Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Подписание работниками обязательств о конфиденциальности

Цель: закрепление за работниками ответственности за нарушения информационной безопасности.
 
Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник.
Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен....
Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д.

Варианты утверждения:
  • Как самостоятельный документ, отдельным приказом;
  • Как часть другого документа, например, Положения о коммерческой тайне.
Варианты распространения:
  • Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота;
  • Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. 
Варианты контроля:
  • Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений;
  • Контроль подписания обязательств возлагается на кадровые подразделения или руководителей подразделений.
Рекомендации к заполнению карточки:
  • Приложить к карточке шаблон обязательства, подписываемого работниками, или ссылку на содержащий его документ;
  • Добавить шаблон регулярной контрольной задачи на проверку наличия подписанных обязательств, если контроль не осуществляется в рамках иной защитной меры.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации - инструкций, регламентов, стандарто...
Удерживающая ? Удерживающие (сдерживающие) меры Организация применяет сдерживающие меры пытаясь отговорить злоумышленников атаковать ее системы или помещения. Другими словами, сдерживающая контрмера используе...
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
Косвенно РЗИ.15
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
Косвенно РЗИ.16
РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Косвенно Р. 7 п. 2 п.п. 2
7.2.2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть зафиксирована, например, в должностных инструкциях или организационно-распорядительных документах организации БС РФ.
Косвенно Р. 8 п. 9 п.п. 4
8.9.4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию:
  • по существующим политикам ИБ;
  • по применяемым в организации БС РФ защитным мерам;
  • по правильному использованию защитных мер в соответствии с внутренними документами организации БС РФ;
  • о значимости и важности деятельности работников для обеспечения ИБ организации БС РФ. 
Косвенно Р. 8 п. 9 п.п. 1
8.9.1. Должна быть организована санкционированная руководством организации БС РФ работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ. 
Косвенно Р. 8 п. 9 п.п. 6
8.9.6. Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли. 
Косвенно Р. 8 п. 11 п.п. 8
8.11.8. В организации БС РФ должна быть реализована программа обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний. 
CIS Critical Security Controls v8 (The 18 CIS CSC):
Косвенно 14.6
14.6 Train Workforce Members on Recognizing and Reporting Security Incidents
Train workforce members to be able to recognize a potential incident and be able to report such an incident. 
Косвенно 14.3
14.3 Train Workforce Members on Authentication Best Practices
Train workforce members on authentication best practices. Example topics include MFA, password composition, and credential management. 
NIST Cybersecurity Framework (RU):
Косвенно PR.DS-5
PR.DS-5:  Реализована защита от утечки данных
Косвенно PR.IP-11
PR.IP-11: Кибербезопасность включена в практику работы с персоналом (например, ограничение доступа, проверка персонала) 
Косвенно PR.AT-3
PR.AT-3: Внешние заинтересованные стороны (например, поставщики, клиенты, партнеры) понимают роли и ответственность

