[МУЗЫКА] Следующим разделом
политики безопасности, о котором мы поговорим, является раздел,
относящийся к безопасности, связанной с управлением персоналом.
В данном разделе наиболее желательно достичь такой цели,
как обеспечение условий, при которых все лица,
взаимодействующие с объектом информатизации,
будь то сами пользователи информационной системы, другие сотрудники, подрядчики,
представители третьих лиц, осознают свои обязанности и способны их выполнять.
Такие условия, в свою очередь, призваны снизить риски хищения, мошенничества,
нецелевого использования средств обработки информации.
Для достижения таких целей основные рекомендации следующие.
Во-первых, декларирование обязанностей сотрудника,
связанных с обеспечением безопасности информации,
еще до непосредственного трудоустройства сотрудников.
Желательно еще на этапе формирования вакансии сформулировать
должностную инструкцию для данной должности, в которую включить раздел,
относящийся к обязанностям сотрудника по обеспечению безопасности информации,
и представить эти обязанности соискателю уже на, возможно,
одном из первых собеседований.
Если по той или иной причине соискатель не готов такие обязанности исполнять,
то желательно рассматривать другие кандидатуры
и не обеспечивать его трудоустройство.
Следующая рекомендация связана с проверкой всех кандидатов на должности,
а также подрядчиков, представителей третьих лиц при работе с конфиденциальной
информацией, особенно составляющей предусмотренную законом тайну,
оформление соответствующих соглашений.
То есть с одной стороны, проверка, с другой стороны — документирование
обязанностей таких лиц в случае, если им предстоит работать с информацией,
содержащей ту или иную тайну, особенно предусмотренную законом, например,
коммерческую тайну или персональные данные.
В данном разделе желательно сформулировать следующие положения.
Во-первых, перечислить роли и обязанности сотрудников и прочих лиц,
взаимодействующих с объектом информатизации,
связанные с информационной безопасностью.
То есть для каждого сотрудника и прочих лиц сформулировать требования,
которые они должны выполнять при работе с информацией, а если речь идет о лицах,
не являющихся сотрудниками, то принципы их взаимодействия с системой: что им
должно быть разрешено, а что, соответственно, нет.
Например, в каком помещении может находиться посетитель, а где нет,
как его следует отгородить от рабочего места сотрудников с тем, чтобы избежать,
например, утечки конфиденциальной информации, и подобные вопросы.
Во-вторых, в данном разделе желательно рассмотреть вопросы проверки кандидатов на
постоянную работу или разовый доступ к информации на территории
объекта информатизации в соответствии с требованиями законодательства,
инструкциями, правилами этики, требованиями бизнеса,
классификацией информации в организации.
То есть желательно разработать эту самую процедуру проверки кандидатов,
о которой говорилось в рекомендациях.
В-третьих, желательно рассмотреть пункт трудового договора
с сотрудником и договоров с третьими лицами,
устанавливающих ответственность и ответственность организации,
то есть обеих сторон такого соглашения, в вопросах информационной безопасности.
Четвертым аспектом являются вопросы поддержания и повышения осведомленности
всех взаимодействующих с организацией лиц об угрозах и проблемах в области
информационной безопасности и их обязательствах,
связанных с такими угрозами и проблемами,
а также их оснащение необходимыми средствами защиты информации.
То есть желательно разработать некую формальную процедуру, по которой все лица,
так или иначе взаимодействующие с объектом информатизации,
своевременно извещаются о новых угрозах в области информационной безопасности,
возникающих проблемах в работе информационной системы,
и при этом они должны быть оповещены об их обязательствах,
связанных с наступлением таких ситуаций.
А также им должно быть предоставлено все необходимое для того,
чтобы эти обязательства они могли выполнить.
Здесь же желательно рассмотреть вопросы контроля соблюдения вопросов
информационной безопасности руководством всех уровней,
то есть предусмотреть некую формальную процедуру контроля за руководством.
Это могут быть отчеты либо назначение какой-то отдельной службы,
которая контролирует именно соблюдение информационной безопасности.
Но так или иначе, этот аспект должен быть проконтролирован.
Здесь же следует рассмотреть вопросы обучения и тренинга,
своевременного информирования сотрудников организации и при необходимости
других лиц по вопросам, связанным с безопасностью информации.
Дисциплинарные меры, которые могут быть приняты в случае нарушения требований
политики безопасности,
также желательно сформулировать в данном разделе политики безопасности.
Несмотря на то,
что до самих дисциплинарных взысканий дело может доходить довольно редко,
сами дисциплинарные меры также являются достаточно сильным сдерживающим фактором,
который мотивирует сотрудников не нарушать требования политики безопасности.
Ну и таким образом повышается общий уровень защищенности информации в
организации.
В этом же разделе следует рассмотреть вопросы прекращения прав доступа,
сохранности и возврата активов организации при прекращении или смене занятости
сотрудников, то есть вопросы, связанные с корректной обработкой, например,
увольнения или перевода сотрудника на другую должность.
Речь идет о том, чтобы были соответствующим образом прекращены или
изменены его права в системе, чтобы ранее уволенный сотрудник не мог по-прежнему под
своими учетными данными, то есть логином и паролем, успешно проходить процедуру
авторизации в системе и реализовывать свои бывшие
рабочие обязанности, но теперь уже, возможно, в совсем других целях.
[МУЗЫКА]
[МУЗЫКА]
Сорокин Александр ВладимировичСтарший преподаватель
