5.1.2. Необходимость ознакомления сотрудников с требованиями информационной безопасности обусловлена тем, что в процессе защиты информации от различного вида угроз значительное место занимает персонал Общества, который может стать как объектом, так и субъектом таких угроз. Этот процесс предполагает проведение превентивных и текущих мер, направленных на работу с персоналом. Важность работы с персоналом определяется тем, что в случае преднамеренных действий сотрудника по нарушению политики информационной безопасности (нарушение доступности, целостности и конфиденциальности информационных ресурсов Общества), средства защиты информации снижают вероятность рисков нарушения информационной безопасности, но не гарантируют полной защиты от преднамеренных действий сотрудника Общества.
Незнание сотрудниками мер информационной безопасности ведет к их несоблюдению и непреднамеренному нарушению информационной безопасности, что может привести к значительным финансовым потерям Общества.
Доступ к КИС Общества предоставляется сотрудникам Общества (а при необходимости и сторонним пользователям) только после ознакомления с политикой информационной безопасности Общества, организационно-распорядительной документацией по ИБ систем, к которым предоставляется доступ.
В Обществе необходимость ознакомления сотрудников с документами по информационной безопасности установлена требованиями Концепции информационной безопасности [6.1]
5.1.3. Настоящая документированная процедура решает задачи:
- ознакомления сотрудников Общества с процедурами, установленными утвержденной организационно-распорядительной документацией Общества, связанными с обеспечением безопасности информации, и корректными методами работы со средствами обработки информации;
- доведения до сотрудников Общества и разъяснение им положений нормативных документов по вопросам информационной безопасности;
- доведения до сотрудников Общества и разъяснение им признаков непреднамеренного или преднамеренного несанкционированного доступа к конфиденциальной информации и информации, составляющей коммерческую тайну, доведение до сотрудников и разъяснение им действий в случае обнаружения данных фактов.
5.1.4. Настоящая документированная процедура определяет принципы и подходы к формированию перечня документов по ИБ для ознакомления.
В Перечень должны входить следующие документы:
- Перечень конфиденциальной информации и информации, составляющей коммерческую тайну Общества;
- нормативные документы Общества, определяющие порядок обращения с конфиденциальной информацией и информацией, составляющей коммерческую тайну;
- нормативные документы Общества, определяющие порядок отнесения информации к конфиденциальной информации и информации, составляющей коммерческую тайну;
- документы, определяющие требования по обеспечению информационной безопасности при работе в КИС Общества и обязанности пользователей по их выполнению.
Также в Перечень могут быть включены иные документы, относящиеся к области обеспечения безопасности, требующие ознакомления сотрудников.
В Перечне для каждого документа должны быть указаны следующие параметры:
5.1.4.1. номер документа в перечне;
5.1.4.2. название документа;
5.1.4.3. дата приказа по вводу в действие документа;
5.1.4.4. № приказа по вводу в действие документа;
5.1.4.5. область действия документа – подразделения Общества, на которые распространяется действие документа (филиал, ГД, Общество);
5.1.4.6. целевая аудитория (категории сотрудников, для которых предназначен документ):
- руководители (от руководителей групп, секторов и выше);
- сотрудники Общества (пользователи КИС);
- администраторы КИС, систем ИБ;
5.1.4.7. ИС – указание либо «все», либо названия конкретной ИС, для пользователей которой утвержден данный документ;
5.1.4.8. размещение документа (на каком внутрикорпоративном электронном ресурсе данный документ расположен во время штатной работы сотрудника - путь и имя файла/каталога);
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.