Косвенно PR.AT-2
PR.AT-2: Привилегированные пользователи понимают роли и ответственность 
Косвенно DE.DP-1
DE.DP-1:  Для обеспечения подотчетности четко определены роли и обязанности по выявлению
Косвенно PR.AT-1
PR.AT-1: Все пользователи проинформированы и обучены 
Косвенно PR.AT-5
PR.AT-5: Сотрудники физической и информационной безопасности понимают роли и ответственность 
Косвенно RS.CO-1
RS.CO-1: Персонал знает свои роли и порядок действий, при выполнении мероприятий по реагированию 
Косвенно PR.AT-4
PR.AT-4: Высшее руководство понимает роли и ответственность 
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Косвенно Р. 7 п. 9
7.9. В организации БС РФ рекомендуется установить: 
– персональную ответственность каждого работника организации БС РФ за соблюдение правил обработки информации в АБС и ответственность руководителей структурных подразделений организации БС РФ за организацию соблюдения указанных правил; 
– персональную ответственность каждого работника организации БС РФ за соблюдение правил обработки информации на бумажных и переносных носителях информации и ответственность руководителей структурных подразделений организации БС РФ за организацию соблюдения указанных правил; 
– персональную ответственность работников подразделений информатизации и (или) функциональных подразделений за соблюдение правил идентификации и учета информационных активов и средств вычислительной техники – объектов среды информационных активов и ответственность руководителей указанных подразделений за организацию соблюдения указанных правил; 
– персональную ответственность работников подразделений информатизации и (или) функциональных подразделений за соблюдение правил размещения и (или) запрета размещения информационных активов разных классов на одном средстве вычислительной техники и ответственность руководителей указанных подразделений за организацию соблюдения указанных правил; 
– персональную ответственность руководителей службы ИБ за организацию деятельности по осуществлению контроля соответствия фактического состава информационных активов и средств вычислительной техники – объектов среды информационных активов учетным данным.  
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.7.1.2 A.7.1.2 Условия трудового соглашения
Средства реализации: Трудовые соглашения с сотрудниками или привлекаемыми по контракту должны устанавливать их и организации ответственность в части информационной безопасности.
A.7.2.2 A.7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности
Средства реализации: Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей.
CIS Critical Security Controls v7.1 (SANS Top 20):
Косвенно CSC 17.5 CSC 17.5 Train Workforce on Secure Authentication
Train workforce members on the importance of enabling and utilizing secure authentication.
Косвенно CSC 17.9 CSC 17.9 Train Workforce Members on Identifying and Reporting Incidents
Train workforce members to be able to identify the most common indicators of an incident and be able to report such an incident.
Косвенно CSC 17.1 CSC 17.1 Perform a Skills Gap Analysis
Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
Стандарт № GMP Annex 11: Computerised Systems (RU) от 30.11.2011 "Правила надлежащей производственной практики. Приложение 11: Компьютеризированные системы":
Косвенно Р. 2 п. 2 п.п. 1
Следует поддерживать тесное сотрудничество между всем значимым персоналом, вовлеченным в данный процесс, таким как владелец процесса, владелец системы, Уполномоченные лица и технический (IT) персонал. Весь персонал должен иметь соответствующую квалификацию, уровень доступа и определенную ответственность для выполнения возложенных на него обязанностей. 
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
Косвенно ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
Косвенно ИПО.0 ИПО.0 Разработка политики информирования и обучения персонала
Косвенно ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
FDA 21 CFR part 11 (RU):
Косвенно Sec. 11.10 p. 1 sp. j
(j) Установление и соблюдение письменных политик, предусматривающих подотчетность и ответственность отдельных лиц за действия, инициированные с использованием их электронных подписей, в целях предотвращения фальсификации записей и подписей.
NIST Cybersecurity Framework (EN):
Косвенно PR.DS-5 PR.DS-5: Protections against data leaks are implemented
Косвенно PR.IP-11 PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)
Косвенно PR.AT-3 PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities
Косвенно RS.CO-1 RS.CO-1: Personnel know their roles and order of operations when a response is needed
Косвенно PR.AT-2 PR.AT-2: Privileged users understand their roles and responsibilities
Косвенно PR.AT-1 PR.AT-1: All users are informed and trained
Косвенно DE.DP-1 DE.DP-1: Roles and responsibilities for detection are well defined to ensure accountability
Косвенно PR.AT-5 PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities
Косвенно PR.AT-4 PR.AT-4: Senior executives understand their roles and responsibilities
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
Косвенно ДНС.2 ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
Косвенно ИПО.2 ИПО.2 Обучение персонала правилам безопасной работы
Косвенно ИПО.0 ИПО.0 Регламентация правил и процедур информирования и обучения персонала

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия соглашений (обязательств) о конфиденциальности у работника
Право Отрицание
Невозможность привлечения работника к ответственности за нарушение информационной безопасности
Право Отрицание
Отсутствие соглашений (обязательств) о конфиденциальности Работник 1
Нарушение требований законодательства по персональным данным из-за отсутствия соглашений (обязательств) о конфиденциальности у работника
Право
Нарушение требований законодательства по персональным данным
Право
Отсутствие соглашений (обязательств) о конфиденциальности Работник 1
Нарушение законодательства о коммерческой тайне из-за отсутствия соглашений (обязательств) о конфиденциальности у работника
Конфиденциальность Раскрытие информации Право
Нарушение законодательства о коммерческой тайне
Конфиденциальность Раскрытие информации Право
Отсутствие соглашений (обязательств) о конфиденциальности Работник 1
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия установленного режима коммерческой тайны в юридической структуре
Право Отрицание
Невозможность привлечения работника к ответственности за нарушение информационной безопасности
Право Отрицание
Отсутствие установленного режима коммерческой тайны Юридическая структура 4

