Карточка риска

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Угроза

Невозможность привлечения работника к ответственности за нарушение информационной безопасности

из-за уязвимости

Отсутствие соглашений (обязательств) о конфиденциальности

в Активе

Работник

Описание угрозы

Невозможность привлечения работника к ответственности из-за отсутствия юридических оснований. Например отсутствия локальных актов, подписи работника об ознакомлении с локальными актами.

Описание уязвимости

Отсутствие юридически оформленных договоренностей между сторонами в части обеспечения конфиденциальности информации, обработки информации, соблюдения требований законодательства в отношении информации и т.п. Например, в отношении коммерческой тайны или персональных данных.

Описание типа актива

Физические лица, трудоустроенные в компанию по трудовому договору или договору о дистанционной работе. Примечание: лиц, осуществляющих взаимодействие с компанией по договору подряда, следует относить к категории подрядчиков.

Объекты атаки

Классификация

STRIDE: Отрицание

Иное: Право

Источники угрозы

Внутренний нарушитель - Низкий потенциал

Каталоги угроз

Связанные защитные меры

	Название	Дата	Влияние
Community 4 5 / 72	Подписание работниками обязательств о конфиденциальности Разово Вручную Организационная Удерживающая 12.10.2021	12.10.2021	4 5 / 72
Цель: закрепление за работниками ответственности за нарушения информационной безопасности. Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник. Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен.... Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д. Варианты утверждения: Как самостоятельный документ, отдельным приказом; Как часть другого документа, например, Положения о коммерческой тайне. Варианты распространения: Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота; Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. Варианты контроля: Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений; Контроль подписания обязательств возлагается на кадровые подразделения или руководителей подразделений. В заметке к мере приведен шаблон обязательства о конфиденциальности. *Рекомендации к заполнению карточки:* Приложить к карточке шаблон обязательства, подписываемого работниками, или ссылку на содержащий его документ; Добавить шаблон регулярной контрольной задачи на проверку наличия подписанных обязательств, если контроль не осуществляется в рамках иной защитной меры.