешанного записками с паролями к учетным записям
По данным «Глобального исследования утечек конфиденциальной информации за 2014 год» аналитического центра «Info Watch» больше чем в половине случаев (57,6%) вина в утечке информации принадлежала персоналу компаний
Необходимость обеспечения осведомленности сотрудниковВ статье 11 федерального закона «О коммерческой
тайне» №98-ФЗ требуется:
ознакомить под расписку работника, кто обладает сведениями составляющими коммерческую тайну
ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение
В статье 18.1 ФЗ «О персональных данных»№152-ФЗ сказано о том, что оператор обязан принимать следующие меры:
ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников
Необходимость обеспечения осведомленности сотрудников
Ссылаясь на стандарт ISO/IEC27002:2013 пункта 7.2.2 Мы можем выделить рекомендации по содержанию
программы повышения осведомленности: целью программы повышения осведомленности должно являться
ознакомление сотрудников с их обязанностями, касающихся вопросов информационной безопасности, и средствами выполнения этих обязанностей;
программа должна планироваться с учетом роли сотрудников в организации;
деятельность в рамках программы повышения должна быть запланирована в течение долгого времени и регулярно повторяться
программа должна включать в себя осведомительные мероприятия, такие как выпуск буклетов, новостной рассылки, проведение специальных тематических дней и т.п.;
Ссылаясь на стандарт ISO/IEC27002:2013 пункта 7.2.2 при составлении программы повышения осведомленности, важно
не только сосредоточиться на «что» и «как», но и «почему». (Важно, чтобы сотрудники понимали цели информационной безопасности)
в конце курса повышения осведомленности должна быть проведена оценка понимания сотрудниками переданных им знаний;
программа повышения осведомленности также должны регулярно обновляться, в соответствии с изменениями в организационных политиках, а также она должна быть построена на уроках, извлеченных из инцидентов информационной безопасности.
План программы повышения осведомленности сотрудников
IПланирование
IIДействие
IVСовершенствование
IIIОценка
Осведомленность сотрудников
На этапе «Планирование» проводится определение потребностей в повышении осведомленности и обучении сотрудников. Затем разрабатываются осведомительные материалы для ликвидации этих потребностей и подготавливается план преподнесения осведомительных материалов сотрудникам.
На этапе «Действие» необходимо организовать и проконтролировать преподнесение осведомительного материала.
На этапе «Оценка» осуществляется сбор данных о результатах программы повышения осведомленности и производится анализ этих данных.
На этапе «Совершенствование» принимается решение о том, как следует улучшить программу, и происходит перезапуск программы.
Особенности повышения осведомленности разных подразделений бизнеса
Для подразделения руководителей важной особенностью является то, что они должны быть ознакомлены с большим количеством материала по защите информации, но могут иметь не самые глубокие познания в этой сфере, опираясь на знания руководителей отделов.
Для департамента ИТ особое внимание нужно уделить техническим аспектам соблюдения информационной безопасности используя различные методики обучения, например, вебинары.
Департаменты продаж и департаменты закупок и логистики будут наиболее осведомлены в защите авторских прав, в работе с сетью Интернет и электронной почтой. А также будут проведены семинары и курсы по повышению квалификации по рациональному использованию рабочего времени.
Отдел дизайнеров/монтажеров/прочих будут в большей степени осведомлены с антивирусной защиты, с парольной защитой и с опасностью использования внешних носителей информации.
Особенности повышения осведомленности разных подразделений бизнеса
Сотрудникам департамента эксплуатации важно знать об авторском праве, конфиденциальной информации и использованием мобильных устройств.
Особенности повышения осведомленности разных подразделений бизнеса
Общие направления повышения осведомленности сотрудников в сфере ИБ Всем сотрудникам организации, кто работает с
персональными данным, либо связан с коммерческой тайной, либо работает с авторскими правами необходимо ознакомиться под подпись с политикой ИБ, с регламентами ИБ, а также пройти хотя бы краткий курс по безопасности использования рабочего места, по рациональному использованию рабочего времени, а также знать, что является конфиденциальной(защищаемой) информацией.
Также все вышеперечисленные сотрудники должны пройти некое тестирование, чтобы можно было бы оценить и совершенствовать их осведомленность.
ВыводыРазработанная программа повышения осведомленности
сотрудников позволит добиться следующего: Защиты организации от утечки информации. Соблюдения политик информационной безопасности,
обязательных для всех в организации. Мотивировать сотрудников организации
соответствовать требованиям политик информационной безопасности, стандартов и руководств, а так же требованиям действующего законодательства.
Уменьшить количество и степень ущерба инцидентов информационной безопасности.
Обеспечить доверие клиентов и сотрудников.