Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Невозможность привлечения работника к ответственности за нарушение информационной безопасности

Невозможность привлечения работника к ответственности из-за отсутствия юридических оснований. Например отсутствия локальных актов, подписи работника об ознакомлении с локальными актами.
Объекты атаки
Классификация
STRIDE: Отрицание ? Отрицание / Repudiation
Сознательный отказ пользователей от действий, которые они совершили. Примером может служить использование работником своего служебного положения и легального доступа к информационным активам для совершения незаконных, мошеннических действий. Защищаемое свойство – неотказуемость.
Иное: Право ? Правовые, юридические угрозы / Legal threats
Угроза которая возникает из-за нарушения или несоблюдения требований законов, нормативно-правовых актов, соглашений, принятой практики или этических норм, а также из-за возможности двусмысленного толкования установленных законов или правил.
Источники угрозы
Внутрений нарушитель - Низкий потенциал ? Внутрений нарушитель
Под внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, не смотря на то, что они могут выполнять инструкции лиц, находящихся вне информационной системы.

Каталоги угроз

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия соглашений (обязательств) о конфиденциальности у работника
Право Отрицание
Невозможность привлечения работника к ответственности за нарушение информационной безопасности
Право Отрицание
Отсутствие соглашений (обязательств) о конфиденциальности Работник 1
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия регламентированных обязанностей в ответственном за организацию обработки персональных данных
Право Отрицание
Невозможность привлечения работника к ответственности за нарушение информационной безопасности
Право Отрицание
Отсутствие регламентированных обязанностей Ответственный за организацию обработки персональных данных
Невозможность привлечения работника к ответственности за нарушение информационной безопасности из-за отсутствия установленного режима коммерческой тайны в юридической структуре
Право Отрицание
Невозможность привлечения работника к ответственности за нарушение информационной безопасности
Право Отрицание
Отсутствие установленного режима коммерческой тайны Юридическая структура 3