Куда я попал?
SWIFT Customer Security Controls Framework v2022
Framework
5 - 5.3A Staff Screening Process
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
5.3A Staff Screening ProcessОбязательно для типа архитектуры A1 A2 A3 A4 B
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 2 п.п. 8
7.2.8. Обязанности персонала по выполнению требований по обеспечению ИБ должны включаться в трудовые контракты (соглашения, договоры) и (или) должностные инструкции.
Невыполнение работниками организации БС РФ требований по обеспечению ИБ должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.
Невыполнение работниками организации БС РФ требований по обеспечению ИБ должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.
Р. 7 п. 2 п.п. 2
7.2.2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть зафиксирована, например, в должностных инструкциях или организационно-распорядительных документах организации БС РФ.
NIST Cybersecurity Framework (RU):
PR.IP-11
PR.IP-11: Кибербезопасность включена в практику работы с персоналом (например, ограничение доступа, проверка персонала)
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.1
РВН.1 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников финансовой организации, деятельность которых может оказать влияние на риск реализации информационных угроз:
- при приеме на работу кандидатов на замещение должностей в финансовой организации;
- в рамках исполнения работниками своих должностных обязанностей;
- в случае прекращения трудовых отношений или изменения должностных обязанностей работников.
РВН.2.4
РВН.2.4 Рассмотрение рекомендаций предыдущих работодателей, в случае необходимости.
РВН.2.3
РВН.2.3 Проверку подлинности предоставленных кандидатом документов, заявленного уровня квалификации, точности и полноты предоставленных данных.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.7.1
12.7.1
Defined Approach Requirements:
Potential personnel who will have access to the CDE are screened, within the constraints of local laws, prior to hire to minimize the risk of attacks from internal sources.
Customized Approach Objective:
The risk related to allowing new members of staff access to the CDE is understood and managed.
Applicability Notes:
For those potential personnel to be hired for positions such as store cashiers, who only have access to one card number at a time when facilitating a transaction, this requirement is a recommendation only.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Potential personnel who will have access to the CDE are screened, within the constraints of local laws, prior to hire to minimize the risk of attacks from internal sources.
Customized Approach Objective:
The risk related to allowing new members of staff access to the CDE is understood and managed.
Applicability Notes:
For those potential personnel to be hired for positions such as store cashiers, who only have access to one card number at a time when facilitating a transaction, this requirement is a recommendation only.
Defined Approach Testing Procedures:
- 12.7.1 Interview responsible Human Resource department management to verify that screening is conducted, within the constraints of local laws, prior to hiring potential personnel who will have access to the CDE.
Purpose:
Performing thorough screening prior to hiring potential personnel who are expected to be given access to the CDE provides entities with the information necessary to make informed risk decisions regarding personnel they hire that will have access to the CDE.
Other benefits of screening potential personnel include helping to ensure workplace safety and confirming information provided by prospective employees on their resumes.
Good Practice:
Entities should consider screening for existing personnel anytime they transfer into roles where they have access to the CDE from roles where they did not have this access.
To be effective, the level of screening should be appropriate for the position. For example, positions requiring greater responsibility or that have administrative access to critical data or systems may warrant more detailed or more frequent screening than positions with less responsibility and access.
Examples:
Screening options can include, as appropriate for the entity’s region, previous employment history, review of public information/social media resources, criminal record, credit history, and reference checks.
Performing thorough screening prior to hiring potential personnel who are expected to be given access to the CDE provides entities with the information necessary to make informed risk decisions regarding personnel they hire that will have access to the CDE.
Other benefits of screening potential personnel include helping to ensure workplace safety and confirming information provided by prospective employees on their resumes.
Good Practice:
Entities should consider screening for existing personnel anytime they transfer into roles where they have access to the CDE from roles where they did not have this access.
To be effective, the level of screening should be appropriate for the position. For example, positions requiring greater responsibility or that have administrative access to critical data or systems may warrant more detailed or more frequent screening than positions with less responsibility and access.
Examples:
Screening options can include, as appropriate for the entity’s region, previous employment history, review of public information/social media resources, criminal record, credit history, and reference checks.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.1.1
A.7.1.1 Проверка
Мера обеспечения информационной безопасности: Проверку всех кандидатов при приеме на работу следует осуществлять согласно соответствующим законам, правилам и этическим нормам. Проверка должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам информационной безопасности
Мера обеспечения информационной безопасности: Проверку всех кандидатов при приеме на работу следует осуществлять согласно соответствующим законам, правилам и этическим нормам. Проверка должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам информационной безопасности
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.7.1
12.7.1
Определенные Требования к Подходу:
Потенциальный персонал, который будет иметь доступ к CDE, проходит проверку в рамках ограничений местного законодательства перед наймом, чтобы свести к минимуму риск атак из внутренних источников.
Цель Индивидуального подхода:
Риск, связанный с предоставлением новым сотрудникам доступа к CDE, осознается и управляется.
