Куда я попал?
Цель: Ознакомление с действующими в компании документами по информационной безопасности (политики, положения, обязательства) под подпись при трудоустройстве.
Варианты реализации, в зависимости от специфики организации:
Варианты реализации, в зависимости от специфики организации:
- В момент трудоустройства и подписания трудового договора (в кадровом подразделении);
- После трудоустройства в службе безопасности или информационных технологий;
- После трудоустройства на рабочем месте (ответственность непосредственного руководителя).
Рекомендации к заполнению карточки:
- Зафиксировать ответственное за сбор подписей подразделение и место хранения реестров с подписями.
- Добавить шаблон регулярной контрольной задачи по проверке наличия реестров с подписями
Область действия: Вся организация
Классификация
Тип
Организационная
?
Удерживающая
?
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено
Исполнение требований
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 6
6.6. Кредитные организации в части нейтрализации информационных угроз со стороны внутреннего нарушителя разрабатывают и принимают организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
7.3 Осведомленность
7.3 Осведомленность
Лица, выполняющие работу под контролем организации, должны быть осведомлены в отношении:
Лица, выполняющие работу под контролем организации, должны быть осведомлены в отношении:
- a) политики информационной безопасности;
- b) их вклада в эффективность систему менеджмента информационной безопасности, включая выгод от улучшения исполнения информационной безопасности; а также
- c) последствий несоответствия требованиям системы менеджмента информационной безопасности.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
7.3
7.3 Осведомленность
Лица, выполняющие работу под контролем организации, должны быть осведомлены:
а) о политике информационной безопасности организации;
b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности;
с) последствиях несоблюдения требований системы менеджмента информационной безопасности.
Лица, выполняющие работу под контролем организации, должны быть осведомлены:
а) о политике информационной безопасности организации;
b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности;
с) последствиях несоблюдения требований системы менеджмента информационной безопасности.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.3.1
A.7.3.1 Прекращение или изменение трудовых обязанностей
Мера обеспечения информационной безопасности: Ответственность и обязанности, относящиеся к информационной безопасности, которые сохраняются после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и оформлены юридически
Мера обеспечения информационной безопасности: Ответственность и обязанности, относящиеся к информационной безопасности, которые сохраняются после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и оформлены юридически
A.7.2.2
A.7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей
A.5.1.1
A.5.1.1 Политики информационной безопасности
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.3 Awareness
7.3 Awareness
Persons doing work under the organization’s control shall be aware of:
Persons doing work under the organization’s control shall be aware of:
- a) the information security policy;
- b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
- c) the implications of not conforming with the information security management system requirements.
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.9.
1.9. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны принимать организационные и технические меры в отношении субъектов доступа, являющихся работниками указанных некредитных финансовых организаций и работниками поставщиков услуг, привлекаемых в рамках выполнения технологических процессов, предусмотренных в приложении к настоящему Положению, направленные на управление риском реализации информационных угроз, обусловленным возможностью несанкционированного использования предоставленных указанным субъектам доступа полномочий.
NIST Cybersecurity Framework (EN):
ID.GV-1
ID.GV-1: Organizational cybersecurity policy is established and communicated