О вводе в действие рекомендаций в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности"

7.2. Рекомендации по проведению мероприятий по обучению и повышению осведомленности в области обнаружения инцидентов ИБ и реагирования на инциденты ИБ

7.2.1. В организации БС РФ рекомендуется внедрить программу регулярного обучения и повышения осведомленности по следующим основным направлениям:

- повышение осведомленности работников организации БС РФ по вопросам исполнения регламента обнаружения событий ИБ и оповещения о них, в том числе по составу событий ИБ;

- повышение осведомленности представителей внешних организаций и клиентов организации БС РФ, использующих информационную инфраструктуру организации БС РФ, о порядке и процедурах информирования организации БС РФ об обнаруженных инцидентах ИБ;

- обучение и повышение осведомленности членов ГРИИБ и работников организации БС РФ, привлекаемых к реагированию на инциденты ИБ, по вопросам сбора, фиксации и документирования информации об инцидентах ИБ, использования классификатора инцидентов ИБ;

- обучение и повышение осведомленности членов ГРИИБ и работников организации БС РФ, привлекаемых к реагированию на инциденты ИБ, с целью приобретения знаний по технической эксплуатации информационной инфраструктуры организации БС РФ, позволяющих осуществить оперативное закрытие инцидентов ИБ;

- обучение работников подразделений информатизации организации БС РФ по вопросам эксплуатации технических средств;

- обучение работников службы ИБ организации БС РФ по вопросам контроля эксплуатации технических средств.

7.2.2. Рекомендуется ознакомление работников организации БС РФ с процедурой информирования о событиях ИБ, а также о необходимости незамедлительного сообщения об обнаруженных событиях ИБ оператору-диспетчеру ГРИИБ. В процедуры ознакомления рекомендуется включать:

- перечень или описание событий ИБ, о которых требуется сообщать;

- форму сообщения о событиях ИБ, включая детали, существенные для классификации инцидента ИБ, и описание действий по реагированию (например, о типе несоответствия или нарушения, возникновениях неправильных срабатываний, появлении сообщений на экране, нетипичном поведении);

- способы первичного документирования информации о событиях ИБ;

- рекомендации по поведению в случае явных нарушений ИБ, например о выполнении или, наоборот, запрете каких-либо действий, кроме немедленного оповещения оператора-диспетчера ГРИИБ.