ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности
8.3 Прекращение или смена занятости
Цель: Обеспечить уверенность в том, что сотрудники, подрядчики и представители третьей стороны покидают организацию или меняют занятость должным образом. Администрация обязана обеспечить уверенность в том, что при увольнении сотрудников, подрядчиков и представителей третьей стороны из организации, осуществляется возврат всего оборудования, а также выполняется аннулирование всех прав доступа. Изменения обязанностей и занятости, равно как и прекращение соответствующей обязанности и занятости в рамках организации должно управляться в соответствии с данным подразделом, а любая новая занятость должна управляться, как описано в 8.1. |
8.3.1 Прекращение обязанностей
Мера и средство контроля и управления
Обязанности в отношении прекращения занятости или смены занятости должны быть четко определены и установлены.
Рекомендация по реализации
Информирование о прекращении обязанностей должно включать в себя актуальные требования безопасности и правовую ответственность, и, при необходимости, обязанности, содержащиеся в соглашении о конфиденциальности (см. 6.1.5), а также условия занятости (см. 8.1.3), продолжающие действовать в течение определенного периода времени после прекращения занятости сотрудников, подрядчиков или представителей третьей стороны.
Ответственность и служебные обязанности, продолжающие оставаться действительными после прекращения занятости, должны содержаться в договорах с сотрудниками, подрядчиками или представителями третьей стороны.
Изменения обязанности и занятости должны управляться так же, как и прекращение соответствующей обязанности или занятости, а управление новой обязанностью или занятостью должно осуществляться так, как это описано в 8.1.
Дополнительная информация
Отдел кадров, как правило, отвечает за общий процесс прекращения занятости и действует совместно с руководителем увольняемого лица, чтобы обеспечить управление аспектами безопасности значимых процедур. В отношении подрядчика данный процесс может быть осуществлен агентством, несущим ответственность за подрядчика, а в отношении представителя третьей стороны - его организацией.
Сотрудников, клиентов, подрядчиков или представителей третьей стороны необходимо информировать об изменениях кадрового состава и действующих договоренностей.
8.3.2 Возврат активов
Мера и средство контроля и управления
Все сотрудники, подрядчики и представители третьей стороны обязаны вернуть организации все активы, находящиеся в их пользовании, при прекращении их занятости, договора или соглашения.
Рекомендация по реализации
Процесс прекращения занятости должен быть формализован таким образом, чтобы включать в себя возврат всего ранее выданного программного обеспечения, корпоративных документов и оборудования. Необходимо возвращать также другие активы организации, например мобильную вычислительную технику, кредитные карты, карты доступа, программное обеспечение, руководства и информацию, хранящуюся на электронных носителях.
В тех случаях, когда сотрудник, подрядчик или представитель третьей стороны покупает оборудование организации или использует свое собственное оборудование, необходимо следовать процедурам, обеспечивающим уверенность в том, что вся значимая информация была передана организации и удалена из оборудования безопасным образом (см. 10.7.1).
В случаях, когда сотрудник, подрядчик или представитель третьей стороны располагает знаниями, важными для продолжающихся работ, такую информацию следует оформлять документально и передавать организации.
8.3.3 Аннулирование прав доступа
Мера и средство контроля и управления
Права доступа всех служащих, подрядчиков и представителей третьей стороны к информации и средствам обработки информации должны быть аннулированы при прекращении занятости, договора или соглашения, или скорректированы при смене занятости.
Рекомендация по реализации
При прекращении занятости, права доступа к активам, связанным с информационными системами, и услугам необходимо пересматривать. Это позволит определять, нужно ли аннулировать права доступа. Смена занятости должна сопровождаться аннулированием всех прав доступа, которые не санкционированы для новой занятости. Права доступа, которые должны быть аннулированы или адаптированы, касаются физического и логического доступа, ключей, идентификационных карт, средств обработки информации (см. также 11.2.4), подписок и удаления из любой документации, в которой они идентифицируются как фактические сотрудники организации. Если увольняемый сотрудник, подрядчик или представитель третьей стороны знал пароли к учетным записям, остающимся активными, то эти пароли должны быть изменены после прекращения занятости, договора или соглашения, или при смене занятости.
Права доступа к информационным активам и средствам обработки информации следует уменьшать или аннулировать до прекращения занятости или смены места занятости, в зависимости от оценки факторов риска, например:
a) было ли прекращение занятости или смена места занятости инициированы сотрудником, подрядчиком или представителем третьей стороны, или руководством, и причина прекращения занятости;
b) текущие обязанности сотрудника, подрядчика или любого другого представителя;