ГОСТ Р ИСО/МЭК 27003—2012
Выходные данные
Выходные данные этого действия представляют собой документ, содержащий план, необходимый
для организации проверок, проводимых руководством:
a) исходные данные, требуемыедля проверки СМИБ руководством;
b
) процедуры проверок, проводимых руководством и касающихся аспектов аудита, мониторинга и
измерения.
Дополнительная информация
Приложение В— Роли и сферы ответственности в области информационной безопасности.
Приложение С — Информация по внутреннему аудиту.
Приложение Е — Мониторинги измерения.
9.4.2Разработка программы информирования, обучения и образования в области
информационной безопасности
Действия
Необходимо разработать программу информирования, обучения и образования вобласти информаци
онной безопасности.
Исходные данные:
a) выходные данные действия 6.5. объединение всех областей действия и границ для получения
области действия и границ — область действия и границы СМИБ;
b
) выходные данные действия 6.6. разработка политики СМИБ и получение одобрения руковод
ства — политика СМИБ:
c) выходные данные действия 7.2. определение требований к информационной безопасности для
процесса СМИБ:
d) выходные данные действия 8.4, получение санкции руководства на внедрение и использование
СМИБ— декларация о применимости, включая цели и выбранные меры и средства контроля и управления.
e) выходные данные действия 8.3. выбор целей и средств управления — План обработки риска;
0 выходные данные действия 9.2.3, разработка политики информационной безопасности;
д) выходные данные действия 9.2.4. разработка стандартов и процедур обеспечения информацион
ной безопасности;
h) обзор общей программы образования и обучения в организации.
Рекомендации
Руководство отвечает за образование и обучение, чтобы сотрудники, назначенные на определенные
должности, имели необходимые знания для выполнения требуемых операций. В идеале содержание про
граммы образования и обучения должно помогать всем сотрудникам знать и понимать значение и важ
ность операций по обеспечению информацией!ной безопасности, в которых они участвуют, и то. как они
могут способствоватьдостижению целей.
На этом этапе важно обеспечить, чтобы каждый работник в рамках области действия СМИБ получил
необходимое обучение и (или) образование. В больших организациях одного набора материалов по обуче
нию. как правило, недостаточно, поскольку он должен содержать слишком много данных, относящихся
только к отдельным типам работ, и. следовательно, будет большим, сложным и трудным в использовании. В
таких случаях обычно рекомендуется иметь разные наборы материалов пообучению, разработанныхдля
разных групп ролей, например, офисных работников, обслуживающих работников или руководителей в
области информационных технологий, которые обеспечивают конкретные нужды этих работников.
Программа обучения и образования с целью информирования по вопросам информационной безо
пасности должна обеспечивать составление записей по обучению и образованию вобласти информацион
ной безопасности. Эти записи должны регулярно проверяться для обеспечения получения требуемого обу
чения всеми сотрудниками. Необходимо назначитьдолжностное лицо, ответственное за этот процесс.
Материалы по обучению в области информационной безопасности должны быть разработаны таким
образом, чтобы они были связаны с другими обучающими материалами, используемыми в организации,
особенно учебные курсы для пользователей информационных систем. Обучение по существенным аспек
там информационной безопасности в идеаледолжно включаться в каждый учебный курс для пользовате
лей информационных технологий.
Обучающие материалы по информационной безопасности должны включать как минимум следую
щие пункты в зависимости от целевой аудитории:
a) риски и угрозы, связанные с информационной безопасностью;
b
)основные термины по информационной безопасности;
c) четкое определение инцидента безопасности: рекомендации по обнаружению инцидента, его уст
ранению и отчетности;
33