ISO 27001 Приложение А: Отговорности и роли на служителите

Добре структурираната система за управление на информационната сигурност (СУИС) в съответствие със стандарта ISO 27001 е основа за ефикасно прилагане на цялостна стратегия за информационна сигурност. Систематичният подход помага да се защитят поверителните данни на компанията от загуба и злоупотреба и надеждно да се идентифицират потенциалните рискове за компанията, да се анализират и да се направят контролируеми чрез подходящи мерки. Това включва много повече от аспектите на информационната сигурност. Особено ценно за практиката е прилагането на мерките в приложение А към стандарта.

ISO/IEC 27001:2013 - Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания.

Приложение А към стандарта ISO 27001: От значение за практиката

В допълнение към раздела с изисквания, ориентирани към системата за управление (глави 4-10), Приложение А на стандарта ISO от 2017 г. съдържа обширен списък от 35 целеви мерки (контроли) със 114 конкретни мерки по широк спектър от аспекти на сигурността в 14 глави.

Забележка: Твърденията, посочени като "мерки" в приложение А, всъщност са отделни цели (контроли). Те описват как трябва да изглежда един съответстващ на стандарта резултат от подходящи (индивидуални) мерки.

Дружествата следва да използват тези контроли като основа за индивидуално, по-задълбочено структуриране на своята политика за информационна сигурност. По отношение на темата за персонала особен интерес представлява целта на мярката "Сигурност на персонала" в допълнение А.7.

Процесите за персонала гарантират, че във всички фази на заетостта са възложени отговорности и задължения по отношение на информационната сигурност и че се следи за спазването им. По този начин нарушенията на политиката за информационна сигурност - както планирани, така и непреднамерени - не са невъзможни, но са направени много по-трудни. А ако се стигне до най-лошото, ефективната СУИС предоставя на организацията подходящи механизми за справяне с нарушението.

Информационната сигурност не е недоверие

В никакъв случай не е въпрос на недоверие, ако една компания издаде подходящи указания, за да затрудни неоторизирания достъп отвътре или, още по-добре, да го предотврати напълно. В края на краищата едно е ясно: ако предстои или вече е обявено уволнение на служител, неговото недоволство може да доведе до целенасочена кражба на данни. Това се случва особено, когато уволненият служител смята, че има права на собственост върху данните от проекта. И обратното, кандидатстването за определена работа може вече да е направено с намерение за извършване на престъпно деяние.

Други сценарии показват грубо небрежно поведение или просто безразсъдство, което може да има също толкова сериозни последици. Случва се например цели ИТ отдели да не се придържат към собствените си правила - твърде тромави са, отнемат твърде много време. В офиса това е небрежното боравене с пароли или незащитени смартфони. Но също така и небрежно свързване на USB памети, отворени документи на екрана, секретни документи в празни офиси - списъкът на възможните пропуски е дълъг.

Приложение А.7 на ISO 27001 - Сигурност на персонала

Тук компаниите, които са внедрили система за управление на информационната сигурност (СУИС) в съответствие със стандарта ISO 27001, са в по-добра позиция. Те познават изискванията и релевантното за практиката приложение А.7 на международно признатия стандарт. Защото ISO 27001 има какво да предложи тук: Въпреки че референтните мерки се отнасят директно към изискванията на стандарта, те винаги са насочени към пряката фирмена практика.

Фирмите с ефикасна СУИС са запознати с целите, посочени в А.7, които трябва да се изпълняват с оглед на сигурността на персонала за пълно съответствие със стандарта - във всички фази на заетостта.

Какво се казва в приложение А.7 на стандарта ISO 27001?

Мерки преди наемане на работа

Организацията трябва да се увери, че новият служител разбира бъдещите си отговорности и е подходящ за своята роля, преди да го наеме - съгласно приложение А.7.1. В раздела за изискванията (глава 7.2) стандартът говори за "компетентност".

