ГОСТР ИСО/МЭКТО 13335-4—2007
мостидеятельности при инциденте должна быть разработана схема передачи отчетов и места их приема в
организации.
2 Отчет о слабых местах при обеспечении безопасности
Если пользователи замечают какие-либо недостатки, имеющие отношение кобеспечению безопасно
сти. то они обязаны как можно быстрее доложить об этом ответственному лицу.
3 Отчет о нарушениях в работе программного обеспечения
Если пользователи замечают какие-либо нарушения в работе программногообеспечения, связанного
с безопасностью, то они обязаны как можно быстрее доложить об этом ответственному лицу.
4 Управление в случае возникновения инцидента
Процесс управления должен обеспечивать безопасность от инцидентов, их обнаружение, оповеще
ние и соответствующую реакцию на инцидент. Организациядолжна проводитьсбор и оценку информации
об инцидентах во избежание их повторного возникновения, а такжедля сокращения ущерба.
8.1.4 Персонал
Защитные меры вэтой категориидолжны снижать риски безопасности в результатеошибокили пред
намеренногоили непреднамеренного нарушения правил безопасности персоналом (штатным или нанятым
по контракту). Кэтой категории относятся следующие защитные меры:
1 Защитные меры для штатного или временного персонала
Все сотрудникидолжны пониматьсвою роль и обязанности относительно безопасности. Организация
должна определить и документировать процедуры, касающиеся безопасности, которые должны соблю
даться персоналом. При найме персонала на работу он должен подлежать проверке и. в случае необходи
мости. с персоналом должно быть подписано соглашение о соблюдении правил конфиденциальности.
2 Защитные меры для персонала, нанятого по контракту
Организациядолжна контролировать персонал, работающий по контракту (например уборщицы или
технический персонал), а также любогодругого посетителя. Персонал, нанятый по контракту надлительное
время, должен подписать обязательство о соблюдении правил конфиденциальности, прежде чем он полу
читдоступ (физически или логически) к системам ИТорганизации.
3 Обучение и осведомленность о мерах безопасности
С персоналом, который использует, разрабатывает, поддерживает в рабочем состоянии и имеетдос
туп к оборудованию ИТ. должен регулярно проводиться инструктаж по вопросам обеспечения безопаснос
ти. Персонал должен обеспечиваться соответствующими материалами. Это позволяет обеспечить осве
домленность персонала о важности коммерческой информации, соответствующих угрозах, уязвимостях
и риске и. следовательно, понимание необходимости защитных мер. Организация должна обучать
пользова телей правильному использованию средств ИТ во избежание ошибок. Для ответственного
персонала, на пример специалистов по безопасности ИТ, администраторов, отвечающих за обеспечение
безопасности, может потребоваться специальноеобучение.
4 Процесс обеспечения исполнительскойдисциплины
Персонал организации должен понимать последствия (намеренного или непреднамеренного) нару
шения политики обеспечения безопасности ИТорганизации или соглашения о соблюдении конфиденциаль
ности.
8.1.5 Эксплуатационные вопросы
Целью защитных мер этой категории является поддержание в рабочем состоянии процедур по обес
печению безопасности, правильного и надежного функционирования оборудования ИТ и связанных с ним
систем. Большинство из этих защитных мер могут быть реализованы путем внедрения организационных
процедур. Эксплуатационные защитные меры должны бытьсовмещены с другими видами защиты, напри
мер физической и технической. Кэтой категории относятся следующие защитные меры:
1 Управление конфигурацией и изменениями
Управление конфигурацией является процессом отслеживания изменений в системах ИТ. При этом
главная задача обеспечения безопасности организации включает в себя обеспечение эффективности за
щитных мер и совокупной безопасности при изменениях в системах ИТ. Управление изменениями может
способствовать идентификации новых форм применения защитных мер пообеспечению безопасности при
изменениях в системах ИТ.
10