Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

понедельник, 31 января 2011 г.

О программе повышения осведомленности

Как известно, крепость цепи определяется крепостью самого слабого звена. И самым слабым звеном для информационной безопасности являются люди. Как бы мы не закручивали гайки, внедряя изощренные контроли информационной безопасности, как бы не ужесточали правила, без понимания и выполнения их сотрудниками ничего работать не будет. 
Закрыли интернет ресурсы?  Обойдем! Ввели 18 символьный пароль, который еженедельно меняется и система помнит последние 65535 паролей? Мы его запишем на стикер и на монитор!

Есть еще конечно проверенный годами метод кнута… Но будет ли он работать эффективно? Демотивированный персонал лучше работать не станет. Скорее наоборот. А специалисты по безопасности превращаются в надсмотрщиков.

А ведь часто бывает, что большинство персонала в компании даже не осведомлено о существующих политиках и стандартах в организации!

А если пользователи и знают требования по безопасности, то очень часто их не понимают и недооценивают для чего это необходимо.

Гораздо проще, когда сотрудники компании понимают для чего вводятся меры безопасности и какова  их (сотрудников) персональная роль.
Для этого необходимо регулярно доносить до всех сотрудников:
  • цели и роль информационной безопасности в Компании
  • определение конфиденциальной информации
  • требования к соблюдению конфиденциальности информации
  • обязанности и ответственность сотрудников и третьих лиц (поставщиков, консультантов и т.д.)
  • правила безопасной работы с информационными ресурсами Компании
  • дисциплинарные меры
  • и т.д.
И для того, чтобы сделать это максимально эффективно, нам и нужна та самая программа повышения осведомленности.  Как правило, такая программа включает следующие элементы:
  • Определение целей программы. В результате выполнения программы должен быть результат. Например, сокращение инцидентов информационной безопасности, произошедших в результате не выполнения требований ИБ.
  • Определение целевых групп.  Сотрудников компании нужно объединить в однотипные группы, в зависимости от уровня доступа к информации и выполняемых функций.
  • Определение содержания тренингов. Как понятно из названия, определяем контекстное наполнения для тренингов (по тематикам).
  • Определение информации для распространения (по группам). Для удобства это можно оформить в виде матриц или таблиц. Какие темы каким целевым группам читаем.
  • Способы и средства распространения информации. Чтение тренингов или рассылка текстов для самостоятельного обучения - далеко не единственные способы, которые можно использовать. Есть еще корпоративные  порталы, интерактивные системы дистанционного обучения, видео-  аудио- ролики, плакаты и т.д.
  • Роли и ответственность.
  • Методы оценки эффективности программы. Методы, которые позволят нам понять, достигаем ли мы целей. Да, да, тех самых, которые мы определили в первом пункте.
Где и что почитать подробнее (на английском):

Комментариев нет:

Отправить комментарий