США: Национальный институт стандартов и технологий начал публичное обсуждение первоначальной версии новой редакции специальной публикации NIST SP 800-50 R1 «Создание программы обучения по вопросам кибербезопасности и защиты персональных данных»

28 августа 2023 года сайт Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) сообщил о начале публичного обсуждения первоначальной версии новой редакции специальной публикации NIST SP 800-50 R1 «Создание программы обучения по вопросам кибербезопасности и защиты персональных данных» (Building a Cybersecurity and Privacy Learning Program). Публичное обсуждение продлится до 27 октября 2023 года.

Документ объёмом 74 страницы доступен по адресу https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-50r1.ipd.pdf

Новая редакция заменит действующую 70-страничную редакцию NIST SP 800-50, опубликованную в октябре 2003 года и доступную по адресу https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-50.pdf

Во вводной части документа, в частности, отмечается следующее:

«Доступные ресурсы, методологии и требования к обеспечению осведомленности и проведению обучения в области кибербезопасности эволюционировали с тех пор, как в 2003 году была выпущена специальная публикация NIST SP 800-50. В основу этого пересмотра легли новые рекомендации Закона об ассигнованиях на нужды национальной обороны (National Defense Authorization Act, NDAA) на 2021 финансовый год и Закона об укреплении кибербезопасности (Cybersecurity Enhancement Act) 2014 года. Кроме того, во внесённых в 2016 году поправках в циркуляр A-130 Административно-бюджетного управления (Office of Management and Budget, OMB) была подчеркнута роль обеспечения как безопасности, так и защиты персональных данных в жизненном цикле федеральной информации, и появилось требование о том, чтобы федеральные органы исполнительной власти имели программы обучения как по вопросам безопасности, так и по вопросам защиты персональных данных.

При разработке проекта новой редакции NIST SP 800-50 также использовалась разработанная в рамках «Национальной инициативы по образованию в области кибербезопасности» (National Initiative for Cybersecurity Education, NICE) «Структура рабочей силы в сфере кибербезопасности» (Workforce Framework for Cybersecurity - NICE Framework), которая была опубликована как NIST SP 800-181 в 2017 году и пересмотрена в 2020 году.

Будет прекращена работа над новой редакцией сопутствующего руководства NIST SP 800-16r3 «Требования к обучению по вопросам безопасности информационных технологий: Модель, основанная на ролях и показателях эффективности» (Information Technology Security Training Requirements: A Role- and Performance-Based Model), а его текущая редакция NIST SP 800-16 (1998 года) станет недействующей после публикации окончательной версии новой редакции NIST SP 800-50R1.

Целями данного обновления публикации NIST SP 800-50 являются:

• Интеграция защиты персональных данных с кибербезопасностью при разработке общекорпоративных программ обучения;
  
  
• Внедрение модели жизненного цикла, позволяющей осуществлять постоянное итеративное совершенствование и внесение изменений с целью учёта специфических для организации событий в области кибербезопасности и защиты персональных данных;
  
  
• Внедрение концепции программы обучения, включающую формулировки, содержащиеся в других документах NIST;
  
  
• Использование текущих рекомендаций и терминологии NIST, содержащихся в основополагающих документах, таких как «Структура рабочей силы в сфере кибербезопасности» (NICE Workforce Framework for Cybersecurity), «Концепция кибербезопасности NIST» (NIST Cybersecurity Framework), «Концепция NIST защиты неприкосновенности частной жизни (персональных данных)» (NIST Privacy Framework) и «Концепция NIST управления рисками» (NIST Risk Management Framework);
  
  
• Продвижение в организациях ориентированной на сотрудников культуры в плане обеспечения кибербезопасности и защиты персональных данных;
  
  
• Интеграция программ обучения с целями организации по управления рисками кибербезопасности и защиты персональных данных;
  
  
• Решение проблемы измерения воздействия программ обучения по вопросам кибербезопасности и защиты персональных данных.

Краткое содержание документа

Настоящая публикация содержит рекомендации для федеральных органов исполнительной власти и организаций по разработке и управлению подходом на основе жизненного цикла к созданию программ обучения по вопросам кибербезопасности и защиты персональных данных (cybersecurity and privacy learning program, CPLP).

Данный подход предназначен для удовлетворения потребностей как крупных, так и малых организаций, а также тех организаций, которые разрабатывают совершенно новые программы. Приведенная в публикации информация опирается на широко используемые стандарты, нормативно-правовые документы и хорошие практики.

Рекомендации могу адаптироваться под специфические условия деятельности организации, и могут быть реализованы в качестве элемента общекорпоративного процесса управления программами повышения осведомлённости, обучения и образования для разнообразной аудитории сотрудников.

Документ также содержит предлагаемые метрики и методы оценки, поддерживающие регулярное совершенствование и обновление программ по мере изменения потребностей.»

Содержание документа следующее:

Резюме для руководства
1. Введение
2. План и стратегия программы обучения по вопросам кибербезопасности и защиты персональных данных (CPLP-программы)
3. Анализ и проектирование CPLP-программы
4. Разработка и реализация CPLP-программы
5. Оценка и совершенствование CPLP-программы
Литература
Приложение A. Примеры уровней зрелости программ обучения по вопросам кибербезопасности и защиты персональных данных
Приложение B. Глоссарий

Источник: сайт NIST
https://csrc.nist.gov/pubs/sp/800/50/r1/ipd