ГОСТ Р ИСО МЭК 17799 (1027767), страница 5
Текст из файла (страница 5)
Некоторые виды информации могут требовать дополнительного уровня защиты или специальных методов обработки. Системуклассификации информации следует использовать для определения соответствующего множествауровней защиты и потребности в специальных методах обработки.5.2.1 Основные принципы классификацииПри классификации информации и связанных с ней мероприятий по управлению информационнойбезопасностью следует учитывать требования бизнеса в совместном использовании или ограничениидоступа к информации, а также последствия для бизнеса, связанные с такими требованиями, например,неавторизованный доступ или повреждение информации.
Классификация информации позволяетопределить, как эта информация должна быть обработана и защищена.Информацию и выходные отчеты систем, обрабатывающих классифицированные данные, следует отнести к какой-либо категории с точки зрения ее ценности и чувствительности для организации.Можно также оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности.Информация обычно перестает быть чувствительной или критичной к компрометации по истечении некоторого периода времени, например, когда она становится общедоступной. Эти аспекты следуетпринимать во внимание, поскольку присвоение повышенной категории может вести к ненужным дополнительным расходам. В руководящих принципах классификации следует предвидеть и учитывать, чтокатегория любого вида информации необязательно должна быть постоянной в течение всего времени—она может изменяться в соответствии с некоторой принятой политикой безопасности в организации(9.1).Чрезмерно сложные схемы категорирования информации могут стать обременительными и неэкономичными для использования или оказываются неосуществимыми.
Следует проявлять осмотрительность при интерпретации категорий (грифов) классификации на документах от других организаций,которые могут иметь другие определения или содержание для тех же самых или подобных категорий.Ответственность за определение категории информации (например, документа, записи данныхфайла или дискеты с данными) и периодичность пересмотра этой категории должны оставаться засоздателем, назначенным владельцем или собственником информации.5.2.2 Маркировка и обработка информацииВажно, чтобы был определен соответствующий набор процедур для маркировки при обработкеинформации в соответствии с системой классификации, принятой организацией. Эти процедуры должны относиться к информационным активам, представленным как в физической, так и в электронной форме.
Для каждой классификации следует определять процедуры маркировки для того, чтобы учестьследующие типы обработки информации:- копирование;- хранение;- передачу по почте, факсом и электронной почтой;- передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;8- уничтожение.При осуществлении вывода данных из систем, содержащих информацию, которая классифицирована как чувствительная или критичная, следует использовать соответствующую метку классификации(при выводе). В маркировке следует отражать классификацию согласно 5.2.1, Следует маркироватьнапечатанные отчеты, экранные формы, носители информации (ленты, диски, компакт-диски, кассеты),электронные сообщения и передачу файлов.Физические метки являются, в общем случае, наиболее подходящей формой маркировки.
Однаконекоторые информационные активы, такие как документы в электронной форме, физически не могутбыть промаркированы, и поэтому необходимо использовать электронные аналоги маркировки.6 Вопросы безопасности, связанные с персоналом6.1 Учет вопросов безопасности в должностных обязанностях и при найме персоналаЦель: минимизация рисков от ошибок, связанных с человеческим фактором, воровства, мошенничества, кражи или неправильного использования средств обработки информации.Обязанности по соблюдению требований безопасности следует распределять на стадии подбораперсонала, включать в трудовые договоры и проводить их мониторинг в течение всего периода работысотрудника.Следует осуществлять соответствующую проверку кандидатов на работу (6.1.2), особенно этокасается должностей, предполагающих доступ к важной информации. Все сотрудники и представителитретьей стороны, использующие средства обработки информации организации, должны подписыватьсоглашение о конфиденциальности (неразглашении).6.1.1 Включение вопросов информационной безопасности в должностные обязанностиФункции (роли) и ответственность в области информационной безопасности, как установлено вполитике информационной безопасности организации (3.1), следует документировать.
В должностныеинструкции следует включать как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихсябезопасности.6.1.2 Проверка персонала при найме и соответствующая политикаПроверки сотрудников, принимаемых в постоянный штат, следует выполнять по мере подачи заявлений о приеме на работу.
В них необходимо включать следующее:- наличие положительных рекомендаций, в частности в отношении деловых и личных качеств претендента;- проверка (на предмет полноты и точности) резюме претендента;- подтверждение заявляемого образования и профессиональных квалификаций;- независимая проверка подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа).В случаях, когда новому сотруднику непосредственно после приема на работу или в ее процессепредстоит доступ к средствам обработки важной информации, например финансовой или совершенносекретной информации организации, следует выполнить специальную «проверку на доверие».
