ГОСТ Р ИСО ТО 13569— 2007
Программа повышения осведомленности о безопасностидолжна предусматривать ознакомительный
курсдля новых сотрудников и сотрудников другой организации. В случае введения новых приложений или
внесения значительных изменений в существующие приложения вданную программу целесообразно про
водить обучение сотрудников. Данной программой также должно быть предусмотрено постоянное изуче
ние проблем безопасности, появляющихся в прессе.
Для различных уровней управления и кадровой структуры характерны разные проблемы безопаснос
ти. При обращении ккаждому уровню необходимо учитывать их конкретные проблемы. Проблемы должны
быть в такой форме представлены, чтобы работники всех уровней и с различными навыками смогли их
понять. Управляющие делами должны быть осведомлены о внешних воздействиях, рисках и потенциале
потерь, а также нормативных требованиях к информационной безопасности и требованиях аудита. Условие
по осведомленностидолжно соблюдаться как вусловиях бизнес-деятельности, так и в сфере ответственно
сти управляющегоделами.
9.7 Чоловечоский фактор
Сотрудники представляютсобой один из наиболее важных активов финансового учреждения. Заинте
ресованность и взаимодействие сотрудников очень важны для успешной реализации программы обеспе
чения информационной безопасности. Благодаря возросшей осведомленности о безопасности сотрудники
станут более внимательны и смогут замечатьотклонения от выполнения норм информационной безопасно
сти в технологических процессах или операционных процедурах организации, которые могут указывать на
возникновение проблемы безопасности.
С другой стороны, сотрудники могут совершать ошибки, неправильно использовать технологию, со
вершать преступные действия, что создает необходимость в переговорах руководителя службы обеспече
ния информационной безопасности со всеми отделами организации при разработке программы обеспече
ния информационной безопасности и повышения осведомленности сотрудников. Другие отделы могут вно
ситьсвой вклад в виде представления мнения о сотрудниках организации с целью минимизации вероятно
сти ошибок и предотвращения криминальной деятельности.
Некоторые должности в организации могут быть регламентированы как «доверенные», так как эти
должности дают право разрешать или запрашиватьдоступ к конфиденциальной кадровой или финансовой
информации. Другую доверенную должность может занимать сотрудник, имеющий широкие полномочия
или возможности, связанные с компьютерами или активами ИТ организации. Сотрудник, выбираемый на
«доверенные» должности, должен отличаться высокой честностью и проходить проверку биографии. Сот
рудники. занимающие доверенные должности, должны быть осведомлены о необходимости ограничения
обсуждения с семьей и знакомыми конфиденциальных подробностей о бизнесе. Конкуренты по бизнесу
могут пытаться прибегнуть к социотехнике или подстрекательству человека к раскрытию информации не
санкционированным лицам, а также использовать ложный интерес человека к работе, техническиедискус
сии и лесть, чтобы побудить служащего нечаянно раскрыть конфиденциальную информацию.
10 Меры защиты систем информационных технологий
10.1 Защита систем информационных технологий
Существует много способов обеспечения защиты систем ИТ. Меры защиты систем ИТ могут вклю
чать в себя политику организации. Однако, учитывая вопросы рассматриваемого раздела, меры управле
ния и защиты систем ИТ будут представлены настройками системы и внешними мерами противодействия
(например шифрование), которые могут использоваться дляобеспечения аутентификации, санкционирова
ния. конфиденциальности, целостности,доступности идругих услуг безопасности. Применяемые в настоя
щее время меры противодействия и управления будут также обсуждены и в будущем.
В дополнение к первоначальному размещению мер управления и противодействия внешним воздей
ствиям организация должна предпринять шаги для обеспечения их долгосрочного функционирования и
поддержки. Иначе с течением времени, когда будут известны новые уязвимости, а установленные патчи —
проигнорированы, безопасность системы ухудшится. Эффективно действующая программа обеспечения
безопасности должна включать в себя процессы и процедуры поддержки, обеспечивающие наличие необ
ходимых мор управления и защиты и их постоянное обновление.
10.2 Защитные моры аппаратных систем
Защита аппаратных систем в среде ИТ является решающей предпосылкой для поддержания целост
ности информационных активов. Некоторые из наиболее важных мер управления защитой критических
ресурсов приведены в приложении D. Настоящий стандарт не содержит попытки включить в него список
всех ресурсов ИТ, которые
может использовать организация, а скорее содержит краткое обсуждение
7’
23