Я был читать и думать сегодня о Пересмотренный NIST SP800 специального издания-16, В настоящее время выпущена для общественного порядка. Если вы действительно заинтересованы в обеспечении безопасности более эффективной, я рекомендую, отмены или три часа читать и рассмотрения проекта документа.

Чтобы точить ваш аппетит, вот лишь несколько пунктов из одной части проекта, с моими собственными мыслями и комментарии приводятся ниже.

В соответствии с разделом 2.2.1 SP800-16, NIST говорит:

"Осведомленность не является профессиональной подготовки (1). Повышению информированности в области безопасности является смешанное решение деятельности (2), которые содействуют безопасности, создания отчетности, а также информировать работников о новостях безопасности (3). Повышение стремится сосредоточить внимание индивидуальные сведения по вопросу, или набор вопросов (4). В целях информирования презентации просто акцентировать внимание на безопасность (4). Повышение презентаций, чтобы позволить отдельным лицам признать информационной безопасности, проблемы и реагировать соответствующим образом. (2)

В информационно деятельности учащегося является получателем информации, а учащийся в учебной среде имеет более активную роль. (2) Повышение опирается на достижения широкой аудитории с привлекательной упаковки техники. Подготовка кадров является более формальным, с целью повышения уровня знаний и навыков, чтобы облегчить работу производительности. (5)

Несколько примеров информационной безопасности информационных материалов / мероприятия включают в себя:
• события, такие, как День информационной безопасности,
• Брифинги (программа-либо конкретной системы или по конкретным вопросам)
• рекламно-специальности брелоки с мотивационные лозунги,
• Обеспечительное напоминание баннер на компьютерные экраны, который появляется, когда пользователь входит в систему,
• Безопасность информационно видеокассет и
• Плакаты и листовки. (6)

Эффективная информационная безопасность информационно усилия должны быть направлены с признанием того, что люди склонны к практике тюнинга из процесса, называемого acclimation. Если стимул, первоначально на внимание и удачливый, используется неоднократно, то ученик будет выборочно игнорировать стимул. (6) Таким образом, повышение доставка должна быть постоянной, творческой и мотивации, с целью сосредоточения внимания ученика тем, что обучение будет включаться в сознательных решений. Это называется ассимиляция, а процесс, в ходе которого лицо включает новый опыт в существующую структуру поведения. (3 И 5)

Обучение, достигнутых в рамках единого информационно деятельность, как правило, краткосрочные, немедленные и конкретные. Например, если цель состоит в обучении ", чтобы содействовать более широкому использованию эффективных защиту паролем среди сотрудников", осознание деятельности могло бы стать использование напоминание наклейки на компьютерной клавиатуре. (7)

Фундаментальное значение информационной безопасности информационно программы заключается в том, что они заложили основу для повышения профессиональной подготовки и роль подготовки кадров в деле изменения в подходах, которые должны приступить к изменению организационной культуры. Культурные изменения стремился (8), является осознание того, что информационная безопасность является критическим, поскольку безопасность неудача может иметь негативные последствия для всех. Таким образом, информационная безопасность каждого задания. (9) "

Мои комментарии:

(1) Термины "осведомленность", "обучение" и "образование", часто используются взаимозаменяемо и иногда в сочетании, как и в "подготовке". Тем не менее, они являются различные виды деятельности с различными механизмами и целями. SP800-50 "Создание информационно-технологической безопасности населения и подготовки кадров в программе" охватывает данный момент достаточно красноречиво, более, чем на самом деле SP800-16 и FISMA которой связать себя узлы над терминологией.

(2) Если вы можете прочитать последние гораздо надругательствам втором слово "смешанные решения деятельности", реальное дело в том, что осознание требует целого ряда отдельных, но взаимодополняющих видов деятельности, - и на "деятельность" я подразумеваю то, что участие физические действия обоих информации, оказывающих и приемник информации. Я говорю об активной обучения, а не пассивного развлечения или "Edutainment". Наиболее важная часть учебного курса не является презентация слайдов или другие материалы, ведущий, на объекте или в аудитории: это привлечение, интересов и взаимодействия, что происходит, когда члены аудитории стали вдохновили подумать, а затем изменить то, что они делать этого. Действия говорят громче, чем слова.

