ISO 27001 Παράρτημα Α: Ευθύνες και ρόλοι των εργαζομένων

Ένα καλά δομημένο σύστημα διαχείρισης της ασφάλειας πληροφοριών (ISMS) σύμφωνα με το πρότυπο ISO 27001 αποτελεί τη βάση για την αποτελεσματική εφαρμογή μιας ολιστικής στρατηγικής ασφάλειας πληροφοριών. Η συστηματική προσέγγιση συμβάλλει στην προστασία των εμπιστευτικών δεδομένων της εταιρείας από απώλεια και κατάχρηση και στον αξιόπιστο εντοπισμό των πιθανών κινδύνων για την εταιρεία, στην ανάλυσή τους και στη δυνατότητα ελέγχου τους μέσω κατάλληλων μέτρων. Αυτό περιλαμβάνει πολύ περισσότερα από τις πτυχές της ασφάλειας της πληροφορικής. Η εφαρμογή των μέτρων του παραρτήματος Α του προτύπου είναι ιδιαίτερα πολύτιμη για την πράξη.

ISO/IEC 27001:2013: - Τεχνολογία πληροφοριών - Διαδικασίες ασφάλειας - Συστήματα διαχείρισης της ασφάλειας πληροφοριών - Απαιτήσεις.

Παράρτημα Α του προτύπου ISO 27001: Σχετικό με την πράξη

Εκτός από το τμήμα απαιτήσεων που είναι προσανατολισμένο στο σύστημα διαχείρισης (κεφάλαια 4 έως 10), το παράρτημα Α του προτύπου ISO περιέχει έναν εκτενή κατάλογο 35 στόχων μέτρων (ελέγχων) με 114 συγκεκριμένα μέτρα για ένα ευρύ φάσμα πτυχών ασφάλειας σε 14 κεφάλαια.

Σημείωση: Οι δηλώσεις που αναφέρονται ως "μέτρα" στο παράρτημα Α είναι στην πραγματικότητα μεμονωμένοι στόχοι (έλεγχοι). Περιγράφουν πώς πρέπει να είναι ένα συμμορφούμενο με το πρότυπο αποτέλεσμα κατάλληλων (μεμονωμένων) μέτρων.

Οι εταιρείες θα πρέπει να χρησιμοποιούν αυτούς τους ελέγχους ως βάση για την ατομική, πιο εμπεριστατωμένη διάρθρωση της πολιτικής τους για την ασφάλεια των πληροφοριών. Όσον αφορά το θέμα του προσωπικού, ιδιαίτερο ενδιαφέρον παρουσιάζει ο στόχος του μέτρου "Ασφάλεια προσωπικού" στο προσάρτημα Α.7.

Οι διαδικασίες προσωπικού διασφαλίζουν σε όλες τις φάσεις της απασχόλησης ότι ανατίθενται ευθύνες και καθήκοντα όσον αφορά την ασφάλεια των πληροφοριών και ότι παρακολουθείται η συμμόρφωση. Οι παραβιάσεις της πολιτικής για την ασφάλεια των πληροφοριών - τόσο οι σκόπιμες όσο και οι ακούσιες - δεν είναι έτσι αδύνατες, αλλά γίνονται πολύ πιο δύσκολες. Και αν το χειρότερο συμβεί, ένα αποτελεσματικό ΣΔΠΔ παρέχει στον οργανισμό τους κατάλληλους μηχανισμούς για την αντιμετώπιση της παραβίασης.

Η ασφάλεια των πληροφοριών δεν είναι δυσπιστία

Δεν είναι σε καμία περίπτωση θέμα δυσπιστίας αν μια εταιρεία εκδίδει τις κατάλληλες κατευθυντήριες γραμμές για να κάνει πιο δύσκολη την μη εξουσιοδοτημένη πρόσβαση εκ των έσω ή, ακόμα καλύτερα, για να την αποτρέψει εντελώς. Εξάλλου, ένα πράγμα είναι σαφές: Εάν η απόλυση ενός εργαζομένου επίκειται ή έχει ήδη ανακοινωθεί, η δυσαρέσκειά του μπορεί να οδηγήσει σε στοχευμένη κλοπή δεδομένων. Αυτό συμβαίνει ιδιαίτερα όταν ο απολυμένος υπάλληλος πιστεύει ότι έχει δικαιώματα ιδιοκτησίας σε δεδομένα του έργου. Αντίθετα, μια αίτηση για μια συγκεκριμένη θέση εργασίας μπορεί να έχει ήδη γίνει με πρόθεση διάπραξης εγκληματικής πράξης.

