ГОСТ Р МЭК 62443-2-1—2015
например, в отношении финансовой, криминальной деятельности или деятельности, связанной с наркотиками.
Из-за большого количества секретной информации о производственной деятельности и возможных рисков, свя
занных с охраной труда, техникой безопасности и охраной окружающей среды, в некоторых IACS может возникнуть
необходимость в проверке широкой группы работников, которые имеют доступ к 1ACS. Производственные работ
ники могут проходить проверку биографии на том же уровне, что и обычные администраторы IT-системы. Терми ны
«отбор» и «проверка биографии» намеренно оставлены без пояснений, чтобы организация могла определить
уровень проверки персонала. Термин «должности, связанные с секретностью» также должен быть определен ор
ганизацией. поскольку подразумевается, что некоторые должности могут оказывать незначительное или нулевое
воздействие на безопасность системы.
Во время найма в условиях трудоустройства должны быть четко указаны обязанности работника в отно
шении кибербезопасности. Эти обязанности должны действовать в течение разумного периода времени после
прекращения трудоустройства. При найме подрядчиков или работе со сторонним персоналом их обязанности по
безопасности должны быть документированы и включены во все соглашения. По возможности обязанности долж ны
быть четко установленными.
Персонал должен быть осведомлен об ожиданиях организации в отношении безопасности и своих обязан
ностей посредством четко документированных положений, передаваемых организацией. Персоналу необходимо
принять на себя взаимную ответственность для обеспечения безопасной и надежной работы организации. Ор
ганизации могут рассмотреть возможность подписания соглашения о конфиденциальности или неразглашении
всем персоналом объектов по обработке информации. Любые соглашения о конфиденциальности должны быть
рассмотрены и подписаны работниками при найме. Сторонние подрядчики и временный персонал, не включенные в
официальное соглашение о неразглашении, также должны подписать соглашение о конфиденциальности перед
началом работы.
Организации должны создавать должностные инструкции на основе разделения обязанностей дпя обеспече
ния того, чтобы доступ к информации осуществлялся исключительно для выполнения должностных обязанностей,
а дпя выполнения высокорискованных операций требовалось больше одного человека. Эти обязанности должны
быть разделены между персоналом для проведения соответствующих проверок и соблюдения баланса, чтобы ни
у одного лица не было полного контроля над действиями, которые меняют работу 1ACS. Роли и обязанности по
безопасности для конкретной должности должны периодически анализироваться и пересматриваться для соответ
ствия меняющимся потребностям компании.
Весь персонал должен следить заситуациями, которые могут привести к инцидентам сбезопасностью. Ком
паниям необходимо обучить руководство, чтобы оно контролировало поведение персонала, которое может при
вести ккражам, мошенничеству, ошибкам или сложностям с безопасностью. Необходимо установить дисциплинар
ную процедуру за нарушение кибербезопасности довести ее до сведения персоналу. Она должна быть привязана к
законным или карательным мерам против таких преступлений встране.
А.3.3.2.3 Вспомогательные методы
А.3.3.2.3.1 Основные методы
Косновным методам относятся следующие действия:
a) проверка персонала при найме, например, проверка биографии перед наймом или переводом на работу,
связанную с секретностью, особенно, дпя должностей, связанных с секретностью:
b
) проверка персонала, в первую очередь занимающего должности, связанные с секретностью, на регуляр
ной основе для выявления финансовых проблем, криминальной деятельности или проблем с наркотиками:
c) предоставление информации об условиях найма или контракта всему персоналу с указанием личной от
ветственности за кибербезопасность;
d) документирование и предоставление информации об ожиданиях организации по безопасности иобязан
ностях персонала на регулярной основе;
e) принятие персоналом взаимной ответственности за обеспечение безопасной и надежной работы
организации;
f) разделение обязанностей среди персонала для выполнения соответствующих проверок и поддержания
баланса;
д) подписание всем персоналом соглашения о конфиденциальности или неразглашении;
h) установление процедуры дисциплинарного воздействия для персонала, нарушившего политику организа
ции по безопасности.
А.3.3.2.3.2 Дополнительные методы
Кдополнительным методам относятся следующиедействия:
a) распределение должностных функций на основе разделения обязанностей для обеспечения доступа к
информации только дпя выполнения должностных обязанностей и необходимости в участии нескольких лиц дпя
завершения высокорискованных операций;
b
)документирование обязанностей по безопасности и включение их вдолжностные инструкции, контракты и
другие соглашения с третьими сторонами.
А.3.3.2.4 Использованные ресурсы
Данный элемент основан на материалах [2]. [23]. [26]. [30]. [43].
67