Представляю третью статью из цикла “Сознательный работник — безопасная организация”.
Рассматривая передовой опыт, включая международные стандарты в области информационной безопасности, такие как ISO/IEC 27001 Системы управления информационной безопасностью, NIST, COBiT и другие, а также опыт внедрения, аудита и совершенствование систем управления информационной безопасностью, приходим к выводу, что необходимо начать с ангажированности и осведомленности наивысшего руководства и менеджмента организации. Именно менеджеры и руководители должны подавать пример, а кроме того имеют наилучшие возможности для привлечения сотрудников к участию в процессах информационной безопасности, которые неотделимы от повседневной работы.
Все менеджеры должны отвечать за внедрение, поддержку и совершенствование системы управления информационной безопасностью в рамках своих организационных подразделений и обязанностей; участвовать в анализе и пересмотре, после внедрения, демонстрировать знания и внедрять установленную политику и принципы безопасности; действовать точно и в соответствии с установленными политиками, процедурами и инструкциями; способствовать повышению осведомленности работников, информировать их об актуальных рисках, новых угрозах, изменениях и т.д.; сотрудничать с подразделением безопасности и ИТ организации, а также обмениваться опытом с другими менеджерами.
Большинство стандартов и норм также сосредоточены на информированности и осведомленности, и требуют их от всех работников организации, которые влияют на информационную безопасность.
Основной целью повышение осведомленности работников организации по вопросам информационной безопасности является уменьшение потерь (материальных, финансовых, имиджевых), возникающих вследствие реализации угроз, связанных с недостаточным знанием работников или непониманием основных принципов информационной безопасности, в том числе при работе в информационных системах организации.
Комплексная программа повышения осведомленности работников и формирования культуры в сфере информационной безопасности будет содержать три основных элемента:
- Обучение работников организации
- Поддержание атмосферы информационной безопасности
- Оценка эффективности и обновления, совершенствования
Основные задачи программы повышения осведомленности:
- информирование работников о существующих угрозах (уязвимостях) и вопросах безопасности, которые могут возникнуть во время их повседневной работы;
- обеспечение работников основными требованиями, ограничениями и правилами политики информационной безопасности организации;
- подготовка работников с точки зрения принципов, методов и средств противодействия угрозам информационной безопасности;
- поощрение работников к сознательному соблюдению требований, применению ограничений и политик, процедур и инструкций организации.
Программа направлена на развитие у сотрудников:
• способности обоснованно оценить возможные последствия своих действий во время работы;
• стабильных привычек, которые способствуют поддержанию высокого уровня информационной безопасности (привычки соблюдения и использования ограничений политик безопасности организации и рекомендаций специалистов по безопасности),
• способности действовать правильно и быстро в случае возникновения инцидента информационной безопасности и в критических или кризисных ситуациях.
Программа должна быть адаптирована к организации и ее формирование должно учитывать такие факторы, как законодательство (требования правовых актов, контрактов и правил, которые организация обязалась исполнять); оценка рисков; меры, включая экономическую обоснованность; дифференцированный подход; системный подход и непрерывность; взаимодействие и сотрудничество; специализация и профессионализм.
Стоит помнить, что у нас может быть проблема с передачей информации работникам (точнее у сотрудников, которые занимаются обеспечением информационной безопасности). Персонал, не имеющий профессиональных знаний, обычно не способен адекватно воспринимать информационные сообщения от специалистов по безопасности, которые, в свою очередь, могут не иметь достаточного уровня методических и тренерских навыков.
Специалисты IKMJ всегда рады помочь с любым вопросом и адаптировать обучение и тренинг согласно потребностям Вашей организации!