Άλλα σενάρια υποδηλώνουν βαριά αμελή συμπεριφορά ή απλώς απερισκεψία, η οποία μπορεί να έχει εξίσου σοβαρές συνέπειες. Συμβαίνει, για παράδειγμα, ολόκληρα τμήματα πληροφορικής να μην τηρούν τους δικούς τους κανόνες - υπερβολικά δυσκίνητοι, υπερβολικά χρονοβόροι. Στο γραφείο, είναι ο απρόσεκτος χειρισμός των κωδικών πρόσβασης ή τα απροστάτευτα smartphones. Αλλά και απρόσεκτη σύνδεση των στικ USB, ανοιχτά έγγραφα στην οθόνη, μυστικά έγγραφα σε άδεια γραφεία - ο κατάλογος των πιθανών παραλείψεων είναι μακρύς.

Παράρτημα Α.7 του ISO 27001 - Ασφάλεια προσωπικού

Οι εταιρείες που έχουν εφαρμόσει ένα σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS) σύμφωνα με το πρότυπο ISO 27001 βρίσκονται σε καλύτερη θέση εδώ. Γνωρίζουν τις απαιτήσεις και το σχετικό με την πρακτική παράρτημα Α.7 του διεθνώς αναγνωρισμένου προτύπου. Διότι το ISO 27001 έχει πολλά να προσφέρει εδώ: Αν και τα μέτρα αναφοράς αναφέρονται άμεσα στις απαιτήσεις του προτύπου, στοχεύουν πάντα στην άμεση πρακτική της επιχείρησης.

Οι εταιρείες με ένα αποτελεσματικό ISMS είναι εξοικειωμένες με τους στόχους που καθορίζονται στο παράρτημα Α.7, οι οποίοι πρέπει να εφαρμόζονται με γνώμονα την ασφάλεια του προσωπικού για την πλήρη συμμόρφωση με το πρότυπο - σε όλες τις φάσεις της απασχόλησης.

Τι αναφέρει το πρότυπο ISO 27001 στο παράρτημα Α.7;

Μέτρα πριν από την απασχόληση

Ο οργανισμός πρέπει να διασφαλίσει ότι ένας νέος εργαζόμενος κατανοεί τις μελλοντικές του αρμοδιότητες και είναι κατάλληλος για τον ρόλο του πριν από την πρόσληψή του - σύμφωνα με το παράρτημα Α.7.1. Στην ενότητα των απαιτήσεων (κεφάλαιο 7.2), το πρότυπο μιλάει για την "επάρκεια".

Ως μέτρο αναφοράς με στόχο, οι υποψήφιοι για μια θέση εργασίας λαμβάνουν πρώτα μια εξουσιοδότηση ασφαλείας που συμμορφώνεται με τις αρχές δεοντολογίας και τους ισχύοντες νόμους. Ο έλεγχος αυτός πρέπει να είναι κατάλληλος σε σχέση με τις επιχειρηματικές απαιτήσεις, τη διαβάθμιση των πληροφοριών που πρόκειται να αποκτηθούν και τους πιθανούς κινδύνους (A.7.1.1). Για να μπορέσει να επιτευχθεί αυτό, θα πρέπει, μεταξύ άλλων, να υπάρχουν, να διασφαλίζονται ή να επαληθεύονται τα ακόλουθα

• Διαδικασία απόκτησης πληροφοριών (πώς και υπό ποιες προϋποθέσεις).
• Κατάλογος των νομικών και δεοντολογικών κριτηρίων που πρέπει να τηρούνται
• Ο έλεγχος ασφαλείας πρέπει να είναι κατάλληλος, να σχετίζεται με τους κινδύνους και τις ανάγκες της εταιρείας
• Η αξιοπιστία και η γνησιότητα του βιογραφικού σημειώματος, των οικονομικών καταστάσεων και άλλων εγγράφων
• Η αξιοπιστία και η επάρκεια του υποψηφίου για την προβλεπόμενη θέση

