Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Безопасность кадровых ресурсов Безопасность кадровых ресурсов (BS ISO/IEC 27002:2005 RU, раздел 8)
Protectiva Compliance Manager
Навигация
 

Безопасность кадровых ресурсов (BS ISO/IEC 27002:2005 RU, раздел 8)

Операции с документом
Безопасность кадровых ресурсов: Перед наймом, Во время найма, Увольнение или смена работы.

Перед наймом

Цель:   Гарантировать, что сотрудники, подрядчики и пользователи третьей стороны понимают свою ответственность и соответствуют своим ролям, а также снизить риск краж, мошенничества или неправомерного использования оборудования.

Ответственность за безопасность должна быть оговорена на стадии найма на работу, соответствующим образом отражена в должностных инструкциях  и в трудовом договоре.

Все кандидаты на работу, подрядчики и пользователи третьей стороны подлежат соответствующей проверке, особенно для критичных позиций.

Все сотрудники и пользователи средств обработки информации третьей стороны должны подписывать соглашение об их ролях и ответственности за обеспечение безопасности.

Роли и ответственность

 

Механизм контроля

Роли и обязанности сотрудников, подрядчиков и пользователей третьей стороны должны быть определены и документированы в соответствии с политикой информационной безопасности организации.

Руководство по внедрению

Роли и обязанности по обеспечению безопасности должны включать следующие требования:

  • выполнять свои обязанности и действовать в соответствии с политикой информационной безопасности организации;
  • защищать ресурсы от несанкционированного доступа, раскрытия, модификации, разрушения или вмешательства;
  • выполнять конкретные процессы и действия по обеспечению безопасности;
  • обеспечивать назначение индивидуальной ответственности за предпринимаемые действия;
  • сообщать о событиях безопасности, потенциальных событиях или других рисках безопасности организации.

Роли и ответственность за безопасность должны быть определены и четко изложены кандидатам перед наймом.

Дополнительная информация

Должностные инструкции могут использоваться для документирования ролей и ответственности за обеспечение безопасности. Роли и ответственность лиц, не затрагиваемых принятым в организации процессом найма, например, нанятых через третью сторону, должны быть четко определены и доведены до их сведения.

Проверка кандидатов

 

Механизм контроля

Проверки биографических данных всех кандидатов на работу, подрядчиков и пользователей третьей стороны должны выполняться в соответствии с действующим законодательством, нормативами и этическими нормами, пропорционально требованиям бизнеса, классификации информации, к которой будет осуществляться доступ, и осознаваемым рискам.

Руководство по внедрению

При выполнении проверок должны приниматься во внимание все действующие законодательные акты в области защиты частной жизни и персональных данных и/или трудовое законодательство.  Там, где это разрешено, проверки должны включать в себя следующее:

  • наличие положительных характеристик, например, одной деловой и одной персональной;
  • проверка (полноты и точности) резюме кандидата;
  • подтверждение заявленного академического образования и профессиональной квалификации;
  • независимая проверка документов (паспорта или документа, его заменяющего);
  • более детальные проверки, такие как проверка кредитной истории или данных криминалистического учета.

Если работа, независимо от того, является ли это первоначальным назначением или продвижением по службе, предполагает доступ сотрудника к средствам обработки информации, и в частности, если  обрабатываемая информация является критичной, например, финансовая информация или строго конфиденциальная информация, то организация должна рассмотреть возможность проведения дальнейших более детальных проверок.

Процедуры должны определять критерии и ограничения для проводимых проверок, например, кто имеет право проверять людей, а также каким образом, когда и с какой целью выполняются проверки.

Аналогичные проверки должны проводиться для подрядчиков и пользователей третьей стороны. Если подрядчики нанимаются через агентство, в договоре с этим агентством должна быть четко определена ответственность агентства за проверку и процедуры уведомления в случае незавершенности проверки или, если результаты дают основания сомневаться в выбранной кандидатуре или вызывают беспокойство. Таким же образом, соглашение с третьей стороной должно четко определять ответственность и процедуры уведомления о результатах проверки.

Информация обо всех кандидатах на должности в организации должна собираться и храниться в соответствии с применимым законодательством, существующим в соответствующей юрисдикции. В зависимости от применимого законодательства кандидатов следует заранее информировать о проведении проверок.

