Цель: минимизация рисков от ошибок, связанных с человеческим фактором, воровства, мошенничества, кражи или неправильного использования средств обработки информации.
Обязанности по соблюдению требований безопасности следует распределять на стадии подбора персонала, включать в трудовые договоры и проводить их мониторинг в течение всего периода работы сотрудника.
Следует осуществлять соответствующую проверку кандидатов на работу (6.1.2), особенно это касается должностей, предполагающих доступ к важной информации. Все сотрудники и представители третьей стороны, использующие средства обработки информации организации, должны подписывать соглашение о конфиденциальности (неразглашении).
6.1.1 Включение вопросов информационной безопасности в должностные обязанности
Функции (роли) и ответственность в области информационной безопасности, как установлено в политике информационной безопасности организации (3.1), следует документировать. В должностные инструкции следует включать как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.
6.1.2 Проверка персонала при найме и соответствующая политика
Проверки сотрудников, принимаемых в постоянный штат, следует выполнять по мере подачи заявлений о приеме на работу. В них необходимо включать следующее:
- наличие положительных рекомендаций, в частности в отношении деловых и личных качеств претендента;
- проверка (на предмет полноты и точности) резюме претендента;
- подтверждение заявляемого образования и профессиональных квалификаций;
- независимая проверка подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа).
В случаях, когда новому сотруднику непосредственно после приема на работу или в ее процессе предстоит доступ к средствам обработки важной информации, например финансовой или совершенно секретной информации организации, следует выполнить специальную "проверку на доверие". В отношении сотрудников, имеющих значительные полномочия, эта проверка должна проводиться периодически.
Аналогичный процесс проверки следует осуществлять для подрядчиков и временного персонала. В тех случаях, когда прием сотрудников осуществляется через кадровое агентство, контракт с агентством должен четко определять обязанности агентства по проверке претендентов и процедурам уведомления, которым оно должно следовать, если проверка не была закончена или если результаты дают основания для сомнения или беспокойства.
Руководству организации следует оценить необходимый уровень наблюдения за новыми и неопытными сотрудниками, обладающими правом доступа к важным системам. Необходимо внедрить процедуры по периодическому контролю и утверждению действий всех сотрудников со стороны вышестоящих руководителей.
Руководителям следует учитывать, что личные проблемы сотрудников могут сказываться на их работе. Личные или финансовые проблемы сотрудников, изменения в их поведении или образе жизни, периодическая рассеянность и признаки стресса или депрессии могут быть причинами мошенничества, воровства, ошибок или других нарушений безопасности. Эту информацию следует рассматривать в соответствии с действующим законодательством.
6.1.3 Соглашения о конфиденциальности
Соглашения о конфиденциальности или соглашения о неразглашении используются для уведомления сотрудников о том, что информация является конфиденциальной или секретной. Сотрудники обычно должны подписывать такое соглашение как неотъемлемую часть условий трудового договора.
Временные сотрудники и представители третьих сторон, не попадающие под стандартный трудовой договор (содержащий соглашение о соблюдении конфиденциальности), должны подписывать отдельно соглашение о соблюдении конфиденциальности до того, как им будет предоставлен доступ к средствам обработки информации.
Соглашения о соблюдении конфиденциальности следует пересматривать при изменении условий трудового договора, особенно в случае изменения обязанностей сотрудника или истечении сроков трудовых договоров.
6.1.4 Условия трудового соглашения
Условия трудового договора должны определять ответственность служащего в отношении информационной безопасности. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы. Необходимо указать меры дисциплинарного воздействия, которые будут применимы в случае нарушения сотрудником требований безопасности.
Ответственность и права сотрудников, вытекающие из действующего законодательства, например в части законов об авторском праве или законодательства о защите персональных данных, должны быть разъяснены персоналу и включены в условия трудового договора. Также должна быть указана ответственность в отношении категорирования и управления данными организации-работодателя. Всякий раз, при необходимости, в условиях трудового договора следует указывать, что эта ответственность распространяется и на работу вне помещений организации, и внерабочее время, например, в случае исполнения работы на дому (7.2.5 и 9.8.1).