​Сознательный сотрудник – безопасная организация, часть 4

Это последняя четвертая часть из серии статей «Сознательный сотрудник — безопасная организация», в которой мы подробно рассмотрим комплексную программу повышения осведомленности работников и формирования культуры в сфере информационной безопасности, которая содержит три основных элемента:

  • обучение работников организации;
  • поддержание атмосферы информационной безопасности;
  • оценка эффективности, обновления и совершенствования.

Обучение и подготовка работников организации
Этапы разработки учебного плана по информационной безопасности в рамках реализации программы:

1) разработка тематических анкет информационной безопасности для различных категорий работников организации с целью оценки уровня их знаний по информационной безопасности;
2) разработка автономных и онлайн материалов, включая разработку интерактивных курсов электронного обучения;
3) поддержание атмосферы информационной безопасности в организации с помощью различных инструментов, таких как плакаты, заставки, сообщения;
4) разработка продуктов направленных на активное участие работников в процессе обеспечения информационной безопасности в организациях: обучение, фильмы, обучение с помощью онлайн-игр;
5) обеспечение надежного контроля знаний и проверки знаний, базирующейся на проверках и тестах противодействия реальным атакам.

Zobacz podobne  Новый стандарт ISO 15189

Обучение работников организации может осуществляться с помощью следующих инструментов:

  • очное обучение и тренинги в форме лекций, бесед и упражнений
  • дистанционное, электронное обучение (например, учебный портал, программное обеспечение, курсы электронного обучения, веб-семинары, компьютерные игры)
  • форум, чат, телефон доверия.

Поддержание атмосферы информационной безопасности
Повышение осведомленности в области информационной безопасности не должно быть узкопрофильным и требующим подготовки. Чем проще и доступнее будут материалы, тем проще они будут запоминаться работниками организации.

Наиболее эффективными являются:

  • плакаты;
  • заставки;
  • сообщение электронной почты
  • баннеры;
  • фильмы;
  • листовки, брошюры;
  • гаджеты, сувениры.

Оценка эффективности и совершенствование
Экзамены, тесты знаний, внутренние и внешние аудиты, а также атаки на персонал в виде отправления провокационных сообщений по электронной почте компании и/или с помощью SMS/MMS, что будет провоцировать пользователей нарушать правила информационной безопасности, действующие в организации.
Как часть реализации реальных атак, проведение проверки знаний пользователей может включать в себя элементы касающиеся:

  • правил использования электронной почты и Интернета;
  • применения знаний принятой классификации информации;
  • противодействия вирусным атакам;
  • политики паролей;
  • принципов безопасного использования мобильных устройств и т.п.
Zobacz podobne  Как перейти на новый стандарт ISO 27001:2022

На основе данных об оценке необходимо провести анализ, и продемонстрировать полезность и эффективность программы повышения осведомленности. Эти данные также станут основой для актуализации и совершенствования.

Ожидаемые результаты внедрения программы:

  • уменьшение организационных потерь (материальных, имиджевых и т.п.) вследствии реализации угроз, связанных с человеческим фактором;
  • уменьшение количества ошибок и серьезных последствий непреднамеренных действий персонала;
  • повышение вклада каждого работника в улучшение информационной безопасности организации;
  • достижение прогресса в соответствии с нормами и правилами по информационной безопасности в организации.

Кроме того, в организации должен быть разработан соответствующий дисциплинарный процесс связанный с нарушениями безопасности, включая расследование, реагирование на инциденты и внедрение соответствующих корректирующих и профилактических действий.
Создавая организационную культуру, надо помнить, что это сложная и гибкая концепция. Из года в год ее роль в общей стратегии организационного развития и информационной безопасности растет все больше и больше, так как обеспечивает поддержку и эффективное внедрение положений системы управления информационной безопасностью, управления организацией и достижением ее целей.

Zobacz podobne  Как управлять соответствием? Compliance Management System на основе ISO 37301
Прокрутить вверх