Карточка защитной меры

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Подписание работниками обязательств о конфиденциальности

1 4 5

Цель: закрепление за работниками ответственности за нарушения информационной безопасности.

Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник.
Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен....
Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д.

Варианты утверждения:

Как самостоятельный документ, отдельным приказом;
Как часть другого документа, например, Положения о коммерческой тайне.

Варианты распространения:

Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота;
Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства.

Варианты контроля:

Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений;
Контроль подписания обязательств возлагается на кадровые подразделения или руководителей подразделений.

В заметке к мере приведен шаблон обязательства о конфиденциальности.

Рекомендации к заполнению карточки:

Приложить к карточке шаблон обязательства, подписываемого работниками, или ссылку на содержащий его документ;
Добавить шаблон регулярной контрольной задачи на проверку наличия подписанных обязательств, если контроль не осуществляется в рамках иной защитной меры.

Область действия: Вся организация

Классификация

Тип

Организационная

Удерживающая

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Исполнение требований

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":

п. 6. п.п. 6

6.6. Кредитные организации в части нейтрализации информационных угроз со стороны внутреннего нарушителя разрабатывают и принимают организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.7.1.2

A.7.1.2 Правила и условия работы
Мера обеспечения информационной безопасности: В договорных соглашениях с работниками и подрядчиками должны быть установлены их обязанности и обязанности организации по обеспечению информационной безопасности

A.7.2.2

A.7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей

SWIFT Customer Security Controls Framework v2022:

7 - 7.2 Security Training and Awareness

7.2 Security Training and Awareness

Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":

п. 1.9.

1.9. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны принимать организационные и технические меры в отношении субъектов доступа, являющихся работниками указанных некредитных финансовых организаций и работниками поставщиков услуг, привлекаемых в рамках выполнения технологических процессов, предусмотренных в приложении к настоящему Положению, направленные на управление риском реализации информационных угроз, обусловленным возможностью несанкционированного использования предоставленных указанным субъектам доступа полномочий.

Связанные риски

Риск	Угроза	Уязвимость	Тип актива	Связи
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия соглашений (обязательств) о конфиденциальности у работника Право Отрицание	Невозможность привлечения работника к ответственности за нарушение информационной безопасности Право Отрицание	Отсутствие соглашений (обязательств) о конфиденциальности	Работник	1
Нарушение требований законодательства по персональным данным из-за отсутствия соглашений (обязательств) о конфиденциальности у работника Право	Нарушение требований законодательства по персональным данным Право	Отсутствие соглашений (обязательств) о конфиденциальности	Работник	1
Нарушение законодательства о коммерческой тайне из-за отсутствия соглашений (обязательств) о конфиденциальности у работника Конфиденциальность Раскрытие информации Право	Нарушение законодательства о коммерческой тайне Конфиденциальность Раскрытие информации Право	Отсутствие соглашений (обязательств) о конфиденциальности	Работник	1
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия установленного режима коммерческой тайны в юридической структуре Право Отрицание	Невозможность привлечения работника к ответственности за нарушение информационной безопасности Право Отрицание	Отсутствие установленного режима коммерческой тайны	Юридическая структура	4

Заметки

Николай Казанцев

1 год назад

Обязательство о конфиденциальности

Я,________________________________________________________________________________________________
вследствие заключенного мной трудового договора от «___» ___________ _______ г. с Обществом с ограниченной ответственностью «Моя компания», именуемым в дальнейшем «Работодатель»,

1. Ознакомлен(-на) с Перечнем информации, составляющей коммерческую тайну Работодателя, с установленным работодателем режимом коммерческой тайны и с ответственностью за его нарушение, установленными Положением о коммерческой тайне Работодателя.

2. Получаю доступ к информации, составляющей коммерческую тайну Работодателя.

3. Согласен(-на) с тем, что Работодатель является обладателем информации и интеллектуальной собственности, созданной мной в процессе исполнения трудовых обязанностей или с использованием программных и технических средств, предоставленных Работодателем.

4. Добровольно принимаю на себя обязательства:

4.1. Соблюдать установленный Работодателем режим коммерческой тайны;

4.2. Не разглашать информацию, составляющую коммерческую тайну, без согласия Работодателя и не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;

4.3. Принимать все возможные меры по охране конфиденциальности и защите информации, составляющей коммерческую тайну;

4.4. Принимать все необходимые меры по недопущению доступа третьих лиц к информации, составляющей коммерческую тайну, а также к программным и техническим средствам, предоставленным Работодателем;

4.5. Использовать информацию, информационные системы, программные и технические средства Работодателя в соответствии с локальными нормативными актами Работодателя;

4.6. Использовать информацию, составляющую коммерческую тайну, номер телефона, оборудование, программные и технические средства, иные средства, предоставленные Работодателем, только в целях и в рамках исполнения своих трудовых обязанностей;

4.7. Незамедлительно сообщать в отдел информационной безопасности в свободной письменной или электронной форме о попытках посторонних лиц получить информацию о моей деятельности, связанной с исполнением трудовых обязанностей, а также о ставших мне известными фактах разглашения или утечки информации, составляющей коммерческую тайну, об игнорировании и несоблюдении требований информационной безопасности другими работниками;

4.8. Относиться к информации, полученной от контрагентов Работодателя и в отношении которой контрагентом установлены требования конфиденциальности так же, как и к информации, составляющей коммерческую тайну Работодателя;

4.9. В случае получения доступа к информации, составляющей коммерческую тайну, в результате действий, совершенных случайно или по ошибке, сохранять конфиденциальность этой информации.

5. Я согласен(-на) на осуществление контроля со стороны Работодателя за соблюдением режима коммерческой тайны, в том числе за использованием мною информации, программных и технических средств, предоставленных Работодателем.

6. Подтверждаю, что не имею никаких обязательств перед какими-либо физическими или юридическими лицами, которые входят в противоречие с моими трудовыми обязанностями или ограничивают их исполнение и обязуюсь незамедлительно сообщать Работодателю о появлении подобных обязательств;

7. В случае прекращения или расторжения трудового договора обязуюсь в течение 5 дней:

7.1. Вернуть Работодателю все предоставленные мне технические средства;

7.2. Передать Работодателю материальные носители информации, имеющиеся в моем пользовании и содержащие информацию, составляющую коммерческую тайну;

7.3. Уничтожить оставшуюся у меня информацию, составляющую коммерческую тайну, прекратить ее обработку.

8. Настоящее обязательство действует в течение срока действия моего трудового договора, а также в течение 5 лет после его расторжения.

9. Нарушение настоящего обязательства может повлечь дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. Я обязуюсь возместить причиненные Работодателю убытки, в случае разглашения по моей вине информации, составляющей коммерческую тайну.

«__» ____________ 202__ г. ______________________ / ____________________

(дата) (подпись) (ФИО)