Взаимосвязь объектов и субъектов информационной безопасности

Раздел «Взаимосвязь объектов и субъектов информационной безопасности (уровень КИБ)». В данном разделе устанавливают правила допуска сотрудников компании к информации, определяется соответствие между защищаемой информацией и правами подразделений на допуск к ней.

Определяются правила установления персональной ответственности сотрудников за соблюдение режима ИБ. Персональная ответственность сотрудников компании за соблюдение требований по обеспечению безопасности информации строится на основе установления специального порядка доступа сотрудников к конфиденциальной и другой защищаемой информации, отражения вопросов ответственности в трудовых договорах (контрактах) или специальных соглашениях с сотрудниками, включая, при необходимости, принятие ими на себя обязанностей по нераспространению конфиденциальной информации и после увольнения из компании.

Раздел «Взаимосвязь объектов и субъектов информационной безопасности (уровень ПИБ)». В данном разделе отражаются вопросы по обеспечению правил безопасности при доступе субъектов ИБ к объектам ИБ. В первую очередь, в данном разделе регламентируются требования к персоналу компании, поскольку именно он зачастую становится источником инцидентов, связанных с нарушением режима защиты информации:

1. Включение в должностные обязанности каждого сотрудника задач по обеспечению информационной безопасности. Важно обеспечить на практике (а не на словах) строгое выполнение всеми сотрудниками своих обязанностей по отношению к безопасности информации. Халатное отношение к этим вопросам (так называемый человеческий фактор) может свести на нет все вложения в эту область и обречь на неудачу все попытки обеспечить безопасность компании. Учет человеческого фактора — это ключ к надежной защите информационных ресурсов.


2. Самостоятельная комплексная проверка силами отдела безопасности компании личности принимаемого на работу, его рекомендаций, указанных в резюме сведений и т.д. Важно соблюдать такую процедуру комплексной проверки не только для сотрудников, которые будут работать напрямую с секретной или конфиденциальной информацией (такие сотрудники обычно тщательно проверяются), но и для персонала, который может косвенно (или случайно) иметь дело с критичной для компании информацией.


3. Соглашение о конфиденциальности, запрещающее сотруднику разглашать информацию, начиная с определенного уровня (грифа) секретности. В подобном юридически проработанном соглашении необходимо учесть степень ответственности за его невыполнение сотрудником компании, а также период действия соглашения, в том числе и после увольнения сотрудника. В соответствии со стандартом, при приеме на работу новых сотрудников необходимо, чтобы они ознакомились и подписали:
   
   • письменную формулировку их должностных обязанностей;
   • письменную формулировку прав доступа к ресурсам компании (в том числе и информационным);
   • соглашение о конфиденциальности;
   • специальные соглашения о перлюстрации всех видов служебной корреспонденции (мониторинг сетевых данных, телефонных переговоров, факсов и т.д.).


4. Правила тренинга. Необходимо наладить процесс постоянного повышения уровня технической грамотности и информированности пользователей в области ИБ. Для этого требуется регулярное проведение тренингов по общим правилам информационной защиты. Этим будет достигнуто постоянное напоминание пользователям основных правил и требований компании по обеспечению информационной безопасности. Особенно важно проводить подобные тренинги для новых сотрудников и в случае внесения в информационную систему каких-либо изменений (замена технологий, прикладных автоматизированных систем, оборудования, ОС, ключевых приложений, принятие новых правил или инструкций и т.д.)