Журнал "Information Security/ Информационная безопасность" #1, 2023

Что такое повышение осведомленности и для кого оно актуально? Повышение осведомленности в вопро- сах информационной безопасности, часто называемое красивым термином Security Awareness, представляет собой комплекс мероприятий, направленных на повышение культуры информацион- ной безопасности работников организа- ции или группы организаций, а также сотрудников органов власти, местного самоуправления и государственных учреждений. В текущих реалиях, связанных с уве- личивающимся количеством компью- терных атак на информационные ресурсы с применением приемов социальной инженерии, вопросы повышения культуры информацион- ной безопасности сотрудников орга- низации являются особо актуальными. Кроме того, необходимость органи- зации таких мероприятий предусмот- рена действующей нормативной базой (см. табл. 1). С точки зрения нормативно-правового регулирования обучение и повышение осведомленности в области информа- ционной безопасности необходимо про- водить всем организациям. Для каких групп сотрудников следует проводить мероприятия по повышению осведомленности? В целом мероприятия по повышению осведомленности необходимо проводить для всех работников организации. Одна- ко их лучше дифференцировать для разных групп (см. табл. 2). Как организовать мероприятия по повышению осведомленности? Рассмотрим, что именно нужно делать в рамках перечисленных мероприятий. Информирование о рисках, угрозах и их влиянии на бизнес Речь идет о доведении до руко- водства информации о текущей ситуации в информационной без- опасности, о существующих рисках, угрозах и о том, как они влияют на деятельность организации. Это можно делать: l в виде коротких справок (формата one page only); l в виде кратких презентаций на сове- щаниях (формата pitch deck). 32 • УПРАВЛЕНИЕ SECURITY AWARENESS: разработка мероприятий по повышению осведомленности оговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать. П Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности Где установлено? Что устанавливает? Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239) Информирование и обучение персонала значимых объектов критической информационной инфраструктуры Требования по обеспечению защиты информации в автоматизированных системах управления технологическим процессом (утв. приказом ФСТЭК России от 14 марта 2014 г. № 31) Информирование и обучение персонала автоматизированной системы Требования о защите информации в государственных информационных системах (утв. приказом ФСТЭК России от 11.02.2013 № 17) Информирование и обучение персонала информационной системы СТО БР ИББС-1.0–2014, ГОСТ Р 57580.1–2017 и иные нормативные акты по информационной безопасности в финансово-кредитной сфере Организация обучения и повышение осведомленности в области информационной безопасности. Разделение на группы (в ГОСТ): l обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации; l повышение осведомленности (инструктаж) работников финансовой организации в области защиты информации ГОСТ Р ИСО/МЭК 27001–2021 (СМИБ) Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности Таблица 1. Нормативно-правовые акты, устанавливающие требования по повышению осведомленности работников