Условия трудового соглашения

 

Механизм контроля

Как часть своих договорных обязательств сотрудники, подрядчики и пользователи третьей стороны должны согласовать и подписать условия трудового соглашения, которое должно установить их ответственность и ответственность организации за информационную безопасность.

Руководство по внедрению

Условия трудового соглашения должны отражать политику безопасности организации в дополнение к тому, что они разъясняют и устанавливают:

  • что все сотрудники, подрядчики и пользователи третьей стороны, которым предоставляется доступ к критичной информации, должны подписать соглашение о конфиденциальности или неразглашении, прежде чем им будет предоставлен доступ к средствам обработки информации;
  • законные права и ответственность сотрудников, подрядчиков и любых других пользователей применительно к законам о защите авторских прав или персональных данных;
  • ответственность за классификацию информации и управление ресурсами организации, связанными с информационными системами и сервисами, используемыми сотрудником, подрядчиком или пользователем третьей стороны;
  • ответственность сотрудника, подрядчика или пользователя третьей стороны за обращение с информацией, полученной от других компаний или внешних сторон;
  • ответственность организации за обращение с персональными данными, включая персональные данные, создаваемые в результате или в ходе работы сотрудника в организации;
  • ответственность, которая выходит за границы территории организации или нормальных рабочих часов, например, в случае работы на дому;
  • меры, которые должны предприниматься в случае, если сотрудник, подрядчик или пользователь третьей стороны игнорирует требования безопасности организации.

Организация должна гарантировать, что сотрудники, подрядчики и пользователи третьей стороны согласны с условиями трудового соглашения в отношении информационной безопасности, применимые к природе и области доступа, который они будут иметь к ресурсам организации, связанным с информационными системами и сервисами.

Там, где это необходимо, ответственность, прописанная в условиях трудового соглашения, должна продолжать действовать в течение определенного периода после окончания действия трудового соглашения.

Дополнительная информация

Для охвата ответственности сотрудников, подрядчиков или пользователей третьей стороны за обеспечение конфиденциальности, защиту данных, следование этическим нормам, допустимое использование оборудования и других ресурсов организации, также как и  хорошо зарекомендовавшие себя практики, ожидаемые организацией, может использоваться кодекс поведения. Подрядчик или пользователь третьей стороны может быть связан с внешней организацией, от которой, в свою очередь, может потребоваться вступить в договорные отношения от лица подрядчика.

Во время найма

Цель:   Гарантировать, что сотрудники, подрядчики и пользователи третьей стороны осведомлены об угрозах и проблемах информационной безопасности, своей ответственности и обязательствах и подготовлены к тому, чтобы поддерживать политику безопасности организации в своей повседневной деятельности и уменьшать риск человеческой ошибки.

Должна быть определена ответственность руководства за применение требований безопасности на протяжении всего периода работы сотрудника в организации.

В целях минимизации рисков безопасности, все сотрудники, подрядчики и пользователи третьей стороны должны быть соответствующим образом осведомлены, обучены и оттренированы по процедурам безопасности и корректному использованию средств обработки информации.

Ответственность руководства

 

Механизм контроля

Руководство должно требовать от сотрудников, подрядчиков и пользователей третьей стороны применения мер безопасности в соответствии с установленными в организации политиками и процедурами.

Руководство по внедрению

Ответственность руководства должна включать предоставление гарантий того, что все сотрудники, подрядчики и пользователи третьей стороны:

  • соответствующим образом проинструктированы об их ролях и ответственности в области информационной безопасности прежде, чем им будет предоставлен доступ к критичной информации или информационным системам;
  • обеспечены инструкциями, четко определяющими ожидания, связанные с их ролью в организации;
  • мотивированы на выполнение политик безопасности организации;
  • достигли уровня осведомленности в вопросах безопасности, соответствующего их ролям и ответственности в организации;
  • выполняют условия их трудового соглашения, включая политику информационной безопасности организации и соответствующие методы работы;
  • продолжают поддерживать необходимый уровень навыков и квалификации.