Комментарии 1

7 месяцев назад

Обязательство о конфиденциальности

Я,________________________________________________________________________________________________
вследствие заключенного мной трудового договора от «___» ___________ _______ г. с Обществом с ограниченной ответственностью «Моя компания», именуемым в дальнейшем «Работодатель»,

1.    Ознакомлен(-на) с Перечнем информации, составляющей коммерческую тайну Работодателя, с установленным работодателем режимом коммерческой тайны и с ответственностью за его нарушение, установленными Положением о коммерческой тайне Работодателя.
2.    Получаю доступ к информации, составляющей коммерческую тайну Работодателя.
3.    Согласен(-на) с тем, что Работодатель является обладателем информации и интеллектуальной собственности, созданной мной в процессе исполнения трудовых обязанностей или с использованием программных и технических средств, предоставленных Работодателем.
4.    Добровольно принимаю на себя обязательства:
4.1.    Соблюдать установленный Работодателем режим коммерческой тайны;
4.2.    Не разглашать информацию, составляющую коммерческую тайну, без согласия Работодателя и не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;
4.3.    Принимать все возможные меры по охране конфиденциальности и защите информации, составляющей коммерческую тайну;
4.4.    Принимать все необходимые меры по недопущению доступа третьих лиц к информации, составляющей коммерческую тайну, а также к программным и техническим средствам, предоставленным Работодателем;
4.5.    Использовать информацию, информационные системы, программные и технические средства Работодателя в соответствии с локальными нормативными актами Работодателя;
4.6.    Использовать информацию, составляющую коммерческую тайну, номер телефона, оборудование, программные и технические средства, иные средства, предоставленные Работодателем, только в целях и в рамках исполнения своих трудовых обязанностей;
4.7.    Незамедлительно сообщать в отдел информационной безопасности в свободной письменной или электронной форме о попытках посторонних лиц получить информацию о моей деятельности, связанной с исполнением трудовых обязанностей, а также о ставших мне известными фактах разглашения или утечки информации, составляющей коммерческую тайну, об игнорировании и несоблюдении требований информационной безопасности другими работниками;
4.8.    Относиться к информации, полученной от контрагентов Работодателя и в отношении которой контрагентом установлены требования конфиденциальности так же, как и к информации, составляющей коммерческую тайну Работодателя;
4.9.    В случае получения доступа к информации, составляющей коммерческую тайну, в результате действий, совершенных случайно или по ошибке, сохранять конфиденциальность этой информации.
5.    Я согласен(-на) на осуществление контроля со стороны Работодателя за соблюдением режима коммерческой тайны, в том числе за использованием мною информации, программных и технических средств, предоставленных Работодателем.
6.    Подтверждаю, что не имею никаких обязательств перед какими-либо физическими или юридическими лицами, которые входят в противоречие с моими трудовыми обязанностями или ограничивают их исполнение и обязуюсь незамедлительно сообщать Работодателю о появлении подобных обязательств;
7.    В случае прекращения или расторжения трудового договора обязуюсь в течение 5 дней: 
7.1.    Вернуть Работодателю все предоставленные мне технические средства;
7.2.    Передать Работодателю материальные носители информации, имеющиеся в моем пользовании и содержащие информацию, составляющую коммерческую тайну;
7.3.    Уничтожить оставшуюся у меня информацию, составляющую коммерческую тайну, прекратить ее обработку.
8.    Настоящее обязательство действует в течение срока действия моего трудового договора, а также в течение 5 лет после его расторжения.
9.    Нарушение настоящего обязательства может повлечь дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. Я обязуюсь возместить причиненные Работодателю убытки, в случае разглашения по моей вине информации, составляющей коммерческую тайну.
 
«__» ____________ 202__ г.                                         ______________________      /           ____________________
(дата)                                                                                  (подпись)                                           (ФИО)