Актуальность осведомленности в области ИБ Ярким примером является инцидент с телеканалом

TV5Monde, чьи внутренняя сеть и аккаунты в социальных сетях были взломаны после выхода интервью с сотрудником компании, который был снят на фоне своего рабочего места, обвешанного записками с паролями к учетным записям

По данным «Глобального исследования утечек конфиденциальной информации за 2014 год» аналитического центра «Info Watch» больше чем в половине случаев (57,6%) вина в утечке информации принадлежала персоналу компаний

Необходимость обеспечения осведомленности сотрудниковВ статье 11 федерального закона «О коммерческой

тайне» №98-ФЗ требуется:

ознакомить под расписку работника, кто обладает сведениями составляющими коммерческую тайну

ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение

В статье 18.1 ФЗ «О персональных данных»№152-ФЗ сказано о том, что оператор обязан принимать следующие меры:

ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников

Необходимость обеспечения осведомленности сотрудников

Ссылаясь на стандарт ISO/IEC27002:2013 пункта 7.2.2 Мы можем выделить рекомендации по содержанию

программы повышения осведомленности: целью программы повышения осведомленности должно являться

ознакомление сотрудников с их обязанностями, касающихся вопросов информационной безопасности, и средствами выполнения этих обязанностей;

программа должна планироваться с учетом роли сотрудников в организации;

деятельность в рамках программы повышения должна быть запланирована в течение долгого времени и регулярно повторяться

программа должна включать в себя осведомительные мероприятия, такие как выпуск буклетов, новостной рассылки, проведение специальных тематических дней и т.п.;

Ссылаясь на стандарт ISO/IEC27002:2013 пункта 7.2.2 при составлении программы повышения осведомленности, важно

не только сосредоточиться на «что» и «как», но и «почему». (Важно, чтобы сотрудники понимали цели информационной безопасности)

в конце курса повышения осведомленности должна быть проведена оценка понимания сотрудниками переданных им знаний;

программа повышения осведомленности также должны регулярно обновляться, в соответствии с изменениями в организационных политиках, а также она должна быть построена на уроках, извлеченных из инцидентов информационной безопасности.

План программы повышения осведомленности сотрудников

IПланирование

IIДействие

IVСовершенствование

IIIОценка

Осведомленность сотрудников

На этапе «Планирование» проводится определение потребностей в повышении осведомленности и обучении сотрудников. Затем разрабатываются осведомительные материалы для ликвидации этих потребностей и подготавливается план преподнесения осведомительных материалов сотрудникам.

На этапе «Действие» необходимо организовать и проконтролировать преподнесение осведомительного материала.

На этапе «Оценка» осуществляется сбор данных о результатах программы повышения осведомленности и производится анализ этих данных.

На этапе «Совершенствование» принимается решение о том, как следует улучшить программу, и происходит перезапуск программы.

Особенности повышения осведомленности разных подразделений бизнеса

Для подразделения руководителей важной особенностью является то, что они должны быть ознакомлены с большим количеством материала по защите информации, но могут иметь не самые глубокие познания в этой сфере, опираясь на знания руководителей отделов.

Для департамента ИТ особое внимание нужно уделить техническим аспектам соблюдения информационной безопасности используя различные методики обучения, например, вебинары.

Департаменты продаж и департаменты закупок и логистики будут наиболее осведомлены в защите авторских прав, в работе с сетью Интернет и электронной почтой. А также будут проведены семинары и курсы по повышению квалификации по рациональному использованию рабочего времени.

Отдел дизайнеров/монтажеров/прочих будут в большей степени осведомлены с антивирусной защиты, с парольной защитой и с опасностью использования внешних носителей информации.

Особенности повышения осведомленности разных подразделений бизнеса

Сотрудникам департамента эксплуатации важно знать об авторском праве, конфиденциальной информации и использованием мобильных устройств.

Особенности повышения осведомленности разных подразделений бизнеса

Общие направления повышения осведомленности сотрудников в сфере ИБ Всем сотрудникам организации, кто работает с

персональными данным, либо связан с коммерческой тайной, либо работает с авторскими правами необходимо ознакомиться под подпись с политикой ИБ, с регламентами ИБ, а также пройти хотя бы краткий курс по безопасности использования рабочего места, по рациональному использованию рабочего времени, а также знать, что является конфиденциальной(защищаемой) информацией.

Также все вышеперечисленные сотрудники должны пройти некое тестирование, чтобы можно было бы оценить и совершенствовать их осведомленность.

ВыводыРазработанная программа повышения осведомленности

сотрудников позволит добиться следующего: Защиты организации от утечки информации. Соблюдения политик информационной безопасности,

обязательных для всех в организации. Мотивировать сотрудников организации

соответствовать требованиям политик информационной безопасности, стандартов и руководств, а так же требованиям действующего законодательства.

Уменьшить количество и степень ущерба инцидентов информационной безопасности.

Обеспечить доверие клиентов и сотрудников.

Спасибо за внимание!