(3) информирование населения, иными словами, предоставление соответствующих фактов об информационной безопасности и управления рисками, является важным элементом информирования, обучения и образования, но само по себе не является достаточным в большинстве случаев. Эрудит, но скучной и сухой бюллетени имеют ограниченное влияние, и может быть контрпродуктивным. Новости лишь один из способов привлечь к информационной безопасности для жизни, напоминая людям, что мы не говорим о чисто гипотетически инциденты в области безопасности. Они действительно происходит вокруг нас, а не только из Там в заголовки новостей, но гораздо ближе к дому, затрагивающие нас, наших коллег, друзей и семьи, и, конечно, наши организации и общества. Получение информации по личным вопросам безопасности является хорошим способом взаимодействия с людьми.

(4) Фокус имеет важное значение. Общие, мягкий "более защищенными" сообщения, в общей сложности отходов мозга циклов. Люди должны знать, что, в частности, они должны быть беспокоит и то, что они должны делать ... Но сначала им нужно открыть, чтобы даже получать сообщения. Обеспечение людей "проснуться и почувствовать запах кофе" является одним из вариантов, но это не единственный способ (я говорю о других методах другое время). Фокус, как мне кажется, содержит получать прямо в точку - в прямом и избежать ненужного пуха или irrelevancies. Она также включает в себя сбор информации по конкретным темам, безопасность, предоставляя более подробно, чем это типично те поспешили безопасности вводный инструктаж классов.

(5) формирование знаний и навыков для повышения эффективности работы это все очень хорошо, но имеет мало значения, если люди на самом деле использовать знаний и навыков, когда они вернуться к работе. Достижение этой цели является основой эффективной информированности, профессиональной подготовки и образовательной деятельности. Если люди взяты за точку время лишь сосуды для фактов, и заинтересованы в вести себя более безопасно, Программа не будет получать его сохранить.

(6) уведомление о том, что "принуждение работников сесть в массовом порядке в душной комнате или лекцию театр в то время как некоторые скучные IT Компьютерщик или понятия менеджер вихри покинуть об информационной безопасности" не фигурировать в NIST в списке стоит, однако, не далеко от Правда, в некоторых организациях! Осведомленности, подготовки кадров и образования принимают творческие и страсть. Это не то, что действительно трудно.

(7) принимая во внимание в той мере, из одного осознания деятельности, охватывающие только единого информационного обеспечения управления, возможно, будут необходимы, если что одним контролем, не явно, но кажется маловероятным, чтобы охватить весь спектр обеспечения контроля, что работники должны понимать и уважать, в любые разумные сроки. Сцепные этой точке с комментариями о том, как сохранить содержимое интересно означает, мне нужно запустить довольно быстро через последовательность вопросов, двигаясь вперед или просто до такой степени, что ресницы начинают увядать. Эта идея скользящего информированности программа, по моему опыту, делает все различия, но есть еще один смысл иметь в виду. "Последовательности" может быть случайной или направлены. Случайная ассортимент информационной безопасности темам могут достичь желаемого охвата, но упускает возможности связать вместе последовательно темы в более согласованной безопасности историю. Быть умной о последовательности и сферы охвата темы, приводит к более изощренные формы старого учителя видел "Скажи им, что вы собираетесь сказать им, скажите им, а затем сказать им, что вы сказали им". Мы можем представить будущие темы и ссылки на предыдущие темы, все то время доставки с данной темой. Взаимосвязь информационной безопасности, темы, делает это довольно легко достичь лишь немного подумал и планирования. Преимуществом является уровень согласованности и укрепления что случайная ассортимента не достичь.

