Сознательный сотрудник – безопасная организация, часть 3

Представляю третью статью из цикла “Сознательный работник — безопасная организация”.
Рассматривая передовой опыт, включая международные стандарты в области информационной безопасности, такие как ISO/IEC 27001 Системы управления информационной безопасностью, NIST, COBiT и другие, а также опыт внедрения, аудита и совершенствование систем управления информационной безопасностью, приходим к выводу, что необходимо начать с ангажированности и осведомленности наивысшего руководства и менеджмента организации. Именно менеджеры и руководители должны подавать пример, а кроме того имеют наилучшие возможности для привлечения сотрудников к участию в процессах информационной безопасности, которые неотделимы от повседневной работы.
Все менеджеры должны отвечать за внедрение, поддержку и совершенствование системы управления информационной безопасностью в рамках своих организационных подразделений и обязанностей; участвовать в анализе и пересмотре, после внедрения, демонстрировать знания и внедрять установленную политику и принципы безопасности; действовать точно и в соответствии с установленными политиками, процедурами и инструкциями; способствовать повышению осведомленности работников, информировать их об актуальных рисках, новых угрозах, изменениях и т.д.; сотрудничать с подразделением безопасности и ИТ организации, а также обмениваться опытом с другими менеджерами.
Большинство стандартов и норм также сосредоточены на информированности и осведомленности, и требуют их от всех работников организации, которые влияют на информационную безопасность.

Zobacz podobne  Новый стандарт ISO/IEC 27001:2022

Основной целью повышение осведомленности работников организации по вопросам информационной безопасности является уменьшение потерь (материальных, финансовых, имиджевых), возникающих вследствие реализации угроз, связанных с недостаточным знанием работников или непониманием основных принципов информационной безопасности, в том числе при работе в информационных системах организации.
Комплексная программа повышения осведомленности работников и формирования культуры в сфере информационной безопасности будет содержать три основных элемента:

  • Обучение работников организации
  • Поддержание атмосферы информационной безопасности
  • Оценка эффективности и обновления, совершенствования

Основные задачи программы повышения осведомленности:

  • информирование работников о существующих угрозах (уязвимостях) и вопросах безопасности, которые могут возникнуть во время их повседневной работы;
  • обеспечение работников основными требованиями, ограничениями и правилами политики информационной безопасности организации;
  • подготовка работников с точки зрения принципов, методов и средств противодействия угрозам информационной безопасности;
  • поощрение работников к сознательному соблюдению требований, применению ограничений и политик, процедур и инструкций организации.
Zobacz podobne  Сколько стоит сертификат ISO - что влияет на цену ISO

Программа направлена ​​на развитие у сотрудников:
• способности обоснованно оценить возможные последствия своих действий во время работы;
• стабильных привычек, которые способствуют поддержанию высокого уровня информационной безопасности (привычки соблюдения и использования ограничений политик безопасности организации и рекомендаций специалистов по безопасности),
• способности действовать правильно и быстро в случае возникновения инцидента информационной безопасности и в критических или кризисных ситуациях.

Программа должна быть адаптирована к организации и ее формирование должно учитывать такие факторы, как законодательство (требования правовых актов, контрактов и правил, которые организация обязалась исполнять); оценка рисков; меры, включая экономическую обоснованность; дифференцированный подход; системный подход и непрерывность; взаимодействие и сотрудничество; специализация и профессионализм.

Zobacz podobne  Уязвимости и их раскрытие. Обзор ISO/IEC 29147 и ISO 30111. Часть 2

Стоит помнить, что у нас может быть проблема с передачей информации работникам (точнее у сотрудников, которые занимаются обеспечением информационной безопасности). Персонал, не имеющий профессиональных знаний, обычно не способен адекватно воспринимать информационные сообщения от специалистов по безопасности, которые, в свою очередь, могут не иметь достаточного уровня методических и тренерских навыков.

Специалисты IKMJ всегда рады помочь с любым вопросом и адаптировать обучение и тренинг согласно потребностям Вашей организации!

Прокрутить вверх