Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Невозможность привлечения работника к ответственности из-за отсутствия юридических оснований. Например отсутствия локальных актов, подписи работника об ознакомлении с локальными актами.

Описание уязвимости

Введение режима коммерческой тайны является неотъемлемым условием защиты коммерческой тайны. Режим считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в Федеральном законе от 29.07.2004 N 98-ФЗ "О коммерческой тайне".

Описание типа актива

Юридическое лицо – предприятие, выступающее в качестве субъекта гражданства, в том числе хозяйственных прав и обязанностей, имеющее самостоятельный баланс, гербовую печать и расчетный счет в банке, действующее на основании устава или положения и отвечающее в случае банкротства принадлежащим ему имуществом.

К юридическим структурам в сервисе так же отнесены подразделения и иные виртуальные юридически-значимые образования.
Объекты атаки
Классификация
STRIDE: Отрицание ? Отрицание / Repudiation Сознательный отказ пользователей от действий, которые они совершили. Примером может служить использование работником своего служебного п...
Иное: Право ? Правовые, юридические угрозы / Legal threatsУгроза которая возникает из-за нарушения или несоблюдения требований законов, нормативно-правовых актов, соглашений,...
Источники угрозы
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Связанные защитные меры

Название Дата Влияние
Community
1 8 / 111
Доведение до новых работников документов по информационной безопасности
По событию Вручную Организационная Удерживающая
28.10.2021
28.10.2021 1 8 / 111
Цель: Ознакомление с действующими в компании документами по информационной безопасности (политики, положения, обязательства) под подпись при трудоустройстве.

Варианты реализации, в зависимости от специфики организации:
  • В момент трудоустройства и подписания трудового договора (в кадровом подразделении);
  • После трудоустройства в службе безопасности или информационных технологий;
  • После трудоустройства на рабочем месте (ответственность непосредственного руководителя).
Рекомендации к заполнению карточки:
  • Зафиксировать ответственное за сбор подписей подразделение и место хранения реестров с подписями.
  • Добавить шаблон регулярной контрольной задачи по проверке наличия реестров с подписями
Community
4 5 / 72
Подписание работниками обязательств о конфиденциальности
Разово Вручную Организационная Удерживающая
12.10.2021
12.10.2021 4 5 / 72
Цель: закрепление за работниками ответственности за нарушения информационной безопасности.
 
Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник.
Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен....
Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д.

Варианты утверждения:
  • Как самостоятельный документ, отдельным приказом;
  • Как часть другого документа, например, Положения о коммерческой тайне.
Варианты распространения:
  • Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота;
  • Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. 
Варианты контроля:
  • Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений;
  • Контроль подписания обязательств возлагается на кадровые подразделения или руководителей подразделений.
Рекомендации к заполнению карточки:
  • Приложить к карточке шаблон обязательства, подписываемого работниками, или ссылку на содержащий его документ;
  • Добавить шаблон регулярной контрольной задачи на проверку наличия подписанных обязательств, если контроль не осуществляется в рамках иной защитной меры.
Community
2 3 / 45
Введение режима коммерческой тайны (приказом)
Разово Вручную Организационная Удерживающая
16.05.2020
08.05.2022 2 3 / 45
Цель: закрепление обязательств сотрудников организации по выполнению требований информационной безопасности.

В соответствии с Статьей 6.1 98-ФЗ "О коммерческой тайне" режим коммерческой тайны должен устанавливаться, изменяться, отменяться в письменной форме. Допустимо введение режима не самостоятельным приказом, а в рамках утверждения Положения о коммерческой тайне.

Рекомендации к заполнению карточки:
  • Привести ссылку на утвержденный приказ;
  • Описать как организовано доведение приказа до действующих и новых работников, если это не реализовано отдельной защитной мерой
Community
2 1 / 27
Разработка Положения о коммерческой тайне
Разово Вручную Организационная
16.05.2020
08.05.2022 2 1 / 27
Цель: закрепление обязательств сотрудников организации по выполнению требований информационной безопасности.

Положение о коммерческой тайне должно регулировать ключевые требования к режиму коммерческой тайны, установленные 98-ФЗ "О коммерческой тайне". Положение может включать так же:

  1. Перечень информации, составляющей коммерческую тайну, 
  2. Форму Обязательства о конфиденциальности (для работников), 
  3. Форму Соглашения о конфиденциальности (для контрагентов)
  4. Иные документы
Разработка Положения является основой для введения в компании режима коммерческой тайны.

Рекомендации к заполнению карточки:
  • Привести ссылку на утвержденный документ;
  • Создать шаблон регулярной задачи на пересмотр/актуализацию документа