Συμβατικές συμφωνίες

Το επόμενο βήμα αφορά την απασχόληση και τους συμβατικούς όρους. Έτσι, αυτό το μέτρο αναφοράς στο παράρτημα Α του ISO/IEC 27001 αποτελείται από τη συμβατική συμφωνία σχετικά με τις ευθύνες που έχουν οι εργαζόμενοι έναντι της εταιρείας και αντίστροφα (A.7.1.2). Η επιτυχής εφαρμογή αυτής της απαίτησης περιλαμβάνει, μεταξύ άλλων, την εκπλήρωση αυτών των σημείων:

• Την υπογραφή συμφωνίας εμπιστευτικότητας από τον εργαζόμενο (εργολάβο) με πρόσβαση σε εμπιστευτικές πληροφορίες
• συμβατική υποχρέωση του εργαζομένου (αναδόχου) να συμμορφώνεται, για παράδειγμα, με θέματα πνευματικών δικαιωμάτων ή προστασίας δεδομένων
• Μια συμβατική διάταξη σχετικά με την ευθύνη των εργαζομένων (εργολάβων) κατά τον χειρισμό εξωτερικών πληροφοριών

Κατά τη διάρκεια της απασχόλησης - Οι ευθύνες της ανώτατης διοίκησης.

Οι εργαζόμενοι πρέπει να γνωρίζουν τις ευθύνες τους για την ασφάλεια των πληροφοριών. Αυτός είναι ο στόχος του σημείου Α.7.2, και το πιο σημαντικό είναι ότι οι εργαζόμενοι πρέπει να ανταποκρίνονται στις ευθύνες αυτές.

Το πρώτο μέτρο (A.7.2.1) στοχεύει στην υποχρέωση της διοίκησης να ενθαρρύνει τους υπαλλήλους της να εφαρμόζουν την ασφάλεια των πληροφοριών σύμφωνα με τις καθιερωμένες πολιτικές και διαδικασίες. Για το σκοπό αυτό, πρέπει να ρυθμίζονται κατ' ελάχιστον τα ακόλουθα σημεία:

• Με ποιον τρόπο η ανώτατη διοίκηση ενθαρρύνει τους υπαλλήλους να εφαρμόζουν; Πού υπάρχουν κίνδυνοι;
• Πώς διασφαλίζει ότι οι εργαζόμενοι γνωρίζουν τις εφαρμοζόμενες κατευθυντήριες γραμμές για την αντιμετώπιση της ασφάλειας των πληροφοριών;
• Πώς ελέγχει αν οι εργαζόμενοι τηρούν τις κατευθυντήριες γραμμές για τον χειρισμό της ασφάλειας των πληροφοριών;
• Πώς παρακινεί τους υπαλλήλους της να εφαρμόζουν τις πολιτικές και τις διαδικασίες και να τις εφαρμόζουν με ασφάλεια;

Δημιουργία ευαισθητοποίησης

Στο κεφάλαιο 7.3 "Ευαισθητοποίηση", το ISO 27001 απαιτεί από τα πρόσωπα που ασκούν σχετικές δραστηριότητες να γνωρίζουν τα εξής

• Για την πολιτική ασφάλειας πληροφοριών του οργανισμού
• της συμβολής τους στην αποτελεσματικότητα του συστήματος διαχείρισης της ασφάλειας των πληροφοριών (ISMS)
• Τα οφέλη από τη βελτίωση της απόδοσης της ασφάλειας πληροφοριών
• Τις συνέπειες της μη συμμόρφωσης με τις απαιτήσεις του ΣΔΑΤ.

Ιδιαίτερα οι νέοι εργαζόμενοι χρειάζονται τακτική ενημέρωση επί του θέματος, π.χ. μέσω ηλεκτρονικού ταχυδρομείου ή μέσω του ενδοδικτύου, πέραν της υποχρεωτικής ενημέρωσης για θέματα ασφάλειας πληροφοριών. Η συγκεκριμένη εκπαίδευση (ιδίως για τα σχέδια έκτακτης ανάγκης και τις ασκήσεις), τα ειδικά θεματικά εργαστήρια και οι εκστρατείες ευαισθητοποίησης (π.χ. μέσω αφισών) ενισχύουν την ευαισθητοποίηση σχετικά με το σύστημα διαχείρισης της ασφάλειας των πληροφοριών.

Για παράδειγμα, το μέτρο αναφοράς A.7.2.1 του παραρτήματος Α του ISO 27001 χρησιμεύει επίσης για τη δημιουργία της κατάλληλης ευαισθητοποίησης σχετικά με την ασφάλεια των πληροφοριών. Οι οργανισμοί πρέπει να εκπαιδεύουν και να επιμορφώνουν τους υπαλλήλους τους και, κατά περίπτωση, τους εργολάβους τους σε επαγγελματικά συναφή θέματα. Οι αντίστοιχες πολιτικές και διαδικασίες πρέπει να επικαιροποιούνται τακτικά. Μεταξύ άλλων, πρέπει να λαμβάνονται υπόψη οι ακόλουθες πτυχές:

• Ο τρόπος με τον οποίο η ανώτατη διοίκηση, από την πλευρά της, δεσμεύεται για την ασφάλεια των πληροφοριών
• η φύση της επαγγελματικής εκπαίδευσης και κατάρτισης
• η συχνότητα με την οποία αναθεωρούνται και επικαιροποιούνται οι πολιτικές και οι διαδικασίες
• Άλλα εργαλεία που χρησιμοποιούνται
• Συγκεκριμένα μέτρα για την εξοικείωση των εργαζομένων με τις εσωτερικές πολιτικές και διαδικασίες ασφάλειας πληροφοριών

ΣΥΜΒΟΥΛΗ: Εξασφαλίστε την καλή λειτουργία της επικοινωνίας με πολλαπλά κανάλια για τη μεταφορά γνώσεων. Αυτό οφείλεται στο γεγονός ότι η ευαισθητοποίηση σχετικά με το ΣΔΑΤ και τις συναφείς πτυχές που απαιτούνται από το πρότυπο συνδέεται στενά με τη μεταφορά γνώσεων.

Διαδικασία επίπληξης

Παράρτημα 7.2.3: Το μέτρο αυτό καθορίζει τον τρόπο με τον οποίο ο οργανισμός θα χειρίζεται τις επιπλήξεις σε περίπτωση παραβιάσεων της ασφάλειας των πληροφοριών. Η βάση γι' αυτό είναι μια διαδικασία διορθωτικών ενεργειών. Πρέπει να ορίζεται, να καθιερώνεται και να ανακοινώνεται επίσημα. Πρέπει να διασφαλίζονται τα ακόλουθα:

• Πρέπει να υπάρχουν κριτήρια σύμφωνα με τα οποία ταξινομείται η σοβαρότητα μιας παραβίασης της πολιτικής ασφάλειας πληροφοριών
• Η πειθαρχική διαδικασία δεν πρέπει να παραβιάζει τους ισχύοντες νόμους.
• Η πειθαρχική διαδικασία πρέπει να περιλαμβάνει μέτρα που παρακινούν τους εργαζόμενους να αλλάξουν τη συμπεριφορά τους με θετικό τρόπο μακροπρόθεσμα.

Λήξη της απασχόλησης - Ευθύνες

Το παράρτημα Α.7.3 του ISO 27001 καθορίζει ως στόχο μια αποτελεσματική διαδικασία τερματισμού ή αλλαγής για την προστασία των συμφερόντων του οργανισμού. Ο στόχος αυτός επικεντρώνεται στις ευθύνες για τον τερματισμό ή την αλλαγή της απασχόλησης. Κατά συνέπεια, οι ευθύνες και οι υποχρεώσεις που σχετίζονται με την ασφάλεια των πληροφοριών και παραμένουν μετά τον τερματισμό ή την αλλαγή της απασχόλησης πρέπει να ορίζονται, να κοινοποιούνται και να επιβάλλονται. Είναι λογικό να εξετάζονται αυτές οι πτυχές:

• Συμφωνίες στις συμβάσεις εργασίας σχετικά με τον τρόπο με τον οποίο οι εργαζόμενοι πρέπει να αντιμετωπίζουν τις συνεχιζόμενες ευθύνες και υποχρεώσεις που σχετίζονται με την ασφάλεια των πληροφοριών μετά τη λήξη της απασχόλησης
• μηχανισμοί παρακολούθησης για τη διασφάλιση της συμμόρφωσης με τις εν λόγω συμφωνίες
• Διαδικασίες επιβολής της συμμόρφωσης με τις συνεχιζόμενες ευθύνες και καθήκοντα.

