3.15. Повышение уровня знаний и информированности пользователей по вопросам защиты информации (УЗ)

3.15. Повышение уровня знаний и информированности

пользователей по вопросам защиты информации (УЗ)

Цель: Снижение возможности реализации угроз безопасности информации, связанных с недостаточным уровнем знаний (информированности), а также с воздействием нарушителей на пользователей, и реализации методов социальной инженерии.

Требования к реализации: Мероприятия по повышению уровня знаний и информированности пользователей по вопросам защиты информации должны включать:

доведение до пользователей политики, стандартов и регламентов по защите информации, а также иных информационных материалов, в том числе в форме памяток, баннеров, буклетов, по актуальным вопросам защиты информации;

проведение лекций, семинаров, обучающих игр по вопросам защиты информации.

Должны быть определены категории работников, для которых проводятся мероприятия по повышению уровня знаний и компетенций по вопросам защиты информации, а также работники, ответственные за организацию и принятие мер по повышению уровня знаний и компетенций работников по вопросам защиты информации. Периодичность мероприятий по повышению уровня знаний и компетенций работников по вопросам защиты информации, а также привлекаемые для этого лица и используемые ими средства определяются во внутренних регламентах по защите информации.

Применяемые оператором (обладателем информации) способы повышения уровня знаний пользователей по вопросам защиты информации, периодичность и формы оценки уровня знаний должны определяться во внутренних регламентах по защите информации. Оценка уровня знаний должна проводиться в соответствии с внутренними стандартами и регламентами по защите информации. Для пользователей, показавших неудовлетворительный уровень знаний по вопросам защиты информации, должно быть организовано повторное прохождение обучающих курсов по вопросам защиты информации.

Работниками, ответственными за организацию и принятие мер по повышению уровня знаний и компетенций работников по вопросам защиты информации, проводится периодическое тестирование уровня знаний и компетенций работников по вопросам защиты информации. Периодичность и формы тестирования работников определяются во внутренних регламентах по защите информации.

Структурным подразделением, специалистами по защите информации ведется учет работников, систематически показывающих неудовлетворительный уровень знаний и компетенций по вопросам защиты информации. Сведения по указанным работникам представляются руководителю оператора, ответственному лицу при принятии управленческих решений.

Требования к документированию: Внутренний регламент по повышению уровня знаний и информированности пользователей по вопросам защиты информации должен включать:

перечень подразделений (работников, категорий работников), для которых требуется повышение уровня знаний и информированности пользователей по вопросам защиты информации;

описание применяемых способов повышения уровня знаний и компетенций работников по вопросам защиты информации и условий их использования;

состав и содержание мероприятий по повышению уровня знаний и информированности пользователей по вопросам защиты информации, периодичность их проведения;

перечень подразделений (работников), ответственных за организацию и проведение повышения уровня знаний и информированности пользователей по вопросам защиты информации;

порядок проведения тренировок с пользователями по практической отработке мероприятий по защите информации и формированию навыков по защите информации.

Требования к усилению:

1) проведение имитационных рассылок электронных писем на служебные адреса электронной почты, иные служебные средства коммуникаций с целью оценки устойчивости пользователей к методам социальной инженерии;

2) проведение тренировок с пользователями по практической отработке мероприятий по защите информации, предусмотренных внутренними регламентами по защите информации, и формированию навыков по защите информации;

3) разработка курсов для повышения уровня знаний и компетенций работников по вопросам защиты информации, организация периодического повышения уровня знаний и компетенций работников по вопросам защиты информации в соответствии с разработанными курсами;

4) разработка специализированных курсов для повышения уровня знаний и компетенций работников по вопросам защиты информации, предусматривающих углубленные знания способов и средств защиты информации, а также проведение тренингов по администрированию информационных систем и средств защиты информации;

5) использование автоматизированных систем (программных платформ), разрабатываемых оператором самостоятельно или доступных для приобретения или свободного использования в сети "Интернет", для обучения и прохождения тестирования уровня знаний и компетенций работников по вопросам защиты информации;

6) осуществление внеочередной проверки уровня знаний и компетенций по вопросам защиты информации работников, нарушивших внутренние стандарты или регламенты по защите информации.