Соглашения о конфиденциальности

Средство управления

Должны выявляться и регулярно анализироваться соглашения о требованиях конфиденциальности или о неразглашении, отражающие потребности организации в защите информации.

Соглашения о конфиденциальности или о неразглашении должны учитывать требование защитить конфиденциальную информацию, используя законно осуществимые условия.

Для того чтобы определить соглашения о требованиях конфиденциальности или о неразглашении, необходимо принять решение по следующим вопросам:

a) определить информацию, которую нужно защищать (например, конфиденциальная информация);

b) ожидаемая продолжительность соглашения, включая случаи, когда может оказаться, что конфиденциальность необходимо поддерживать неограниченно долго;

c) необходимые действия при расторжении соглашения;

d) обязанности и действия подписавших сторон, с целью избежать неразрешенного раскрытия информации (например, «принцип необходимого знания»);

e) собственность на информацию, секреты производства и интеллектуальная собственность, и как это связано с защитой конфиденциальной информации;

f) разрешенное использование конфиденциальной информации, и права подписавшей стороны использовать информацию;

g) право проверять и постоянно контролировать деятельность, которая вовлекает конфиденциальную информацию;

h) процесс для извещения и составления отчета о несанкционированном раскрытии или о несанкционированном доступе к конфиденциальной информации;

i) условия возвращения информации или уничтожения информации при прекращении действия соглашения;

j) ожидаемые действия, которые нужно предпринять в случае нарушения этого соглашения.

В соглашении о конфиденциальности или неразглашении могут понадобиться другие элементы, основанные на организационных требованиях защиты.

Соглашения о конфиденциальности или о неразглашении должны подчиняться всем применимым законам и нормам юрисдикции, к которой они применяются (см. также 15.1.1).

Соглашения о требованиях конфиденциальности или о неразглашении должны анализироваться периодически и при возникновении изменений, которые влияют на эти требования.

Прочая информация

Соглашения о конфиденциальности или о неразглашении защищают организационную информацию и извещают подписавшие стороны об их ответственности, с целью защищать, использовать и раскрывать информацию ответственным и разрешенным способом.

При разных обстоятельствах, организация может иметь потребность в использовании различных форм соглашений о конфиденциальности или о неразглашении.

 

25. Порядок дій служби захисту інформації при контактах з правоохоронними органами та зі спеціалістами з питань захисту інформації (Контакти з органами та спеціальними групами) [27001-2 А 6].

Контакты с органами

Средство управления

Должны поддерживаться надлежащие контакты с соответствующими органами.

Организации должны иметь в рабочем состоянии процедуры, которые точно определяют, когда и кому надлежит вступать в контакт с органами (например, правоохранительные органы, пожарное отделение, органы надзора), и то, как следует своевременно сообщить о выявленных инцидентах в системе защиты информации, если есть подозрение, что закон мог быть нарушен.

Организациям, атакуемым из Интернета, может понадобиться, чтобы внешние третьи стороны (например, поставщик услуг Интернета или оператор связи) предприняли меры против источника атаки.

(Команда реагування на комп`ютерні надзвичайні події України (CERT-UA)) www.cert.gov.ua

CERT-UA є скороченою назвою від Computer Emergency Response Team of Ukraine (команда реагування на комп'ютерні надзвичайні події України), яку використовує Державний центр захисту інформаційних ресурсів Державної служби спеціального зв'язку та захисту інформації України під час здійснення міжнародного співробітництва з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.

Завданням Держспецзв’язку та CERT-UA є координація діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності (далі – суб'єкти координації) з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.