BIS Journal №4(7)/2012

4 декабря, 2012

Учить или не учить?

Можно использовать совершенные программно-технические способы и средства обеспечения информационной безопасности, писать самые правильные и полные документы (политики) по информационной безопасности, но без участия в этой работе всех работников банка эффективность системы обеспечения информационной безопасности (далее – СОИБ) будет минимальной. Человеческий фактор является самым слабым звеном любой СОИБ.

BIS-СПРАВКА

Оценка внешним аудитом степени соответствия информационной безопасности в АКБ «Московский Индустриальный банк» (ОАО) требованиям СТО БР ИББС-1.0-2010 и законодательства РФ в области персональных данных составляет 4 уровень по пятиуровневой шкале методики оценки СТО БР ИББС 1.0-2010. Этот уровень является рекомендуемым Банком России для организаций отечественной банковской системы.
Также банк успешно завершил аудит соответствия международному стандарту информационной безопасности PCI DSS v.2.0, разработанному международными платёжными системами VISA и MasterCard, и получил соответствующий сертификат.
В полном объёме выполняются требования стандартов, предъявляемые к обучению и повышению осведомлённости работников банка в вопросах информационной безопасности.

Для минимизации рисков, связанных с человеческим фактором, необходимо организовать документально оформленную и утвержденную руководством банка работу с персоналом в направлении повышения осведомленности и обучения в области информационной безопасности. Включая разработку и реализацию планов, программ обучения и повышения осведомленности в области информационной безопасности, а также контроль результатов выполнения указанных планов.

Существенную помощь в организации системы обучения банкам окажет внедрение Стандарта Банка России СТО БР ИББС 1.0, которое является комплексным решением в области информационной безопасности.

Обучение персонала в области информационной безопасности необходимо в следующих целях:

  • развития и поддержания у работников осознания важности безопасности при использованииинформационных технологий, знания порядка действий при возникновении нежелательных событий и инцидентов;
  • осознания работниками их роли и места, а также обязанностей и ответственности за обеспечение защиты информации в банке;
  • повышения уровня знания работниками основных правил обеспечения информационной безопасности;
  • доведения до работников основных положений, ограничений и требований существующих документов (политик) в области информационной безопасности;
  • доведения до работников информации о том, какие средства защиты информации используются, а также о том, как эти средства правильно и эффективно использовать.

Необходимость обучения и повышения осведомленности персонала в вопросах информационной безопасности регламентируется ФЗ-152 «О персональных данных», стандартом СТО БР ИББС 1.0 2010, стандартом PCI DSS 2.0, ФЗ-98 «О коммерческой тайне», стандартом Ассоциации российских банков «Система управления непрерывностью деятельности кредитных организаций».

Обучение в области информационной безопасности должно включать следующие направления (Таблица 1):

  • повышение осведомленности работников банка в вопросах информационной безопасности (общий курс);
  • безопасная работа с персональными данными в банке;
  • организация непрерывности ведения бизнеса и восстановления деятельности после прерываний.

Систему обучения и повышения осведомленности работников банка в области информационной безопасности схематично можно представить следующим образом (Схема 1).

Основными формами обучения являются:

  • индивидуальное обучение (вводный, повторный и внеочередной инструктажи);
  • специальное обучение с привлечением внешних учебных центров;
  • повышение осведомленности: дистанционное обучение, методами социальной инженерии (памятками, плакатами, screenlock'ерами, и т.п., отражающими все требования нормативных документов банка по информационной безопасности).

В соответствии с нормами Стандарта Банка России СТО БР ИББС-1.0 в планах обучения и повышения осведомленности должны устанавливаться требования к периодичности обучения и повышения осведомленности.

В программы обучения и повышения осведомленности следует включать следующую информацию:

  • о существующих политиках информационной безопасности;
  • о применяемых в банке защитных мерах;
  • о правильном использовании защитных мер в соответствии с внутренними документами банка;
  • о значимости и важности деятельности работников для обеспечения информационной безопасности банка.

Также необходимо определить перечень документов, являющихся свидетельством выполнения программ обучения и повышения осведомленности в области информационной безопасности.

Индивидуальное обучение (инструктажи) должно завершаться проверкой знаний устным опросом, а также оценкой приобретенных навыков безопасных способов работы. Знания проверяет работник, проводивший инструктаж.

При распределенной структуре банка имеет смысл возложить обязанности проведения обучения и повышения осведомленности в области информационной безопасности на специального работника (администратора информационной безопасности), назначенного в каждом удаленном подразделении.

В рамках самооценки внутренним аудиторам банка необходимо регулярно контролировать уровень осведомленности работников проверяемых подразделений, полноту и правильность оформления документов по обучению, своевременность доведения новых требований по информационной безопасности.

Служба информационной безопасности должна отслеживать эффективность обучения, в том числе путем количественного и качественного анализа действий работников банка, последовавших в ответ на определенные события.

Рассматриваемая система обучения является масштабируемым процессом, направленным на постоянное повышение уровня знаний, навыков и квалификации в области информационной безопасности работников банка и интегрируется с действующими кадровыми бизнес-процессами.

В результате внедрения системы обучения и повышения осведомленности в области информационной безопасности в банке существенно уменьшится число инцидентов в этой области, связанных с человеческим фактором, а также сократится нецелевое использование ресурсов.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.06.2025
Половина пользователей мобильных устройств ежедневно страдает от скама
17.06.2025
ВТБ узнал мнение россиян об интеграции виртуальной тревожной кнопки
17.06.2025
Без ИБ теперь даже не отдохнуть. Боты оставляют россиян без отпуска
17.06.2025
ИБ-компании помогли Интерполу в борьбе с азиатскими хакерами
17.06.2025
Северная Европа задумалась о цифровом суверенитете
17.06.2025
Гигант оптовой торговли продуктами питания стал жертвой кибератаки
16.06.2025
Китай нагружает соседские ИИ-чипы своими данными
16.06.2025
Ernst & Young: Быстрое внедрение ИИ-агентов требует усиления контроля
16.06.2025
«Платформизация вынудит многие отрасли выйти из-зоны комфорта»
16.06.2025
Трамп пустил под нож основные киберпроекты Обамы и Байдена

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных