====== Положение об обучении и проверке знаний по вопросам информационной безопасности ====== ===== 1. Общие положения ===== Данное Положение об обучении персонала вопросам информационной безопасности (далее "Положение") определяет цели, задачи обучения, основные виды обучения, порядок взаимодействия структурных подразделений Банка, полномочия и обязанности сотрудников при организации обучения вопросам информационной безопасности. Настоящее Положение разработано с целью систематизации действий и процедур, направленных на обучение персонала вопросам информационной безопасности, для обеспечения надежной работы сотрудников в информационной банковской системе. ===== 2 Цели и задачи обучения вопросам информационной безопасности ===== 2.1. Цель обучения персонала – формирование и поддержание необходимого уровня квалификации персонала, с учетом требований Банка в сфере информационной безопасности и обеспечения высокого уровня безопасности в информационной банковской системе. 2.2. Задачи политики Банка в области обучения вопросам информационной безопасности: * выработка и соблюдение правил по защите информации; * разработка и внедрение системы обучения, включающей выявление потребности в обучении, планирование и бюджетирование, организацию обучения и контроль его результативности; * построение обучения в соответствии со спецификой бизнес-процессов Банка; * формирование стандартов обучения; * включение передового опыта, знаний, эффективных методов организации труда в процессе обучения персонала информационной безопасности; * мотивация сотрудников к повышению безопасности и обеспечению надежности работы; * регулярная проверка знаний в сфере информационной безопасности и их применение на практике. ===== 3. Виды обучения и проверки знаний ===== 3.1. По формам планирования, организации обучение и проверки знаний подразделяется на плановые и внеплановые: * Плановые – проводятся по программам обучения: * Вводный инструктаж – проводится при поступлении руководителя или сотрудника в Банк; * Первичный инструктаж на рабочем месте – проводится при выполнении работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности; * Первичная проверка знаний – проводится не позднее трех месяцев после назначения на должность; * Повторное обучение – проводится для руководителей подразделений и сотрудников, выполняющие работы, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности, проводится один раз в три года. * Внеплановые – проводятся по производственной необходимости, а также по заявкам руководителей структурных подразделений Банка. * Внеочередное обучение – проводится при изменении требований по информационной безопасности, изменениях в технологических банковских процессов или при нарушениях информационной безопасности; * Внеплановая проверка знаний – проводится при изменении требований по информационной безопасности, изменениях в технологических банковских процессов или при нарушениях информационной безопасности, проводится не реже одного раза в три года; * Целевое обучение – проводится при выполнении разовых работ, не связанных с прямыми обязанностями сотрудников; * Специальное обучение - проводится при выполнении работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности. 3.2. По формам проведения обучение и проверки знаний подразделяется на индивидуальные и корпоративные (групповые), внутренние и внешние: * Индивидуальное обучение – проводиться с руководителем или сотрудником персонально; * Корпоративное (групповое) – организация групп или обучение одновременно нескольких сотрудников одного подразделения; * Внутреннее – проводится за счет внутренних ресурсов Банка; * Внешнее – проводится с привлечением внешних обучающих организаций. ===== 4. Организация обучения и проверки знаний ===== 4.1. Обучению и проверке знаний в порядке, установленном настоящим Положением, подлежат: * руководители и сотрудники подразделений главного отделения и дополнительных офисов непосредственно на рабочих местах, в помещении Отела по подбору кадров, Управления экономической защиты, Управления информационных технологий, или Отдела информационной безопасности; * практиканты, временные сотрудники или сотрудники привлекаемые для работы в Банке по договорам; * сотрудники, выполняющие работы, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности. 4.2. Ответственность за организацию своевременного и качественного обучения и проверки знаний по информационной безопасности в целом по Банку возлагается на Председателя Правления, в структурных подразделениях – на руководителя подразделения. Своевременность обучения по информационной безопасности сотрудников Банка контролирует Отдел информационной безопасности. Обучение и инструктаж по информационной безопасности проводится в рабочее время. 4.3. Руководители и специалисты, вновь поступившие в Банк, должны пройти Первичный инструктаж, который проводит сотрудник Отдела информационной безопасности. 4.4. Вновь поступивший на работу руководитель и специалист, кроме вводного инструктажа, должен быть ознакомлен сотрудником Отдела информационной безопасности: * с "Правилами надежной работы в информационной банковской системе"; * со своими должностными обязанностями по обеспечению информационной безопасности в Банке и в структурном подразделении; * с законодательными и иными нормативными правовыми актами по информационной безопасности. 4.5. Проверка знаний по информационной безопасности поступивших на работу руководителей и специалистов проводится не позднее трех месяцев после назначения на должность, но не реже одного раза в три года. 4.6. Руководители подразделений и сотрудники, выполняющие работы, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности, один раз в три года проходят обучение и проверку по информационной безопасности постоянно комиссии из сотрудников Управления экономической защиты, Управления информационных технологий, и Отдела информационной безопасности. 4.6. Внеочередное обучение и проверка знаний по информационной безопасности руководителей и сотрудников Банка проводится независимо от срока проведения предыдущего обучения и проверки: * при введении в действие новых или переработанных (дополненных) нормативных документов по информационной безопасности; * при изменениях технологических процессов и замене оборудования, требующих дополнительных знаний по информационной безопасности обслуживающего персонала; * при назначении или переводе на другую работу, если новые обязанности требуют от руководителей и сотрудников дополнительных знаний по информационной безопасности (до начала исполнения своих обязанностей); * по требованию руководителей подразделений при установлении недостаточных знаний; * после инцидентов и повышения вероятности осуществления угроз информационной безопасности, а также при нарушении руководителями и сотрудниками требований нормативных документов по информационной безопасности; * при перерыве в работе в данной должности более одного года. 4.7. Непосредственно перед очередной (внеочередной) проверкой знаний по информационной безопасности руководителей и сотрудников может проводиться специальная подготовка с целью углубления знаний по наиболее важным вопросам информационной безопасности, семинары, консультации. О дате и месте проведения проверки знаний сотрудник должен быть предупрежден не позднее чем за 15 дней. 4.8. Для проведения проверки знаний по информационной безопасности приказом по Банку создаются комиссии по проверке знаний. 4.9. В состав комиссий по проверке знаний по информационной безопасности руководителей и сотрудников назначаются приказом по предприятию: * председателем – сотрудник Отдела информационной безопасности; * членами комиссии: руководители и сотрудники Управления экономической защиты и Управления информационных технологий, а в случаях проверки знаний совместно с привлекаемыми внешними организациями - представители этих организаций (по согласованию с ними). Проверку знаний по информационной безопасности комиссия может проводить в составе не менее трех человек. Конкретный состав, порядок и форму работы комиссий по проверке знаний определяет Председатель Правления. 4.10. Обучение и проверка знаний фиксируются в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности. 4.11. Внешнее обучение по вопросам информационной безопасности руководителей и сотрудников проводится по программам, разработанным и утвержденным учебными центрами, организациями, институтами, имеющими разрешение на проведение обучения в данной области. 4.12. Контроль за своевременным проведением проверки знаний по информационной безопасности руководителей и сотрудников Банка осуществляется Председателем Правления Банка. ===== 5. Специальное обучение и проверка знаний ===== 5.1. Для выполнения работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности, сотрудники проходят дополнительное специальное обучение по информационной безопасности. 5.2. Перечень операций и специальностей, по которым проводят специальное обучение, а также порядок, форму, периодичность и продолжительность обучения устанавливает Председатель Правления Банка, исходя из характера специальности, вида операций, специфики и условий труда. 5.3. Обучение проводится по программам, разработанным с учетом нормативных документов и утвержденным Председателем Правления Банка по согласованию с начальниками Управления экономической защиты, Управления информационных технологий и Отдела информационной безопасности. 5.4. После обучения экзаменационная комиссия проводит проверку теоретических знаний и практических навыков. Результаты проверки знаний регистрируются в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности. Сотруднику, успешно прошедшему проверку знаний, предоставляется право самостоятельной работы. Перечень специальностей, работа по которым требует прохождения проверки знаний, и состав экзаменационной комиссии утверждает Председатель Правления Банка. Проведение проверки знаний сотрудников по информационной безопасности регистрируется в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности. 5.5. При получении сотрудником неудовлетворительной оценки повторную проверку знаний назначают не позднее одного месяца. До повторной проверки сотрудник к самостоятельной работе не допускается. 5.7. Перед очередной проверкой знаний в подразделениях организуются занятия, лекции, семинары, консультации по вопросам информационной безопасности. 