Примечания по применению:
Для тех потенциальных сотрудников, которые будут наняты на такие должности, как кассиры магазинов, которые имеют доступ только к одному номеру карты одновременно при проведении транзакции, это требование является только рекомендацией.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Потенциальный персонал, который будет иметь доступ к CDE, проходит проверку в рамках ограничений местного законодательства перед наймом, чтобы свести к минимуму риск атак из внутренних источников.
Цель Индивидуального подхода:
Риск, связанный с предоставлением новым сотрудникам доступа к CDE, осознается и управляется.
Примечания по применению:
Для тех потенциальных сотрудников, которые будут наняты на такие должности, как кассиры магазинов, которые имеют доступ только к одному номеру карты одновременно при проведении транзакции, это требование является только рекомендацией.
Определенные Процедуры Тестирования Подхода:
- 12.7.1 Перед наймом потенциального персонала, который будет иметь доступ к CDE, проведите собеседование с ответственным руководством отдела кадров, чтобы убедиться, что проверка проводится в рамках ограничений местного законодательства.
Цель:
Проведение тщательной проверки перед наймом потенциального персонала, которому, как ожидается, будет предоставлен доступ к CDE, предоставляет организациям информацию, необходимую для принятия обоснованных решений о рисках в отношении персонала, которого они нанимают, который будет иметь доступ к CDE.
Другие преимущества отбора потенциальных сотрудников включают помощь в обеспечении безопасности на рабочем месте и подтверждение информации, предоставленной потенциальными сотрудниками в их резюме.
Надлежащая практика:
Организациям следует рассмотреть возможность проверки существующего персонала в любое время, когда они переходят на роли, где у них есть доступ к CDE, с ролей, где у них не было такого доступа.
Чтобы быть эффективным, уровень отбора должен соответствовать занимаемой должности. Например, должности, требующие большей ответственности или имеющие административный доступ к критически важным данным или системам, могут требовать более детальной или более частой проверки, чем должности с меньшей ответственностью и доступом.
Примеры:
Варианты проверки могут включать, в зависимости от региона организации, предыдущую историю работы, просмотр общедоступной информации / ресурсов социальных сетей, судимость, кредитную историю и проверку рекомендаций.
Проведение тщательной проверки перед наймом потенциального персонала, которому, как ожидается, будет предоставлен доступ к CDE, предоставляет организациям информацию, необходимую для принятия обоснованных решений о рисках в отношении персонала, которого они нанимают, который будет иметь доступ к CDE.
Другие преимущества отбора потенциальных сотрудников включают помощь в обеспечении безопасности на рабочем месте и подтверждение информации, предоставленной потенциальными сотрудниками в их резюме.
Надлежащая практика:
Организациям следует рассмотреть возможность проверки существующего персонала в любое время, когда они переходят на роли, где у них есть доступ к CDE, с ролей, где у них не было такого доступа.
Чтобы быть эффективным, уровень отбора должен соответствовать занимаемой должности. Например, должности, требующие большей ответственности или имеющие административный доступ к критически важным данным или системам, могут требовать более детальной или более частой проверки, чем должности с меньшей ответственностью и доступом.
Примеры:
Варианты проверки могут включать, в зависимости от региона организации, предыдущую историю работы, просмотр общедоступной информации / ресурсов социальных сетей, судимость, кредитную историю и проверку рекомендаций.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.1
А.6.1 Проверка
До приема на работу в организацию и на постоянной основе в отношении всех кандидатов на должность в организации должны проводиться проверки достоверности сведений об их прошлом; такие проверки должны проводиться с учетом применимых требований законодательства, нормативных документов и этических норм, а также должны соответствовать бизнес-требованиям, категории информации, к которой необходимо получить доступ, а также осознаваемым рискам.
До приема на работу в организацию и на постоянной основе в отношении всех кандидатов на должность в организации должны проводиться проверки достоверности сведений об их прошлом; такие проверки должны проводиться с учетом применимых требований законодательства, нормативных документов и этических норм, а также должны соответствовать бизнес-требованиям, категории информации, к которой необходимо получить доступ, а также осознаваемым рискам.
А.6.2
А.6.2 Сроки и условия найма
Трудовые договоры должны включать и устанавливать обязанности персонала и организации по обеспечению ИБ.
Трудовые договоры должны включать и устанавливать обязанности персонала и организации по обеспечению ИБ.
NIST Cybersecurity Framework (EN):
PR.IP-11
PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.1
А.6.1 Screening
Background verification checks on all candidates to become personnel shall be carried out prior to joining the organization and on an ongoing basis taking into consideration applicable laws, regulations and ethics and be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.
Background verification checks on all candidates to become personnel shall be carried out prior to joining the organization and on an ongoing basis taking into consideration applicable laws, regulations and ethics and be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.
А.6.2
А.6.2 Terms and conditions of employment
The employment contractual agreements shall state the personnel’s and the organization’s responsibilities for information security.
The employment contractual agreements shall state the personnel’s and the organization’s responsibilities for information security.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.