ГОСТ Р ИСО/МЭК 17799—2005
- уничтожение.
При осуществлении вывода данных изсистем, содержащих информацию, которая классифициро
вана какчувствительная или критичная, следует использовать соответствующую метку классификации
(при выводе). В маркировке следует отражать классификацию согласно 5.2.1. Следует маркировать
напечатанные отчеты, экранныеформы, носителиинформации (ленты, диски, компакт-диски, кассеты),
электронные сообщения и передачу файлов.
Физические метки являются, в общем случае, наиболее подходящей формой маркировки. Однако
некоторые информационные активы, такие как документы в электронной форме, физически не могут
быть промаркированы, и поэтому необходимо использовать электронные аналоги маркировки.
6 Вопросы безопасности, связанные с персоналом
6.1 Учет вопросов безопасности в должностных обязанностях и при найме персонала
Цель: минимизациярисковот ошибок,связанныхс человеческим фактором, воровства, мошенни
чества. кражи или неправильного использования средств обработки информации.
Обязанности по соблюдению требований безопасности следует распределять на стадии подбора
персонала, включать в трудовыедоговоры и проводить их мониторинг в течение всего периода работы
сотрудника.
Следует осуществлять соответствующую проверку кандидатов на работу (6.1.2). особенно это
касаетсядолжностей, предполагающихдоступ к важной информации. Все сотрудники и представители
третьей стороны, использующие средства обработки информации организации, должны подписывать
соглашение о конфиденциальности (неразглашении).
6.1.1 Включение вопросов информационной безопасности в должностные обязанности
Функции (роли) и ответственность в области информационной безопасности, как установлено в
политике информационной безопасности организации (3.1). следуетдокументировать. Вдолжностные
инструкцииследуетвключатькакобщие обязанностиповнедрению или соблюдению политикибезопас
ности. так и специфические особенности по защите определенных активов или действий, касающихся
безопасности.
6.1.2 Проверка персонала при найме и соответствующая политика
Проверкисотрудников, принимаемых впостоянныйштат,следуетвыполнять помере подачи заяв
лений о приеме на работу. В них необходимо включать следующее:
- наличие положительных рекомендаций, в частности в отношенииделовых и личных качеств пре
тендента;
- проверка (на предмет полноты и точности) резюме претендента;
- подтверждение заявляемого образования и профессиональных квалификаций;
- независимая проверка подлинностидокументов, удостоверяющихличность (паспорта или заме
няющего его документа).
В случаях, когда новому сотруднику непосредственно после приема на работу или в ее процессе
предстоит доступ к средствам обработки важной информации, например финансовой или совершенно
секретной информации организации, следует выполнить специальную «проверку на доверие». В отно
шении сотрудников, имеющих значительные полномочия, эта проверка должна проводиться
периодически.
Аналогичный процесс проверки следуетосуществлятьдля подрядчиков и временного персонала.
В тех случаях, когда прием сотрудников осуществляется через кадровое агентство, контракт с
агентством должен четко определять обязанности агентства по проверке претендентов и процедурам
уведомления, которым онодолжно следовать, если проверка не была закончена или если результаты
дают основания для сомнения или беспокойства.
Руководству организации следует оценить необходимый уровень наблюдения за новыми и
неопытными сотрудниками, обладающими правом доступа к важным системам. Необходимо внедрить
процедуры по периодическому контролю и утверждениюдействий всех сотрудников со стороны выше
стоящих руководителей.
Руководителям следует учитывать, что личные проблемы сотрудников могут сказываться на их
работе. Личные или финансовые проблемы сотрудников, изменения в их поведении или образе жизни,
периодическая рассеянностьи признаки стресса или депрессии могутбыть причинами мошенничества,
воровства, ошибок или других нарушений безопасности. Эту информацию следует рассматривать в
соответствии с действующим законодательством.
9