Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников
доступ к конфиденциальной информации;
– правовую ответственность и права, например в части законодательства о защите персональных данных или авторском праве;
– обязанности по классификации информации и управлению активами, связанными с информацией, средствами обработки информации и информационными сервисами;
– ответственность за обработку информации, получаемой от других фирм и сторонних организаций;
– действия, которые должны быть предприняты в случае несоблюдения требований ИБ.
Роли и ответственности в сфере ИБ должны быть доведены до кандидатов до их приема на работу.
Организация должна удостовериться, что сотрудники и подрядчики согласны с условиями ИБ в отношении вида и уровня получаемого доступа к активам, связанным с ИС и сервисами.
При необходимости ответственность, возлагаемая на сотрудника по условиям работы, должна сохраняться сотрудником в течение определенного периода времени и после увольнения из организации.
Организация в соответсвии со своим имиджем и репутацией может разработать кодекс поведения сотрудника и подрядчика, устанавливающий его обязанности в сфере ИБ в отношении конфиденциальности, защиты персональных данных, этики, допустимого использования оборудования и устройств организации.
3.2. Во время работы
Цель: Гарантировать, что все сотрудники и подрядчики осведомлены о своей ответственности и корректно выполняют свои обязанности в сфере ИБ.
Во время работы ИБ обеспечивают следующие составляющие:
– ответственность руководства;
– осведомленность в сфере ИБ;
– дисциплинарный процесс.
Ответственность руководства
Меры и средства
Руководство должно требовать от всех сотрудников и подрядчиков соблюдения правил ИБ в соответствии с установленными политиками и процедурами организации.
Рекомендации по реализации
Руководство обязано обеспечить уверенность в том, что сотрудники и подрядчики:
– осведомлены о своих ролях и обязанностях в сфере ИБ прежде, чем получили доступ к конфиденциальной информации или ИС;
– обеспечены рекомендациями по формулированию их предполагаемых ролей в сфере ИБ в рамках организации;
– заинтересованы следовать политике ИБ организации;
– достигли уровня осведомленности в сфере ИБ, соответствующего их ролям и обязанностям в организации;
– следуют условиям работы, которые включают политику ИБ организации и соответствующие методы работы;
– продолжают поддерживать соответствующие навыки и квалификацию и обучаются на регулярной основе;
– осведомлены о необходимости информирования любым способом о нарушениях политик и процедур ИБ.
Руководство должно демонстрировать поддержку политик, процедур и мер ИБ и быть образцом для подражания.
Осведомленность