Маркировка информации и обращение с информацией

Средство управления

В соответствии со схемой классификации, принятой организацией, должен быть разработан и реализован соответствующий набор процедур для маркировки информации и обращения с информацией.

Для этого необходимо.

Необходимо, чтобы процедуры для маркировки информации охватывали информационные активы в физических и электронных форматах.

Вывод из систем, содержащих информацию, которая классифицируется как важная или критичная, должен иметь на себе соответствующую классификационную этикетку (на выходе).

Маркирование должно отражать классификацию в зависимости от правил, установленных в 2.1.

Объекты, которые надо принять во внимание, включают:

- напечатанные отчеты,

- экранные устройства отображения,

- записанные носители (флешки, диски, компакт-диски),

- электронные сообщения и передачи файлов.

Для каждого классификационного уровня должны быть определены процедуры обращения, включая защищенную обработку, хранение, передачу, снятие грифов ограничения доступа и уничтожение.

Сюда также следует включить процедуры обеспечения сохранности информации и регистрации любого значимого события в системе защиты.

Соглашения с другими организациями, которые включают совместное использование информации, должны включать процедуры для идентификации классификации этой информации и для интерпретации классификационных этикеток других организаций.

Прочая информация

Маркировка и защищенное обращение с важной информацией является ключевым требованием для мероприятий по совместному использованию информации.

Физические этикетки являются обычной формой маркировки. Тем не менее, некоторые информационные активы, например, документы в электронной форме, не могут быть помечены физически, и должны быть использованы электронные средства маркировки. (Например, уведомляющая маркировка может появляться на экране или на устройстве отображения).

Если маркировка не осуществима, то можно применить другие средства определения классификации, например, посредством процедур или метаданных.

 

29. Процедури, що направлені на захист інформації, при прийомі працівників на роботу. (Защита человеческих ресурсов. Перед началом работы по найму) [27001-4 А 8].

Перед началом работы по найму

Цель: Обеспечить, чтобы служащие, подрядчики и пользователи третьей стороны понимали свои обязанности и подходили для ролей, на которые они рассматриваются, а также снизить риск кражи, мошенничества или неправильного использования средств.

 

Перед началом работы по найму следует рассмотреть обязанности по защите в соответствующих должностных инструкциях и в условиях работы по найму.

Все кандидаты в служащие, в субподрядчики и в пользователи третьей стороны должны адекватно отбираться, особенно для важных работ.

Служащие, подрядчики и сторонние пользователи средств обработки информации должны подписать соглашение об своих ролях и обязанностях в области защиты.

 

Реализация цели.

 

Роли и обязанности

Средство управления

Роли и обязанности служащих, подрядчиков и пользователей третьей стороны в области защиты должны быть определены и документально подтверждены в соответствии с организационной политикой в области защиты информации.

Для этого необходимо.

Роли и обязанности в области защиты должны включать в себя требование выполнять следующее:

a) реализовывать и действовать в соответствии с организационной политикой в области защиты (см. 5.1);

b) защищать активы от неразрешенного доступа, раскрытия, изменения, разрушения или помех;

c) выполнять конкретные процессы или виды деятельности в области защиты;

d) обеспечивать, чтобы была назначена ответственность лицам за предпринятые действия;

e) сообщать о событиях или возможных событиях в системе защиты или других рисков для защиты в организацию.

Роли и обязанности в области защиты должны быть определены и четко сообщены кандидатам на работу в ходе процесса, предшествующего приему на работу по найму.

ПРИМЕР. Работа с кандидатом на должность:

– предупреждается об ограничениях в связи с работой с документами и изделиями;

- ознакамливается с обязанностями и тем, что запрещается;

- берется подписка о неразглашении;

- инструктируется на рабочем месте непосредственным начальником, доводится должностная инструкция (1 экз. с подписью – в ОК (сл. безоп.); 2 экз. – на руки)

В должностной инстр. – опять же права, обязан. И что запрещ.

 

Прочая информация

Для того чтобы документально подтвердить роли и обязанности в области защиты, могут быть использованы должностные инструкции. Роли и обязанности в области защиты для лиц, не нанятых через организационный процесс приема на работу по найму, например, нанятых через организацию третьей стороны, также должно быть четко определены и сообщены.

 

30. Процедури, що направлені на захист інформації, під час виконання працівниками своїх посадових обов’язків. (Защита человеческих ресурсов. Во время работы по найму) [27001-4 А 8].

Должны быть определены обязанности руководства для того, чтобы обеспечить применение защиты во всей работе лиц по найму в организации.

Для того чтобы минимизировать возможные риски для защиты, всем служащим, подрядчикам и пользователям третьей стороны должны быть предоставлены адекватный уровень осведомленности, образования и подготовки по процедурам в области защиты и по правильному использованию средств обработки информации.

Должен быть создан официальный дисциплинарный процесс для обращения с нарушениями в системе защиты.

Обязанности руководства

Средство управления

Руководство должно требовать от служащих, подрядчиков и пользователей третьей стороны применять защиту в соответствии с установленными политикой и процедурами организации.

Для этого необходимо.

Обязанности руководства должны включать обеспечение того, чтобы служащие, подрядчики и пользователи третьей стороны были таковы:

a) правильно проинструктированы по их ролям и обязанностям в области защиты перед предоставлением доступа к важной информации или информационными системам;

b) обеспечены руководящими указаниями, с целью указать ожидания в области ащиты от их роли в организации;

c) мотивированы, чтобы выполнять политику организации в области защиты;

d) достигли уровня осведомленности в области защиты, соответствующего их ролям и обязанностям в организации (см. также 8.2.2);

e) соответствовали условиям работы по найму, которые включают политику организации в области защиты информации и соответствующие методы работы;

f) продолжали обладать соответствующими навыками и квалификацией.

Прочая информация

Если служащие, подрядчики и пользователи третьей стороны не были осведомлены о своих обязанностях в области защиты, то они могут причинить значительный ущерб организации.

Мотивированный персонал, скорее всего, будет более надежным и вызовет меньше инцидентов в системе защиты информации.

Плохое руководство может заставить персонал чувствовать себя недооцененным, что в результате приведет к негативному влиянию на защиту в организации.

Например, плохое руководство может привести к тому, что защитой будут пренебрегать, или к возможному неправильному использованию активов организации.

 

31. Процедури, що направлені на захист інформації, у разі припинення або зміни місця роботи працівником. (Защита человеческих ресурсов. Прекращение или перемена места работы по найму) [27001-4 А 8].