Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Подписание работниками обязательств о конфиденциальности

Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник.
Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен....
Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д.
Пример Обязательства о конфиденциальности приведен в заметке к защитной мере.

Утверждение:
  • Как самостоятельный документ, отдельным приказом
  • Как часть другого документа, например, Положения о коммерческой тайне
Распространение:
  • Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота;
  • Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. 
Контроль:
  • Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации - инструкций, регламентов, стандарто...
Удерживающая ? Удерживающие (сдерживающие) меры Организация применяет сдерживающие меры пытаясь отговорить злоумышленников атаковать ее системы или помещения. Другими словами, сдерживающая контрмера используе...
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.7.1.2 Условия трудового соглашения
Средства реализации: Трудовые соглашения с сотрудниками или привлекаемыми по контракту должны устанавливать их и организации ответственность в части информационной безопасности.
A.7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности
Средства реализации: Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей.
The 20 CIS Controls Resources:
CSC 17.5 ? Косвенная связь
CSC 17.5 Train Workforce on Secure Authentication
Train workforce members on the importance of enabling and utilizing secure authentication.
CSC 17.9 ? Косвенная связь
CSC 17.9 Train Workforce Members on Identifying and Reporting Incidents
Train workforce members to be able to identify the most common indicators of an incident and be able to report such an incident.
CSC 17.1 ? Косвенная связь
CSC 17.1 Perform a Skills Gap Analysis
Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
NIST Cybersecurity Framework:
PR.DS-5 ? Косвенная связь
PR.DS-5: Protections against data leaks are implemented
PR.IP-11 ? Косвенная связь
PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)
PR.AT-3 ? Косвенная связь
PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities
RS.CO-1 ? Косвенная связь
RS.CO-1: Personnel know their roles and order of operations when a response is needed
PR.AT-2 ? Косвенная связь
PR.AT-2: Privileged users understand their roles and responsibilities
PR.AT-1 ? Косвенная связь
PR.AT-1: All users are informed and trained
DE.DP-1 ? Косвенная связь
DE.DP-1: Roles and responsibilities for detection are well defined to ensure accountability
PR.AT-5 ? Косвенная связь
PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities
PR.AT-4 ? Косвенная связь
PR.AT-4: Senior executives understand their roles and responsibilities

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия соглашений (обязательств) о конфиденциальности у работника
Право Отрицание
Невозможность привлечения работника к ответственности за нарушение информационной безопасности
Право Отрицание
Отсутствие соглашений (обязательств) о конфиденциальности Работник 1
Нарушение требований законодательства по персональным данным из-за отсутствия соглашений (обязательств) о конфиденциальности у работника
Право
Нарушение требований законодательства по персональным данным
Право
Отсутствие соглашений (обязательств) о конфиденциальности Работник 1
Нарушение законодательства о коммерческой тайне из-за отсутствия соглашений (обязательств) о конфиденциальности у работника
Конфиденциальность Раскрытие информации Право
Нарушение законодательства о коммерческой тайне
Конфиденциальность Раскрытие информации Право
Отсутствие соглашений (обязательств) о конфиденциальности Работник 1
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия установленного режима коммерческой тайны в юридической структуре
Право Отрицание
Невозможность привлечения работника к ответственности за нарушение информационной безопасности
Право Отрицание
Отсутствие установленного режима коммерческой тайны Юридическая структура 4

Комментарии 1

1 месяц назад

Обязательство о конфиденциальности

Я,________________________________________________________________________________________________
вследствие заключенного мной трудового договора от «___» ___________ _______ г. с Обществом с ограниченной ответственностью «Моя компания», именуемым в дальнейшем «Работодатель»,

1.    Ознакомлен(-на) с Перечнем информации, составляющей коммерческую тайну Работодателя, с установленным работодателем режимом коммерческой тайны и с ответственностью за его нарушение, установленными Положением о коммерческой тайне Работодателя.
2.    Получаю доступ к информации, составляющей коммерческую тайну Работодателя.
3.    Согласен(-на) с тем, что Работодатель является обладателем информации и интеллектуальной собственности, созданной мной в процессе исполнения трудовых обязанностей или с использованием программных и технических средств, предоставленных Работодателем.
4.    Добровольно принимаю на себя обязательства:
4.1.    Соблюдать установленный Работодателем режим коммерческой тайны;
4.2.    Не разглашать информацию, составляющую коммерческую тайну, без согласия Работодателя и не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;
4.3.    Принимать все возможные меры по охране конфиденциальности и защите информации, составляющей коммерческую тайну;
4.4.    Принимать все необходимые меры по недопущению доступа третьих лиц к информации, составляющей коммерческую тайну, а также к программным и техническим средствам, предоставленным Работодателем;
4.5.    Использовать информацию, информационные системы, программные и технические средства Работодателя в соответствии с локальными нормативными актами Работодателя;
4.6.    Использовать информацию, составляющую коммерческую тайну, номер телефона, оборудование, программные и технические средства, иные средства, предоставленные Работодателем, только в целях и в рамках исполнения своих трудовых обязанностей;
4.7.    Незамедлительно сообщать в отдел информационной безопасности в свободной письменной или электронной форме о попытках посторонних лиц получить информацию о моей деятельности, связанной с исполнением трудовых обязанностей, а также о ставших мне известными фактах разглашения или утечки информации, составляющей коммерческую тайну, об игнорировании и несоблюдении требований информационной безопасности другими работниками;
4.8.    Относиться к информации, полученной от контрагентов Работодателя и в отношении которой контрагентом установлены требования конфиденциальности так же, как и к информации, составляющей коммерческую тайну Работодателя;
4.9.    В случае получения доступа к информации, составляющей коммерческую тайну, в результате действий, совершенных случайно или по ошибке, сохранять конфиденциальность этой информации.
5.    Я согласен(-на) на осуществление контроля со стороны Работодателя за соблюдением режима коммерческой тайны, в том числе за использованием мною информации, программных и технических средств, предоставленных Работодателем.
6.    Подтверждаю, что не имею никаких обязательств перед какими-либо физическими или юридическими лицами, которые входят в противоречие с моими трудовыми обязанностями или ограничивают их исполнение и обязуюсь незамедлительно сообщать Работодателю о появлении подобных обязательств;
7.    В случае прекращения или расторжения трудового договора обязуюсь в течение 5 дней: 
7.1.    Вернуть Работодателю все предоставленные мне технические средства;
7.2.    Передать Работодателю материальные носители информации, имеющиеся в моем пользовании и содержащие информацию, составляющую коммерческую тайну;
7.3.    Уничтожить оставшуюся у меня информацию, составляющую коммерческую тайну, прекратить ее обработку.
8.    Настоящее обязательство действует в течение срока действия моего трудового договора, а также в течение 5 лет после его расторжения.
9.    Нарушение настоящего обязательства может повлечь дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. Я обязуюсь возместить причиненные Работодателю убытки, в случае разглашения по моей вине информации, составляющей коммерческую тайну.
 
«__» ____________ 202__ г.                                         ______________________      /           ____________________
(дата)                                                                                  (подпись)                                           (ФИО)