5.8. Все сотрудники, имеющие перерыв в работе по данному виду работ, должности, профессии более трех лет, а при работе с повышенными требованиями - более одного года, должны пройти обучение по информационной безопасности до начала самостоятельной работы. ===== 6. Обучение и проверка знаний по вопросам информационной безопасности ===== 6.1. Вводный инструктаж 6.1.1. Вводный инструктаж по информационной безопасности проводят со всеми вновь принимаемыми на работу независимо от их образования, стажа работы по данной специальности или должности, с временными работниками, командированными и представителями сторонних организаций, прибывших на территорию Банка для проведения работ (по согласованию с руководством этих организаций). 6.1.2. Вводный инструктаж в Банке проводит сотрудник Отдела информационной безопасности, Управления экономической защиты, Управления информационных технологий или лицо, на которое приказом по Банку возложены эти обязанности. 6.1.3. Вводный инструктаж проводят в кабинете Отдела информационной безопасности, Управления экономической защиты, Управления информационных технологий или Отдела по работе с персоналом. 6.1.4. Вводный инструктаж проводят по программе, разработанной Отделом информационной безопасности с учетом требований стандартов, правил, норм и инструкций по информационной безопасности, а также всех особенностей Банковских технологических процессов. 6.2. Первичный инструктаж на рабочем месте 6.2.1. Первичный инструктаж на рабочем месте до начала выполнения своих обязанностей проводят при выполнении работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности. 6.2.2. Первичный инструктаж на рабочем месте проводят по программе, разработанной Отделом информационной безопасности с учетом требований стандартов, правил, норм и инструкций по информационной безопасности. 6.2.3. Первичный инструктаж на рабочем месте проводят с каждым сотрудником или руководителем индивидуально с практическим показом безопасных приемов и методов выполнения своих обязанностей. Первичный инструктаж возможен с группой лиц, выполняющих однотипные операции и в пределах общего рабочего места. Проведение первичного инструктажа возлагается на сотрудника Отдела информационной безопасности, Управления экономической защиты, Управления информационных технологий или лицо, на которое приказом по Банку возложены эти обязанности. Результаты первичного инструктажа заносят в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности. 6.2.4. Сотрудники допускаются к самостоятельной работе после стажировки, проверки теоретических знаний и приобретенных навыков безопасных методов и способов работы. 6.3. Повторный инструктаж 6.3.1. Повторный инструктаж проходят все сотрудники или руководители подразделений, независимо от квалификации, образования, стажа, характера выполняемой работы, не реже одного раза в три года. 6.3.2. Повторный инструктаж проводят индивидуально или с группой работников, выполняющих однотипные операции и в пределах общего рабочего места. 6.4. Внеочередной инструктаж 6.4.1. Внеочередной инструктаж проводят: * при введении в действие новых или переработанных стандартов, правил, инструкций по информационной безопасности, а также изменений к ним; * при изменении технологического процесса, замене или модернизации оборудования, программного обеспечения и других факторов, влияющих на информационную безопасность; * при нарушении сотрудниками или руководителями требований информационной безопасности, которые могут привести или привели к инциденту; * по требованию органов надзора; * при перерывах в работе - для работ, к которым предъявляют дополнительные (повышенные) требования информационной безопасности более чем на 6 месяцев. 6.4.2. Внеочередной инструктаж проводят индивидуально или с группой работников одной специальности. Объем и содержание инструктажа определяют в каждом конкретном случае в зависимости от причин и обстоятельств, вызвавших необходимость его проведения. 6.4.3. Внеочередной инструктаж отмечается в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности с указанием причин его проведения. 6.5. Целевой инструктаж 6.5.1. Целевой инструктаж проводится при выполнении разовых работ, не связанных с прямыми обязанностями по ликвидации последствий инцидентов. 6.5.2. Целевой инструктаж проводится руководителями подразделений. 6.6. Первичный инструктаж на рабочем месте, повторный, внеочередной и целевой проводят непосредственно руководители работ. 6.7. Инструктажи на рабочем месте завершаются проверкой знаний устным опросом, а также проверкой приобретенных навыков безопасных способов работы. Знания проверяет сотрудник, проводивший инструктаж. 6.8. Лица, показавшие неудовлетворительные знания, к самостоятельной работе не допускаются и обязаны вновь пройти инструктаж. 6.9. О проведении первичного инструктажа на рабочем месте, повторного, внеочередного и при допуске к работе сотрудник, проводивший инструктаж, делает запись в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности с обязательной подписью инструктируемого и инструктирующего. При регистрации внеочередного и целевого инструктажа указывается причина его проведения. ===== Приложение 1 - Журнал проведения обучения и проверки знаний по вопросам информационной безопасности ===== {{ :шаблоны:pic10.png?nolink |}} ===== Приложение 2 - Заявка на проведение обучения вопросам информационной безопасности ===== {{ :шаблоны:pic11.png?nolink |}}