Цель: Уменьшить риск ошибок персонала, краж, мошенничества или незаконного использования ресурсов.
Часть 1: Аспекты, связанные с безопасностью, следует учитывать еще на стадии набора персонала, включать их в должностные инструкции и договоры, а также контролировать в течение всего времени работы данного сотрудника. Руководители должны убедиться в том, что в должностных инструкциях отражена вся присущая данной должности ответственность за безопасность. Следует надлежащим образом проверить принимаемых на работу лиц, особенно если они будут работать с критичной информацией. Весь персонал организации и пользователи информационных ресурсов из сторонних организаций должны подписать обязательство о конфиденциальности (неразглашении).
Часть 2: Аудиторы должны проверить должностные инструкции персонала и процедуру отбора кандидатов на должности, связанные с доступом к критически важной информации.
Цель: Убедиться в том, что пользователи осведомлены об угрозах нарушения режима ИБ и понимают значение защиты, а также имеют необходимые навыки для выполнения процедур, необходимых для нормального функционирования системы безопасности организации.
Часть 1: Пользователи должны быть обучены процедурам защиты и правильному обращению с информационными ресурсами. Необходимо также официально, в письменной форме, утвердить разрешенный пользователям доступ (права и ограничения).
Часть 2: Проверка выполнения требований, изложенных в части 1.
Цель: Минимизация ущерба от нарушений режима ИБ и недопущение повторений инцидентов.
Часть 1: О нарушениях режима ИБ необходимо немедленно сообщать по административным каналам. Все сотрудники должны быть ознакомлены с процедурой уведомления о различных типах инцидентов (нарушение безопасности, угроза безопасности или сбой) Они обязаны сообщать обо всех случаях такого рода в соответствующую службу. В организации должна быть установлена формальная процедура наложения дисциплинарных взысканий на сотрудников, которые нарушают режим безопасности.
Часть 2: Аудиторы должны проверить, существует ли четкое определение того, что является нарушением режима ИБ, и знает ли персонал об этом.
|
|
|
|
| Раздел 3. Классификация ресурсов и их контроль | Содержание | Раздел 5. Физическая безопасность |
| Copyright ╘ 1993-2000, Jet Infosystems |