В отношении сотрудников, имеющих значительные полномочия, эта проверка должна проводитьсяпериодически.Аналогичный процесс проверки следует осуществлять для подрядчиков и временного персонала.В тех случаях, когда прием сотрудников осуществляется через кадровое агентство, контракт сагентством должен четко определять обязанности агентства по проверке претендентов и процедурамуведомления, которым оно должно следовать, если проверка не была закончена или если результатыдают основания для сомнения или беспокойства.Руководству организации следует оценить необходимый уровень наблюдения за новыми инеопытными сотрудниками, обладающими правом доступа к важным системам, Необходимо внедритьпроцедуры по периодическому контролю и утверждению действий всех сотрудников со стороны вышестоящих руководителей,Руководителям следует учитывать, что личные проблемы сотрудников могут сказываться на ихработе.
Личные или финансовые проблемы сотрудников, изменения в их поведении или образе жизни,периодическая рассеянность и признаки стресса или депрессии могут быть причинами мошенничества,воровства, ошибок или других нарушений безопасности. Эту информацию следует рассматривать всоответствии с действующим законодательством.96.1.3 Соглашения о конфиденциальностиСоглашения о конфиденциальности или соглашения о неразглашении используются для уведомления сотрудников о том, что информация является конфиденциальной или секретной. Сотрудникиобычно должны подписывать такое соглашение как неотъемлемую часть условий трудового договора.Временные сотрудники и представители третьих сторон, не попадающие под стандартный трудовой договор (содержащий соглашение о соблюдении конфиденциальности), должны подписыватьотдельно соглашение о соблюдении конфиденциальности до того, как им будет предоставлен доступ ксредствам обработки информации.Соглашения о соблюдении конфиденциальности следует пересматривать при изменении условийтрудового договора, особенно в случае изменения обязанностей сотрудника или истечении сроков трудовых договоров.6.1.4 Условия трудового соглашенияУсловия трудового договора должны определять ответственность служащего в отношении информационной безопасности.
Там, где необходимо, эта ответственность должна сохраняться и в течениеопределенного срока после увольнения с работы. Необходимо указать меры дисциплинарного воздействия, которые будут применимы в случае нарушения сотрудником требований безопасности.Ответственность и права сотрудников, вытекающие из действующего законодательства, например в части законов об авторском праве или законодательства о защите персональных данных, должныбыть разъяснены персоналу и включены в условия трудового договора. Также должна быть указанаответственность в отношении категорирования и управления данными организации-работодателя.
Всякий раз, при необходимости, в условиях трудового договора следует указывать, что эта ответственностьраспространяется и на работу вне помещений организации, и внерабочее время, например, в случаеисполнения работы на дому (7.2.5 и 9.8.1).6.2 Обучение пользователейЦель: обеспечение уверенности в осведомленности пользователей об угрозах и проблемах, связанных с информационной безопасностью, и их оснащенности всем необходимым для соблюдения требований политики безопасности организации при выполнении служебных обязанностей.Пользователей необходимо обучать процедурам безопасности и правильному использованиюсредств обработки информации, чтобы свести к минимуму возможные риски безопасности.6.2.1 Обучение и подготовка в области информационной безопасностиВсе сотрудники организации и, при необходимости, пользователи третьей стороны должны пройтисоответствующее обучение и получать на регулярной основе обновленные варианты политик и процедур информационной безопасности, принятых в организации.
Обучение сотрудников должно обеспечить знание ими требований безопасности, ответственности в соответствии с законодательством,мероприятий по управлению информационной безопасностью, а также знание правильного использования средств обработки информации, например процедур регистрации в системах, использования пакетов программ, прежде чем им будет предоставлен доступ к информации или услугам,6.3 Реагирование на инциденты нарушения информационной безопасности и сбоиЦель: сведение к минимуму ущерба от инцидентов нарушения информационной безопасности исбоев, а также осуществление мониторинга и реагирование по случаям инцидентов.Об инцидентах нарушения информационной безопасности следует информировать руководство всоответствии с установленным порядком, по возможности, незамедлительно.Все сотрудники и подрядчики должны быть осведомлены о процедурах информирования о различных типах инцидентов нарушения информационной безопасности (нарушение безопасности, угроза,уязвимость системы или сбой), которые могли бы оказать негативное влияние на безопасность активоворганизации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
