Ответственность за нарушения

Для создания необходимой юридической основы процедур привлечения сотрудников к ответственности за нарушения в области обеспечения безопасности ИТ необходимо, чтобы:

· в Уставе организации, во всех положениях о структурных подразделениях и в функциональных (технологических) обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, были отражены требования по обеспечению безопасности ИТ при работе в АС;

· каждый сотрудник (при приеме на работу) подписывал трудовой договор, в котором определены обязательства по соблюдению установленных требований по сохранению государственной, служебной и коммерческой тайны, а также об ответственности за нарушение правил работы с защищаемой информацией в АС;

· все пользователи, руководящий и обслуживающий персонал АС были ознакомлены с перечнем сведений, подлежащих защите, в части их касающейся (в соответствии со своим уровнем полномочий);

· доведение требований организационно-распорядительных документов по вопросам обеспечения безопасности ИТ до лиц, допущенных к обработке защищаемой информации, осуществлялось руководителями подразделений под роспись.

Сотрудники организации несут ответственность по действующему законодательству за разглашение сведений, составляющих (государственную, банковскую, коммерческую) тайну, и сведений ограниченного распространения, ставших им известными по роду работы.

Любое грубое нарушение порядка и правил работы в АС сотрудниками структурных подразделений должно расследоваться. К виновным должны применяться адекватные меры воздействия.

Нарушения установленных правил и требований по обеспечению безопасности ИТ являются основанием для применения к сотруднику (исполнителю) административных мер наказания, вплоть до увольнения и привлечения к уголовной ответственности.

Мера ответственности сотрудников за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться с учетом нанесенного ущерба, наличия злого умысла и других факторов по усмотрению руководства.

Для реализации принципа персональной ответственностисотрудников за свои действия необходимы:

· индивидуальная идентификация сотрудников и инициированных ими процессов при работе в АС, т.е. установление за ними уникальных идентификаторов пользователей, на основе которых будет осуществляться разграничение доступа и регистрация событий;

· проверка подлинности соответствия пользователей и сотрудников (аутентификация) на основе паролей, ключей, специальных устройств, биометрических характеристик личности сотрудников и т.п.;

· регистрация (протоколирование) работы механизмов контроля доступа пользователей к ресурсам информационных систем с указанием даты и времени, идентификаторов пользователя и запрашиваемых им ресурсов, вида взаимодействия и его результата;

· оперативная реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).