ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

- копирование;

- хранение;

- передачу по почте, факсом и электронной почтой;

- передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;

- уничтожение.

При осуществлении вывода данных из систем, содержащих информацию, которая классифицирована как чувствительная или критичная, следует использовать соответствующую метку классификации (при выводе). В маркировке следует отражать классификацию согласно 5.2.1. Следует маркировать напечатанные отчеты, экранные формы, носители информации (ленты, диски, компакт-диски, кассеты), электронные сообщения и передачу файлов.

Физические метки являются, в общем случае, наиболее подходящей формой маркировки. Однако некоторые информационные активы, такие как документы в электронной форме, физически не могут быть промаркированы, и поэтому необходимо использовать электронные аналоги маркировки.

6 Вопросы безопасности, связанные с персоналом

6.1 Учет вопросов безопасности в должностных обязанностях и при найме персонала

Цель: минимизация рисков от ошибок, связанных с человеческим фактором, воровства, мошенничества, кражи или неправильного использования средств обработки информации.

Обязанности по соблюдению требований безопасности следует распределять на стадии подбора персонала, включать в трудовые договоры и проводить их мониторинг в течение всего периода работы сотрудника.

Следует осуществлять соответствующую проверку кандидатов на работу (6.1.2), особенно это касается должностей, предполагающих доступ к важной информации. Все сотрудники и представители третьей стороны, использующие средства обработки информации организации, должны подписывать соглашение о конфиденциальности (неразглашении).

6.1.1 Включение вопросов информационной безопасности в должностные обязанности

Функции (роли) и ответственность в области информационной безопасности, как установлено в политике информационной безопасности организации (3.1), следует документировать. В должностные инструкции следует включать как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.

6.1.2 Проверка персонала при найме и соответствующая политика

Проверки сотрудников, принимаемых в постоянный штат, следует выполнять по мере подачи заявлений о приеме на работу. В них необходимо включать следующее:

- наличие положительных рекомендаций, в частности в отношении деловых и личных качеств претендента;

- проверка (на предмет полноты и точности) резюме претендента;

- подтверждение заявляемого образования и профессиональных квалификаций;

- независимая проверка подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа).

В случаях, когда новому сотруднику непосредственно после приема на работу или в ее процессе предстоит доступ к средствам обработки важной информации, например финансовой или совершенно секретной информации организации, следует выполнить специальную "проверку на доверие". В отношении сотрудников, имеющих значительные полномочия, эта проверка должна проводиться периодически.

Аналогичный процесс проверки следует осуществлять для подрядчиков и временного персонала. В тех случаях, когда прием сотрудников осуществляется через кадровое агентство, контракт с агентством должен четко определять обязанности агентства по проверке претендентов и процедурам уведомления, которым оно должно следовать, если проверка не была закончена или если результаты дают основания для сомнения или беспокойства.

Руководству организации следует оценить необходимый уровень наблюдения за новыми и неопытными сотрудниками, обладающими правом доступа к важным системам. Необходимо внедрить процедуры по периодическому контролю и утверждению действий всех сотрудников со стороны вышестоящих руководителей.