ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

7.3 Осведомленность

 

Необходимые мероприятия

Лица, выполняющие работу под контролем организации, должны быть осведомлены о политике ИБ, их вкладе в эффективность СМИБ, преимуществах повышения результативности ИБ и последствиях несоответствия требованиям СМИБ.

Пояснение

Осведомленность лиц, работающих под контролем организации, означает наличие необходимого понимания и мотивации относительно того, что от них ожидается в части ИБ.

Осведомленность касается лиц, которые должны знать, понимать, принимать, а также:

a) поддерживать цели, изложенные в политике ИБ;

b) соблюдать правила, чтобы соответствующим образом выполнять свои повседневные задачи, касающиеся поддержки ИБ.

Кроме того, лица, выполняющие работу под контролем организации, также должны знать, понимать и принимать последствия несоответствия требованиям СМИБ. Последствия могут быть негативными для организации или для человека.

Сотрудники организации должны знать, что существует политика ИБ и где можно найти необходимую информацию о ней. Многим сотрудникам организации не нужно знать подробное содержание политики. Вместо этого им достаточно знать, понимать, принимать и реализовывать цели и требования ИБ, определенные в политике, касающиеся их должности и/или роли. Эти требования могут быть включены в стандарты или процедуры, которым они должны следовать при выполнении своей работы.

Руководство

Организация должна:

c) подготовить программу с конкретными знаниями, ориентированными на каждую аудиторию (например, на внутренних и внешних лиц);

d) включить потребности и ожидания в области ИБ в информационные и учебные материалы по другим темам для учета этих потребностей в соответствующем контексте организации;

e) подготовить план для распространения информации через запланированные интервалы времени;

f) проверять усвоение и понимание полученных знаний как после занятия по повышению осведомленности, так и произвольно между занятиями;

g) проверять, действуют ли лица в соответствии с полученными знаниями, и использовать примеры "хорошего" и "плохого" поведения для лучшего усвоения информации.

Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5.1, перечисление b)).

Дополнительная информация

Дополнительную информацию об осведомленности в области ИБ можно найти в пункте 7.2.2 ИСО/МЭК 27002.