3.15. Повышение уровня знаний и информированности пользователей по вопросам защиты информации (УЗ)
Цель: Снижение возможности реализации угроз безопасности информации, связанных с недостаточным уровнем знаний (информированности), а также с воздействием нарушителей на пользователей, и реализации методов социальной инженерии.
Требования к реализации: Мероприятия по повышению уровня знаний и информированности пользователей по вопросам защиты информации должны включать:
доведение до пользователей политики, стандартов и регламентов по защите информации, а также иных информационных материалов, в том числе в форме памяток, баннеров, буклетов, по актуальным вопросам защиты информации;
проведение лекций, семинаров, обучающих игр по вопросам защиты информации.
Должны быть определены категории работников, для которых проводятся мероприятия по повышению уровня знаний и компетенций по вопросам защиты информации, а также работники, ответственные за организацию и принятие мер по повышению уровня знаний и компетенций работников по вопросам защиты информации. Периодичность мероприятий по повышению уровня знаний и компетенций работников по вопросам защиты информации, а также привлекаемые для этого лица и используемые ими средства определяются во внутренних регламентах по защите информации.
Применяемые оператором (обладателем информации) способы повышения уровня знаний пользователей по вопросам защиты информации, периодичность и формы оценки уровня знаний должны определяться во внутренних регламентах по защите информации. Оценка уровня знаний должна проводиться в соответствии с внутренними стандартами и регламентами по защите информации. Для пользователей, показавших неудовлетворительный уровень знаний по вопросам защиты информации, должно быть организовано повторное прохождение обучающих курсов по вопросам защиты информации.
Работниками, ответственными за организацию и принятие мер по повышению уровня знаний и компетенций работников по вопросам защиты информации, проводится периодическое тестирование уровня знаний и компетенций работников по вопросам защиты информации. Периодичность и формы тестирования работников определяются во внутренних регламентах по защите информации.
Структурным подразделением, специалистами по защите информации ведется учет работников, систематически показывающих неудовлетворительный уровень знаний и компетенций по вопросам защиты информации. Сведения по указанным работникам представляются руководителю оператора, ответственному лицу при принятии управленческих решений.
Требования к документированию: Внутренний регламент по повышению уровня знаний и информированности пользователей по вопросам защиты информации должен включать:
перечень подразделений (работников, категорий работников), для которых требуется повышение уровня знаний и информированности пользователей по вопросам защиты информации;
описание применяемых способов повышения уровня знаний и компетенций работников по вопросам защиты информации и условий их использования;
состав и содержание мероприятий по повышению уровня знаний и информированности пользователей по вопросам защиты информации, периодичность их проведения;
перечень подразделений (работников), ответственных за организацию и проведение повышения уровня знаний и информированности пользователей по вопросам защиты информации;
порядок проведения тренировок с пользователями по практической отработке мероприятий по защите информации и формированию навыков по защите информации.
1) проведение имитационных рассылок электронных писем на служебные адреса электронной почты, иные служебные средства коммуникаций с целью оценки устойчивости пользователей к методам социальной инженерии;
2) проведение тренировок с пользователями по практической отработке мероприятий по защите информации, предусмотренных внутренними регламентами по защите информации, и формированию навыков по защите информации;
3) разработка курсов для повышения уровня знаний и компетенций работников по вопросам защиты информации, организация периодического повышения уровня знаний и компетенций работников по вопросам защиты информации в соответствии с разработанными курсами;
4) разработка специализированных курсов для повышения уровня знаний и компетенций работников по вопросам защиты информации, предусматривающих углубленные знания способов и средств защиты информации, а также проведение тренингов по администрированию информационных систем и средств защиты информации;
5) использование автоматизированных систем (программных платформ), разрабатываемых оператором самостоятельно или доступных для приобретения или свободного использования в сети "Интернет", для обучения и прохождения тестирования уровня знаний и компетенций работников по вопросам защиты информации;
6) осуществление внеочередной проверки уровня знаний и компетенций по вопросам защиты информации работников, нарушивших внутренние стандарты или регламенты по защите информации.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875