Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Карточка риска

Риски Риск невозможности привлечения...
Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 
Угроза

Невозможность привлечения работника к ответственности за нарушение информационной безопасности

из-за уязвимости

Отсутствие соглашений (обязательств) о конфиденциальности

в Активе

Работник

1

Описание угрозы

Невозможность привлечения работника к ответственности из-за отсутствия юридических оснований. Например отсутствия локальных актов, подписи работника об ознакомлении с локальными актами.

Описание уязвимости

Отсутствие юридически оформленных договоренностей между сторонами в части обеспечения конфиденциальности информации, обработки информации, соблюдения требований законодательства в отношении информации и т.п. Например, в отношении коммерческой тайны или персональных данных.

Описание типа актива

Физические лица, трудоустроенные в компанию по трудовому договору или договору о дистанционной работе. Примечание: лиц, осуществляющих взаимодействие с компанией по договору подряда, следует относить к категории подрядчиков.
Объекты атаки
Классификация
STRIDE: Отрицание ? Отрицание / Repudiation Сознательный отказ пользователей от действий, которые они совершили. Примером может служить использование работником своего служебного п...
Иное: Право ? Правовые, юридические угрозы / Legal threatsУгроза которая возникает из-за нарушения или несоблюдения требований законов, нормативно-правовых актов, соглашений,...
Источники угрозы
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстанавливающая Удерживающая Компенсирующая
Название Дата Влияние
Community
4 3 / 39
Подписание работниками обязательств о конфиденциальности
Разово Вручную Организационная Удерживающая
12.10.2021 		12.10.2021 4 3 / 39
Цель: закрепление за работниками ответственности за нарушения информационной безопасности.
 
Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник.
Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен....
Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д.

Варианты утверждения:
  • Как самостоятельный документ, отдельным приказом;
  • Как часть другого документа, например, Положения о коммерческой тайне.
Варианты распространения:
  • Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота;
  • Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. 
Варианты контроля:
  • Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений;
  • Контроль подписания обязательств возлагается на кадровые подразделения или руководителей подразделений.
Рекомендации к заполнению карточки:
  • Приложить к карточке шаблон обязательства, подписываемого работниками, или ссылку на содержащий его документ;
  • Добавить шаблон регулярной контрольной задачи на проверку наличия подписанных обязательств, если контроль не осуществляется в рамках иной защитной меры.