Като ориентирана към целта референтна мярка кандидатите за работа първо получават разрешение за достъп до класифицирана информация, което е в съответствие с етичните принципи и приложимите закони. Тази проверка трябва да е подходяща във връзка с бизнес изискванията, класификацията на информацията, която трябва да се получи, и възможните рискове (A.7.1.1). За да може да се постигне това, наред с други неща, трябва да е налице, осигурено или проверено следното:

• Процедура за получаване на информация (как и при какви условия)
• Списък на правните и етичните критерии, които трябва да се спазват
• Проверката на сигурността трябва да бъде подходяща, свързана с рисковете и нуждите на компанията
• Достоверност и автентичност на CV, финансовите отчети и други документи
• Достоверността и компетентността на кандидата за планираната длъжност

Договорни споразумения

Следващата стъпка е свързана с условията за наемане на работа и договорите. И така, тази референтна мярка в приложение А към ISO/IEC 27001 се състои от договорното споразумение за това какви отговорности имат служителите към компанията и обратно (A.7.1.2). Успешното изпълнение на това изискване включва, наред с други неща, изпълнението на тези точки:

• Подписване на споразумение за конфиденциалност от служителя (изпълнителя) с достъп до поверителна информация
• Договорно задължение от страна на служителя (изпълнителя) да спазва например въпроси, свързани с авторското право или защитата на данните
• Договорна разпоредба относно отговорността на служителите (изпълнителите) при работа с външна информация

По време на работа - отговорности на висшето ръководство.

Служителите трябва да са наясно с отговорностите си за информационната сигурност. Това е целта на А.7.2, и което е по-важно, служителите трябва да изпълняват тези отговорности.

Първата мярка (А.7.2.1) е насочена към задължението на ръководството да насърчава служителите си да прилагат информационна сигурност в съответствие с установените политики и процедури. За тази цел трябва да се регламентират най-малко следните точки:

• По какъв начин висшето ръководство насърчава служителите да прилагат? Къде съществуват рискове?
• По какъв начин то гарантира, че служителите са запознати с въведените насоки за работа с информационната сигурност?
• По какъв начин проверява дали служителите спазват насоките за работа с информационната сигурност?
• По какъв начин мотивира служителите си да въвеждат политики и процедури и да ги прилагат по сигурен начин?

Създаване на осведоменост

В глава 7.3 "Информираност" ISO 27001 изисква лицата, които извършват съответните дейности, да са наясно със следното

• Политиката за информационна сигурност на организацията
• За приноса, който дават за ефективността на системата за управление на информационната сигурност (СУИС)
• Ползите от подобрената ефективност на информационната сигурност
• Последиците от неспазването на изискванията на СУИС

Особено новите служители се нуждаят от редовна информация по темата, напр. по електронна поща или чрез интранет, в допълнение към задължителния инструктаж по въпросите на информационната сигурност. Конкретното обучение (особено по плановете за действие при извънредни ситуации и обученията), тематичните семинари и кампаниите за повишаване на осведомеността (напр. чрез плакати) засилват информираността за системата за управление на информационната сигурност.

Например референтната мярка A.7.2.1 в приложение А към ISO 27001 също служи за създаване на подходяща осведоменост относно информационната сигурност. Организациите трябва да обучават и образоват своите служители и, когато е уместно, своите подизпълнители по професионално значими теми. Съответните политики и процедури трябва да се актуализират редовно. Наред с други аспекти трябва да се вземат предвид и следните:

• Начинът, по който висшето ръководство, от своя страна, е ангажирано с информационната сигурност
• Естеството на професионалното образование и обучение
• честотата, с която се преразглеждат и актуализират политиките и процедурите
• Други използвани инструменти
• Конкретни мерки за запознаване на служителите с вътрешните политики и процедури за информационна сигурност

СЪВЕТ: Осигурете добре функционираща комуникация с множество канали за предаване на знания. Това е така, защото осведомеността за СУИС и свързаните с нея аспекти, изисквани от стандарта, е тясно свързана с предаването на знания.