Дополнительная информация

Если сотрудники, подрядчики и пользователи третьей стороны не поставлены в известность об их ответственности, они могут причинить ощутимый вред организации. Мотивированный персонал обычно является более надежным и создает меньше инцидентов информационной безопасности.

Слабое руководство может привести к появлению чувства недооцененности у персонала, проявляющееся в негативном влиянии на безопасность организации. Например, слабое руководство может привести к пренебрежению безопасностью или к потенциальному злоупотреблению ресурсами организации.

Повышение осведомленности, обучение и тренинги в области информационной безопасности

 

Механизм контроля

Все сотрудники организации и, где это применимо, подрядчики и пользователи третьей стороны должны проходить соответствующий ознакомительный тренинг и получать регулярные обновления политик и процедур организации, относящихся к выполняемым ими функциональным обязанностям.

Руководство по внедрению

Ознакомительный тренинг должен начинаться с процесса формального введения с целью представления политик безопасности и ожиданий организации прежде, чем будет предоставлен доступ к информации или сервисам.

Последующий тренинг должен охватывать требования безопасности, юридическую ответственность и механизмы контроля бизнеса, также как обучение правильному использованию средств обработки информации, например, процедуре входа в систему, использованию пакетов программного обеспечения, а также информацию о дисциплинарном процессе.

Дополнительная информация

Деятельность по повышению осведомленности, обучению и тренингам должна соответствовать и быть значимой для роли, ответственности и навыков человека и должна включать в себя информацию об известных угрозах, к кому обращаться за помощью в вопросах безопасности и надлежащие каналы уведомления об инцидентах информационной безопасности.

Тренинги, проводимые с целью повышения осведомленности, предназначены для того, чтобы дать возможность людям осознать существующие проблемы и инциденты безопасности и реагировать на них в соответствии с потребностями выполняемой ими функциональной роли.

Дисциплинарный процесс

 

Механизм контроля

Должен существовать формальный дисциплинарный процесс в отношении сотрудников, допустивших нарушения безопасности.

Руководство по внедрению

Дисциплинарный процесс не должен начинаться без предварительной проверки того, что нарушение безопасности действительно имело место.

Формальный дисциплинарный процесс должен обеспечивать корректное и справедливое обращение с сотрудниками, подозреваемыми в совершении нарушений безопасности. Формальный дисциплинарный процесс должен обеспечивать дифференцированный подход, принимающий к рассмотрению такие факторы, как характер и тяжесть нарушения, его влияние на бизнес, является это нарушение первым или повторным, был ли нарушитель правильно обучен правилам безопасности, относящееся к делу законодательство, деловые договора и, если потребуется, другие факторы. В случае серьезных дисциплинарных проступков процесс должен допускать незамедлительное лишение полномочий, прав доступа и привилегий, а также, в случае необходимости, немедленное препровождение за пределы территории организации.

Дополнительная информация

Дисциплинарный процесс также должен использоваться как средство сдерживания для предотвращения нарушения сотрудниками, подрядчиками и пользователями третьей стороны политик и процедур информационной безопасности организации, а также любых других нарушений безопасности.

Увольнение или смена работы

Цель:   Гарантировать, что сотрудники, подрядчики и пользователи третьей стороны увольняются из организации или меняют работу правильным образом.

Должна быть определена ответственность за управление процессом увольнения сотрудников, подрядчиков и пользователей третьей стороны из организации, возвращение всего оборудования и отмену всех прав доступа.

Изменение областей ответственности и перевод на другую работу внутри организации должны контролироваться таким же образом, как и прекращение ответственности или увольнение, а управление любыми новыми назначениями должно осуществляться так, как это описано в разделе 8.1.

Ответственность за увольнение

 

Механизм контроля

Ответственность за выполнение процедур увольнения или перевода на другую работу должна быть четко определена и установлена.

Руководство по внедрению

Ответственность за увольнение должна содержаться в действующих требованиях безопасности и юридической ответственности, и, там где это применимо, ответственности, содержащейся в любых соглашениях о конфиденциальности, а также в условиях трудового соглашения действующих в течение определенного периода после увольнения сотрудника, подрядчика или пользователя третьей стороны.

Ответственность и обязанности, продолжающие действовать после увольнения, должны содержаться в трудовых договорах с сотрудниками, подрядчиками и пользователями третьей стороны.

