ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности
8.1 Перед трудоустройством
_______________
Пояснение: Под словом "трудоустройство" здесь понимается охват всех следующих отличающихся друг от друга ситуаций: трудоустройство людей (временное или постоянное), указание должностных функций (ролей), изменение должностных функций, определение срока действия договоров и прекращение любой из этих договоренностей.
Цель: Обеспечить уверенность в том, что сотрудники, подрядчики и представители третьей стороны осознают свои обязанности и способны выполнять предусмотренные для них роли, и снизить риск хищения, мошенничества или нецелевого использования средств обработки информации. Обязанности, связанные с обеспечением безопасности, следует оговаривать перед трудоустройством в соответствующих должностных инструкциях и условиями работы. Необходима соответствующая проверка всех кандидатов на должность, подрядчиков и представителей третьей стороны, особенно если работа связана с секретностью. Сотрудники, подрядчики и представители третьей стороны, использующие средства обработки информации организации, должны подписывать соглашение в отношении их ролей и обязанностей в области безопасности. |
8.1.1 Роли и обязанности
Мера и средство контроля и управления
Роли и обязанности в области безопасности сотрудников, подрядчиков и представителей третьей стороны необходимо определять и оформлять документально в соответствии с политикой информационной безопасности организации.
Рекомендация по реализации
Роли и обязанности в области безопасности должны включать в себя требования в отношении:
a) реализации и действия в соответствии с политиками информационной безопасности организации (см. 5.1);
b) защиты активов от несанкционированного доступа, разглашения сведений, модификации, разрушений или вмешательства;
c) выполнения определенных процессов или деятельности, связанных с безопасностью;
d) обеспечения уверенности в том, что на индивидуума возлагается ответственность за предпринимаемые действия;
e) информирования о событиях или потенциальных событиях, связанных с безопасностью, или других рисках безопасности для организации.
Роли и обязанности в области безопасности должны быть определены и доведены до претендентов на работу до их трудоустройства.
Дополнительная информация
Для документального оформления ролей и обязанностей в области безопасности могут использоваться должностные инструкции. Роли и обязанности в области безопасности лиц, поступивших на работу не через процесс трудоустройства, принятый в организации, а, например с помощью сторонней организации, должны быть также четко определены и доведены до сведения.
8.1.2 Предварительная проверка
Мера и средство контроля и управления
Тщательная проверка всех кандидатов на постоянную работу, подрядчиков и представителей третьей стороны должна проводиться согласно соответствующим законам, инструкциям и правилам этики, пропорционально требованиям бизнеса, классификации информации, к которой будет осуществляться доступ, и предполагаемым рискам.
Рекомендация по реализации
При проверке следует учитывать конфиденциальность, защиту персональных данных и (или) трудовое законодательство. Такая проверка должна включать следующие элементы:
a) наличие положительных рекомендаций, в частности, в отношении деловых и личных качеств претендента;
b) проверку (на предмет полноты и точности) биографии претендента;
c) подтверждение заявленного образования и профессиональной квалификации;
d) независимую проверку подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа);
e) более детальную проверку, например кредитоспособности или на наличие судимости.
В случаях, когда новому сотруднику непосредственно после приема на работу или в дальнейшем предоставляется доступ к средствам обработки информации, в частности, обрабатывающим чувствительную информацию, например финансовую или секретную информацию, организации следует проводить дополнительную, более детальную проверку.