Процес на дисциплинарни мерки

Приложение 7.2.3: Тази мярка определя начина, по който организацията ще обработва наказанията в случай на нарушения на информационната сигурност. Основа за това е процесът на коригиращи действия. Той трябва да бъде официално определен, установен и обявен. Трябва да се гарантира следното:

• Трябва да съществуват критерии, според които се класифицира тежестта на нарушението на политиката за информационна сигурност
• Дисциплинарният процес не трябва да нарушава приложимите закони
• Дисциплинарният процес трябва да съдържа мерки, които да мотивират служителите да променят поведението си в положителна посока в дългосрочен план

Прекратяване на трудовото правоотношение - отговорности

Приложение А.7.3 на ISO 27001 определя като цел ефикасен процес на прекратяване или промяна, за да се защитят интересите на организацията. Тази цел се фокусира върху отговорностите при прекратяване или промяна на назначението. Съответно отговорностите и задълженията, свързани със сигурността на информацията, които остават след прекратяване или промяна на назначението, трябва да бъдат определени, съобщени и приложени. Има смисъл да се вземат предвид тези аспекти:

• Споразумения в трудовите договори за това как служителите трябва да се справят с продължаващите отговорности и задължения, свързани със сигурността на информацията, след прекратяване на трудовото правоотношение
• Механизми за наблюдение, които да гарантират спазването на тези споразумения
• Процедури за налагане на спазването на продължаващите отговорности и задължения

Киберсигурност чрез системна сигурност на персонала

Заплахата отвътре е реална - и повечето компании са наясно с нея. Според проучване в областта на сигурността (Balabit 2018 г.) служителите, които имат широки права на достъп, са особено уязвими за атаки. И тъй като служителите са замесени в 50 % от всички нарушения на сигурността, 69 % от отговорилите ИТ специалисти смятат, че нарушаването на вътрешните данни е най-големият риск. И все пак по този въпрос се прави малко. На практика често е трудно да се повдигат обвинения срещу вътрешни служители. Особено в малките и средните предприятия (МСП), където хората се познават помежду си, често им се гласува определено доверие - понякога с неприятни последици. Добре структурираното управление на информационната сигурност осигурява основата за гарантиране на сигурността на информацията, която се нуждае от защита.

Заключение: ISO 27001 на практика - Приложение А

Приложение А.7 ISO/IEC 27001 предоставя референтни мерки за сигурността на персонала, които трябва да бъдат приложени като част от въвеждането на стандарта. Компаниите трябва да използват тези мерки като основа за индивидуалното си, по-задълбочено разработване на политиката за информационна сигурност. Мерките не разчитат на недоверие към служителите, а на ясно структурирани процеси за персонала.

Експертиза и доверие

Сертифицираните компании оценяват системите за управление като инструменти за висшето ръководство, които създават прозрачност, намаляват сложността и осигуряват сигурност. Системите за управление обаче правят дори повече: Оценявани и сертифицирани от неутрална и независима трета страна като DQS , те създават доверие у заинтересованите страни в работата на Вашата компания.

Много организации все още възприемат сертифицирането като проверка за съответствие. Нашите клиенти, от друга страна, го възприемат като възможност да се съсредоточат върху критичните за успеха фактори и резултатите от своята система за управление. Защото нашите основни компетенции са свързани с извършването на сертификационни одити и оценки. Това ни превръща в един от водещите доставчици в световен мащаб с претенцията винаги да поставяме нови стандарти в областта на надеждността, качеството и ориентацията към клиента

Моля, обърнете внимание: Нашите статии са написани изключително от нашите вътрешни експерти по системи за управление и дългогодишни одитори. Ако имате въпроси към нашите автори относно информационната сигурност (ISMS), моля, свържете се с нас. Очакваме с нетърпение да разговаряме с вас.