Управление изменением областей ответственности или переводом на другую работу должно осуществляться таким же образом, как и прекращение ответственности или увольнение, а назначение новой области ответственности или назначение на должность должно контролироваться согласно пункту 8.1.

Дополнительная информация

Ответственность за весь процесс увольнения обычно возлагается на подразделение по Управлению персоналом, которое работает совместно с надзирающим руководителем увольняемого сотрудника над управлением аспектами относящихся к делу процедур, связанными с безопасностью. В случае с подрядчиком, ответственность за процесс увольнения может быть возложена на агентство, ответственное за этого подрядчика, а, в случае с другим пользователем,  на его организацию.

Может возникнуть необходимость в информировании сотрудников, клиентов, подрядчиков или пользователей третьей стороны о кадровых и операционных изменениях.

Возврат ресурсов


Механизм контроля

Все сотрудники, подрядчики и пользователи третьей стороны при увольнении, а также в случае прекращения действия трудового договора или соглашения, должны возвратить все принадлежащие организации ресурсы, находящиеся в их владении.

Руководство по внедрению

Процесс увольнения должен быть формализован, чтобы включать возвращение всего выданного программного обеспечения, корпоративных документов и оборудования. Другие ресурсы организации, такие как мобильные вычислительные устройства, кредитные карты, карты доступа, программное обеспечение, руководства и информация, хранимая на электронных носителях, также должны быть возвращены.

В случаях, когда сотрудник, подрядчик или пользователь третьей стороны покупает оборудование, принадлежащее организации, должны выполняться процедуры обеспечивающие возврат организации всей относящейся к делу информации и ее надежное стирание на оборудовании.

В случаях, когда сотрудник, подрядчик или пользователь третьей стороны обладает знаниями, важными для продолжения операций, эта информация должна быть документирована и передана организации.

Отмена прав доступа


Механизм контроля

При прекращении работы в организации или прекращении действия трудовых договоров  или соглашений сотрудников, подрядчиков и пользователей третьей стороны, их права доступа к информации и средствам ее обработки должны быть отменены или скорректированы, в случае его перехода на другую работу.

Руководство по внедрению

При прекращении трудовых отношений права доступа человека к ресурсам, связанным с информационными системами и сервисами, должны быть пересмотрены. Это позволит определить существует ли необходимость в отмене прав доступа. Переход на другую работу должен отражаться в отмене всех прав доступа, которые не были утверждены для новой должности. Права доступа, которые должны быть отменены или адаптированы, включают физический и логический доступ, ключи, идентификационные карты, средства обработки информации, подписки, а также удаление их из любой документации, которая идентифицирует их в качестве действительных членов организации. Если сотрудник, подрядчик или пользователь третьей стороны, покидающий организацию, обладает паролями к активным учетным записям, они должны быть изменены при прекращении трудовых отношений или изменении должностных обязанностей, трудового договора или соглашения.

Права доступа к информационным ресурсам и средствам обработки информации должны быть сокращены или отменены прежде, чем произойдет прекращение или изменение трудовых отношений, в зависимости от оценки таких факторов риска, как:

  • было ли прекращение или изменение трудовых отношений инициировано сотрудником, подрядчиком, пользователем третьей стороны или руководством и причина этого;
  • текущие обязанности сотрудника, подрядчика или любого другого пользователя;
  • ценность доступных ресурсов.

Дополнительная информация

В определенных обстоятельствах права доступа могут выделяться по принципу доступности для большего количества людей, нежели сотрудник, подрядчик или пользователь третьей стороны, покидающий организацию, например, для идентификаторов группы. В этом случае люди, покидающие организацию, должны быть удалены из всех групповых списков доступа, а также должны быть приняты меры по оповещению всех сотрудников, подрядчиков и пользователей третьей стороны, входящих в эти группы, о недопустимости совместного использования этой информации с человеком, покидающим организацию.

В случаях прекращения трудовых отношений, инициированных руководством, недовольные сотрудники, подрядчики или пользователи третьей стороны могут умышленно испортить информацию или повредить средства обработки информации. В случаях увольнения по собственной инициативе, человек может поддаться искушению сбора информации для использования в будущем.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex