Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Подписание работниками обязательств о конфиденциальности

Цель: закрепление за работниками ответственности за нарушения информационной безопасности.
 
Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник.
Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен....
Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д.

Варианты утверждения:
  • Как самостоятельный документ, отдельным приказом;
  • Как часть другого документа, например, Положения о коммерческой тайне.
Варианты распространения:
  • Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота;
  • Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. 
Варианты контроля:
  • Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений;
  • Контроль подписания обязательств возлагается на кадровые подразделения или руководителей подразделений.
Рекомендации к заполнению карточки:
  • Приложить к карточке шаблон обязательства, подписываемого работниками, или ссылку на содержащий его документ;
  • Добавить шаблон регулярной контрольной задачи на проверку наличия подписанных обязательств, если контроль не осуществляется в рамках иной защитной меры.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Направленные на организацию деятельности пользователей, включают выпуск документации.
Удерживающая ? Удерживающие (сдерживающие) меры Отговоривают злоумышленников атаковать, заставляют злоумышленника дважды подумать о своих злонамеренных намерениях.
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 6
6.6. Кредитные организации в части нейтрализации информационных угроз со стороны внутреннего нарушителя разрабатывают и принимают организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.1.2
A.7.1.2  Правила и условия работы
Мера обеспечения информационной безопасности: В договорных соглашениях с работниками и подрядчиками должны быть установлены их обязанности и обязанности организации по обеспечению информационной безопасности 
A.7.2.2
A.7.2.2  Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности 
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей 
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.9.
1.9. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны принимать организационные и технические меры в отношении субъектов доступа, являющихся работниками указанных некредитных финансовых организаций и работниками поставщиков услуг, привлекаемых в рамках выполнения технологических процессов, предусмотренных в приложении к настоящему Положению, направленные на управление риском реализации информационных угроз, обусловленным возможностью несанкционированного использования предоставленных указанным субъектам доступа полномочий.

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия соглашений (обязательств) о конфиденциальности у работника
Право Отрицание
Невозможность привлечения работника к ответственности за нарушение информационной безопасности
Право Отрицание
Отсутствие соглашений (обязательств) о конфиденциальности Работник 1
Нарушение требований законодательства по персональным данным из-за отсутствия соглашений (обязательств) о конфиденциальности у работника
Право
Нарушение требований законодательства по персональным данным
Право
Отсутствие соглашений (обязательств) о конфиденциальности Работник 1
Нарушение законодательства о коммерческой тайне из-за отсутствия соглашений (обязательств) о конфиденциальности у работника
Конфиденциальность Раскрытие информации Право
Нарушение законодательства о коммерческой тайне
Конфиденциальность Раскрытие информации Право
Отсутствие соглашений (обязательств) о конфиденциальности Работник 1
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия установленного режима коммерческой тайны в юридической структуре
Право Отрицание
Невозможность привлечения работника к ответственности за нарушение информационной безопасности
Право Отрицание
Отсутствие установленного режима коммерческой тайны Юридическая структура 4

Комментарии 1

11 месяцев назад

Обязательство о конфиденциальности

Я,________________________________________________________________________________________________
вследствие заключенного мной трудового договора от «___» ___________ _______ г. с Обществом с ограниченной ответственностью «Моя компания», именуемым в дальнейшем «Работодатель»,

1.    Ознакомлен(-на) с Перечнем информации, составляющей коммерческую тайну Работодателя, с установленным работодателем режимом коммерческой тайны и с ответственностью за его нарушение, установленными Положением о коммерческой тайне Работодателя.
2.    Получаю доступ к информации, составляющей коммерческую тайну Работодателя.
3.    Согласен(-на) с тем, что Работодатель является обладателем информации и интеллектуальной собственности, созданной мной в процессе исполнения трудовых обязанностей или с использованием программных и технических средств, предоставленных Работодателем.
4.    Добровольно принимаю на себя обязательства:
4.1.    Соблюдать установленный Работодателем режим коммерческой тайны;
4.2.    Не разглашать информацию, составляющую коммерческую тайну, без согласия Работодателя и не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;
4.3.    Принимать все возможные меры по охране конфиденциальности и защите информации, составляющей коммерческую тайну;
4.4.    Принимать все необходимые меры по недопущению доступа третьих лиц к информации, составляющей коммерческую тайну, а также к программным и техническим средствам, предоставленным Работодателем;
4.5.    Использовать информацию, информационные системы, программные и технические средства Работодателя в соответствии с локальными нормативными актами Работодателя;
4.6.    Использовать информацию, составляющую коммерческую тайну, номер телефона, оборудование, программные и технические средства, иные средства, предоставленные Работодателем, только в целях и в рамках исполнения своих трудовых обязанностей;
4.7.    Незамедлительно сообщать в отдел информационной безопасности в свободной письменной или электронной форме о попытках посторонних лиц получить информацию о моей деятельности, связанной с исполнением трудовых обязанностей, а также о ставших мне известными фактах разглашения или утечки информации, составляющей коммерческую тайну, об игнорировании и несоблюдении требований информационной безопасности другими работниками;
4.8.    Относиться к информации, полученной от контрагентов Работодателя и в отношении которой контрагентом установлены требования конфиденциальности так же, как и к информации, составляющей коммерческую тайну Работодателя;
4.9.    В случае получения доступа к информации, составляющей коммерческую тайну, в результате действий, совершенных случайно или по ошибке, сохранять конфиденциальность этой информации.
5.    Я согласен(-на) на осуществление контроля со стороны Работодателя за соблюдением режима коммерческой тайны, в том числе за использованием мною информации, программных и технических средств, предоставленных Работодателем.
6.    Подтверждаю, что не имею никаких обязательств перед какими-либо физическими или юридическими лицами, которые входят в противоречие с моими трудовыми обязанностями или ограничивают их исполнение и обязуюсь незамедлительно сообщать Работодателю о появлении подобных обязательств;
7.    В случае прекращения или расторжения трудового договора обязуюсь в течение 5 дней: 
7.1.    Вернуть Работодателю все предоставленные мне технические средства;
7.2.    Передать Работодателю материальные носители информации, имеющиеся в моем пользовании и содержащие информацию, составляющую коммерческую тайну;
7.3.    Уничтожить оставшуюся у меня информацию, составляющую коммерческую тайну, прекратить ее обработку.
8.    Настоящее обязательство действует в течение срока действия моего трудового договора, а также в течение 5 лет после его расторжения.
9.    Нарушение настоящего обязательства может повлечь дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. Я обязуюсь возместить причиненные Работодателю убытки, в случае разглашения по моей вине информации, составляющей коммерческую тайну.
 
«__» ____________ 202__ г.                                         ______________________      /           ____________________
(дата)                                                                                  (подпись)                                           (ФИО)