Обеспечение компетентности в вопросах безопасности

Цель программы обеспечения компетентности в вопросах безопасности состоит в том, чтобы повысить знания сотрудников организации до необходимого уровня, когда процессы обеспечения безопасности становятся регулярными и все сотрудники их выполняют. Программа должна обеспечить персоналу и конечным пользователям достаточное знание систем ИТ (в аппаратных средствах и программном обеспечении) с тем, чтобы они понимали необходимость мер защиты и могли их правильно использовать. Эффективными можно считать только те меры защиты, которые хорошо усвоены персоналом организации и конечными пользователями.

Данные для программы обеспечения компетентности в вопросах безопасности должны поступать от

всех подразделений организации. Данные должны включать в себя вопросы общей стратегии организации

по информационной безопасности и охватывать все задачи плана обеспечения информационной безопасности организации. Группе, занимающейся программой обеспечения компетентности в вопросах безопасности, должна быть обеспечена административная поддержка всех отделов. Программа обеспечения компетентности в вопросах безопасности должна затрагивать следующие темы при проведении обучающих

курсов, обсуждений или других видов обучения в целях повышения эффективности этих мер:

- значение информационной безопасности для организации и сотрудников;

- цели и задачи системы обеспечения информационной безопасности в части сохранения ее конфиденциальности, целостности, доступности, подлинности и надежности;

- последствия инцидентов нарушения информационной безопасности как для организации, так и для

ее сотрудников;

- необходимую защиту информационных систем от рисков;

- необходимость в сообщениях о нарушениях защиты или попытках нарушения;

- процедуры, обязанности и рабочие задания по обеспечению безопасности;

- ответственность персонала за нарушение информационной безопасности;

- необходимые меры защиты и их правильное применение;

- методы, связанные с проверкой согласованности мер контроля;

- управление изменениями и конфигурацией системы.

Разработка программы обеспечения компетентности в вопросах безопасности начинается с процесса

анализа стратегии безопасности, целей и политики обеспечения безопасности.

Рабочая группа, проводящая такой анализ, должна установить требования к вопросам безопасности

в соответствии с общей стратегией информационной безопасности организации.

Затем рабочая группа должна провести специальные совещания по вопросам безопасности. Необходим глубокий анализ требований к подготовке материалов совещаний. Совещания должны проводиться регулярно (например, один раз в шесть месяцев), чтобы обеспечить осведомленность всего персонала с рисками, свойственными современным информационным технологиям.

Ответственность за определение целей и содержания программы обеспечения компетентности в вопросах безопасности должна быть распределена на уровне главных администраторов на конференции по

вопросам информационной безопасности. Ответственность за разработку и выполнение этой программы

должна быть возложена на лицо, отвечающее в организации за безопасность, и на рабочую группу разработки программы. Возложение ответственности должно быть одновременным с деятельностью в организации по вопросам обучения и профессиональной подготовки. Однако, поскольку каждый сотрудник организации несет ответственность за безопасность и должен быть ознакомлен со стратегией ее обеспечения, программа обеспечения компетентности в вопросах безопасности должна быть внедрена на всех уровнях организации.