Ασφάλεια στον κυβερνοχώρο μέσω συστηματικής ασφάλειας προσωπικού

Η απειλή εκ των έσω είναι υπαρκτή - και οι περισσότερες εταιρείες το γνωρίζουν. Σύμφωνα με μια μελέτη ασφάλειας (Balabit 2018), οι εργαζόμενοι που έχουν εκτεταμένα δικαιώματα πρόσβασης είναι ιδιαίτερα ευάλωτοι σε επιθέσεις. Και δεδομένου ότι οι εργαζόμενοι εμπλέκονται στο 50% όλων των παραβιάσεων ασφαλείας, το 69% των επαγγελματιών πληροφορικής που απάντησαν θεωρεί ότι η παραβίαση δεδομένων εκ των έσω αποτελεί τον μεγαλύτερο κίνδυνο. Ωστόσο, ελάχιστα γίνονται για αυτό. Στην πράξη, είναι συχνά δύσκολο να απαγγελθούν κατηγορίες κατά του εσωτερικού προσωπικού. Ιδιαίτερα στις μικρές και μεσαίες επιχειρήσεις (ΜΜΕ), όπου οι άνθρωποι γνωρίζονται μεταξύ τους, συχνά τους αποδίδεται κάποια εμπιστοσύνη - μερικές φορές με δυσάρεστες συνέπειες. Η καλά δομημένη διαχείριση της ασφάλειας των πληροφοριών παρέχει τη βάση για τη διασφάλιση της ασφάλειας των πληροφοριών που χρήζουν προστασίας.

Συμπέρασμα: ISO 27001 στην πράξη - Παράρτημα Α

Στο παράρτημα Α.7, το ISO/IEC 27001 παρέχει μέτρα αναφοράς για την ασφάλεια του προσωπικού που πρέπει να εφαρμοστούν στο πλαίσιο της εισαγωγής του προτύπου. Οι εταιρείες θα πρέπει να χρησιμοποιούν αυτούς τους ελέγχους ως βάση για τον ατομικό, πιο εμπεριστατωμένο σχεδιασμό της πολιτικής τους για την ασφάλεια των πληροφοριών. Τα μέτρα δεν βασίζονται στη δυσπιστία των εργαζομένων, αλλά σε σαφώς δομημένες διαδικασίες προσωπικού.

Εμπειρογνωμοσύνη και εμπιστοσύνη

Οι πιστοποιημένες εταιρείες εκτιμούν τα συστήματα διαχείρισης ως εργαλεία για την ανώτατη διοίκηση που δημιουργούν διαφάνεια, μειώνουν την πολυπλοκότητα και παρέχουν ασφάλεια. Ωστόσο, τα συστήματα διαχείρισης κάνουν ακόμη περισσότερα: Αξιολογούνται και πιστοποιούνται από ένα ουδέτερο και ανεξάρτητο τρίτο μέρος όπως η DQS , δημιουργούν εμπιστοσύνη στα ενδιαφερόμενα μέρη για την απόδοση της εταιρείας σας.

Πολλοί οργανισμοί εξακολουθούν να βιώνουν την πιστοποίηση ως έλεγχο συμμόρφωσης. Οι πελάτες μας, από την άλλη πλευρά, το βλέπουν ως μια ευκαιρία να επικεντρωθούν στους κρίσιμους για την επιτυχία παράγοντες και στα αποτελέσματα του συστήματος διαχείρισής τους. Επειδή οι βασικές μας ικανότητες έγκεινται στην εκτέλεση ελέγχων και αξιολογήσεων πιστοποίησης. Αυτό μας καθιστά έναν από τους κορυφαίους παρόχους παγκοσμίως με την αξίωση να θέτουμε πάντα νέα πρότυπα αξιοπιστίας, ποιότητας και προσανατολισμού στον πελάτη

Σημείωση: Τα άρθρα μας γράφονται αποκλειστικά από τους εσωτερικούς μας εμπειρογνώμονες συστημάτων διαχείρισης και μακροχρόνιους ελεγκτές. Εάν έχετε ερωτήσεις για τους συγγραφείς μας σχετικά με την ασφάλεια πληροφοριών (ISMS), παρακαλούμε επικοινωνήστε μαζί μας. Ανυπομονούμε να συζητήσουμε μαζί σας.