Необходимость повышения грамотности сотрудников в вопросах ИБ зафиксирована в большинстве стандартов.
Например для банков: 382-п
Например для банков: 382-п
2.12.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников в области обеспечения защиты информации:по порядку применения организационных мер защиты информации;по порядку использования технических средств защиты информации.Для любителей ISO: ISO/IEC 27002
7.2.2 Осведомленность, образование и обучение в сфере информационной безопасностиЧто можно сделать в своей организации уже завтра:
Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей. (Так же в этом пункте 7.2.2. есть практические рекомендации по применению. Найти текст стандарта можно здесь)
- Приказом принять инструкцию по ИБ для пользователей. В ней описать основные требования. Всех сотрудников ознакомить с ней под подпись. Теперь, в случае ее нарушения, у нас будет механизм воздействия на сотрудника.
- Издать памятку по ИБ. Это неофициальный документ, в нем в доступной форме описаны все основные требования. Должна быть красочная, в корпоративном стиле. Каждому новому сотруднику выдавать такую в руки, чтобы пылилась под клавиатурой и всем своим видом напоминала, что ИБ это важно.
- Информационные рассылки по почте. Лучше проводить нечасто, раз в 2-3 недели, чтобы глаз не замыливался ими. В них обращаем внимание на актуальные вопросы.
- Личный инструктаж каждого нового сотрудника, при желании с проведением небольшого теста в конце, что бы "страшный безопасник" еще больше запомнился (плюсом бланки тестов с подписью очень весело показывать проверяющим из ЦБ).
По каждому из пунктов, при вашем желании, могу дать рекомендации и привести рабочие примеры.
Комментариев нет:
Отправить комментарий