(8) Теперь есть одна мысль: мы ищем "культурных перемен" мы? Великая идея, которой я тщательно поддержать ... но, к сожалению, для многих руководителей, безопасности информационно меньше относительно достижения культурных перемен, чем о "рассматривается будет делать что-то" или, еще хуже ", делают это по причинам соблюдения". Здоровье и безопасность учебных считает себя в той же маринад. Эффективное Н И С подготовку долговременное воздействие на то, что сотрудники делают как они о своей обычной деловой деятельности, в течение длительного времени после краска высыхает на подготовку оценки формы. Речь идет о вводе на ухо муфты и защитные очки даже тогда, когда есть никто поиске. Это означает, принимая момент в связи с поездкой опасности в общественных местах даже если вы явно пятнами и избежать опасности. Достижение культурных перемен в создании "культуры безопасности" представляет собой сказочное цель, которая намного проще сказать, чем сделать. Для меня это несколько выходит за рамки довольно упрощенно, если важные идеи отмечено в разделе 2.2.1, собирание таких понятий, как:

• Обеспечение преемственности - планирование мероприятий по повышению осведомленности в долгосрочной перспективе (и я не означает "планирование на следующий год безопасности сессия '!);
• Выступая всей организации (сотрудников и руководителей), на самом деле масштабы могут с пользой для покрытия продлен организации, включая друзей и родственников, сотрудников, подрядчиков, консультантов, внешних поставщиков, клиентов, поставщиков, партнеров по бизнесу, другие заинтересованные стороны и, в некоторой степени, общество в целом
• Используя творческий подход к созданию интерес и участие людей с программой, и при сохранении на неопределенный срок, что интерес;
• Будучи чувствительным к культурным нормам, коммуникации предпочтения и т.д. для аудиторий - уведомление во множественном числе: Вряд ли имеет смысл сосредоточить внимание всем вопросам безопасности деятельности на одной однородной аудитории, когда мы хорошо знаем, что бизнес-подразделений, отделов, групп и отдельных лиц, заметно различаются во многих ключевых областях. "Продажа" соблюдения авторских прав, скажем, индийского или китайского бизнес-единицы является достаточно разные перспективы на получение одной и той же точке через к скандинавской организации. Для некоторых людей, в 3 минутах высокий уровень обзор более чем достаточно для других, 3 минуты не будет достаточно для briefest от внедрения;
• Принимая участие аудитории, насколько активным участием аудитории, например, поощрения руководителей, ИТ-специалистам и работникам общаться по той же теме информационной безопасности, в результате чего их соответствующих точек зрения, в контексте общего понимания терминов и концепций.

(9) Если "информационной безопасности всех рабочих мест", она должна быть в каждом описаний - не плохая идея сама по себе, но я считаю, есть немного больше для того, чтобы она. "Информационная безопасность каждого ответственность" принимает это шаг вперед, поскольку она не является чисто задания, связанные вещи, и намеки на жизненно важные концепции безопасности, что права собственности, подотчетности и ответственности. "Информационная безопасность является то, что мы делаем" может быть несколько чрезмерным, но я предпочитаю слово "мы" там, поскольку он, безусловно, является общей ответственностью. [Рассуждая о конкретных смысл и нюансы каждого слова отдает сумасшедший Процесс разработки корпоративной миссии заявления. Тем не менее, в ходе обсуждения, по крайней мере, если не более ценным, чем продукт, скорее, как планирование и планов. Обсуждая такие принципы безопасности, ведет к общему пониманию, и это хороший способ привлечь старших руководителей с осознания программы.]

Хорошо, что в разделе 2.2.1 образом рассмотрены. Я остановился на данный момент, в результате чего рассмотрение остальных 156 страниц, как упражнение для вас дорогой читатель - домашнее задание, если вы будете. НИСТ приветствует замечания по проекту SP800-16 до 26 июня 2009 по электронной почте 800-16comments@nist.gov.

С уважением,
Гэри Hinson
NoticeBored




Подробнее ...