ISO 27001 Dodatak A: Odgovornosti i uloge zaposlenika

Dobro strukturiran sustav upravljanja informacijskom sigurnošću (ISMS) u skladu sa standardom ISO 27001 pruža osnovu za učinkovitu primjenu holističke strategije informacijske sigurnosti. Sustavni pristup pomaže zaštititi povjerljive podatke organizacije od gubitka i zlouporabe i pouzdano identificirati potencijalne rizike za organizaciju, analizirati ih i kontrolirati ih odgovarajućim mjerama. To uključuje više od samo aspekata informacijske sigurnosti. Primjena mjera iz Dodatka A norme izrazito je vrijedna u praksi.

ISO/IEC 27001:2013: - Informacijska tehnologija -- Sigurnosne tehnike -- Sustavi upravljanja informacijskom sigurnošću -- Zahtjevi

Dodatak A norme ISO 27001: Relevantan u praksi  

Uz dio sa zahtjevima orijentiranim na sustav upravljanja (poglavlja 4 do 10), Dodatak A ISO norme, izdanje 2017, sadrži opsežan popis od 35 mjerljivih ciljeva (kontrola) sa 114 konkretnih mjera koje obuhvaćaju širok raspon sigurnosnih aspekata kroz 14 poglavlja.

Napomena: Izjave koje se u Dodatku A nazivaju "mjerama" su zapravo pojedinačni ciljevi (kontrole). One opisuju kako bi trebao izgledati rezultat prikladnih (pojedinačnih) mjera koji je u skladu s normom.

Tvrtke bi trebale koristiti ove kontrole kao osnovu za individualno, dublje strukturiranje svoje politike informacijske sigurnosti. Mjera "Sigurnost ljudskih resursa" u Dodatku A.7 je posebno zanimljiva u pogledu teme ljudskih resursa.

Kadrovski procesi osiguravaju u svim fazama zaposlenja da su odgovornosti i dužnosti dodijeljene s obzirom na informacijsku sigurnost i da se prati usklađenost. Kršenje politike informacijske sigurnosti – i namjerno i nenamjerno – stoga nije nemoguće, ali je znatno otežano. A ako dođe do najgoreg, učinkovit sustav upravljanja informacijskom sigurnošću organizaciji pruža odgovarajuće mehanizme za rješavanje situacije.

Informacijska sigurnost nije nepovjerenje

Nipošto nije riječ o nepovjerenju ako tvrtka uspostavi odgovarajuće smjernice kako bi otežala neovlašteni pristup iznutra ili, još bolje, kako bi ga u potpunosti spriječila. Uostalom, jedno je jasno: ako je otkaz zaposlenika neizbježan ili je već najavljen, njegovo ili njezino nezadovoljstvo može dovesti do ciljane krađe podataka. To se posebno događa kada zaposlenik koji je otpušten vjeruje da ima vlasnička prava na projekt. S druge strane, prijava za određeno radno mjesto može se već podnijeti s namjerom da se počini kazneno djelo.

Drugi scenariji ukazuju na krajnje nemarno ponašanje ili jednostavno nepromišljenost, što može imati slične ozbiljne posljedice. Događa se, primjerice, da se cijeli IT odjeli ne pridržavaju vlastitih pravila – preopsežna, previše vremena. U uredu je to nepažljivo rukovanje lozinkama ili nezaštićenim pametnim telefonima. Ali i neoprezno spajanje USB stickova, otvoreni dokumenti na ekranu, tajni dokumenti u praznim uredima - popis mogućih propusta je dug.

Dodatak A.7 norme ISO 27001 - Sigurnost ljudskih resursa

Tvrtke koje su implementirale sustav upravljanja informacijskom sigurnošću (ISMS) u skladu s normom ISO 27001 ovdje su u boljoj poziciji. Poznaju zahtjeve i Dodatak A.7 međunarodno priznate norme. Zato što ISO 27001 ovdje može znatno pomoći: iako se referentne mjere odnose izravno na zahtjeve norme, uvijek su usmjerene na izravnu praksu tvrtke.

Tvrtke s učinkovitim sustavom upravljanja informacijskom sigurnošću upoznate su s ciljevima navedenim u A.7, koji u kontekstu sigurnosti osoblja moraju biti primijenjeni za potpunu usklađenost s normom - u svim fazama zapošljavanja.

Što je navedeno u Dodatku A.7 norme ISO 27001?

Mjere prije zaposlenja

Organizacija mora osigurati da novi zaposlenik razumije svoje buduće odgovornosti i da je prikladan za svoju ulogu prije nego je zaposlen - prema Dodatku A.7.1. poglavlju sa zahtjevima (poglavlje 7.2), norma govori o "kompetencijama".

Kao referentna mjera usmjerena na cilj, kandidati za posao prvo prolaze sigurnosnu provjeru koja je u skladu s etičkim načelima i primjenjivim zakonima. Ova provjera mora biti prikladna za zahtjeve posla, klasifikaciju informacija koje treba dobiti i moguće rizike (A.7.1.1). Kako bi se to moglo postići, između ostalog treba biti uspostavljeno, osigurano ili provjereno sljedeće:

• Postupak za dobivanje informacija (kako i pod kojim uvjetima)
• Popis pravnih i etičkih kriterija koje treba poštivati
• Sigurnosna provjera mora biti primjerena, povezana s rizicima i potrebama tvrtke
• Prihvatljivost i vjerodostojnost životopisa, financijskih izvještaja i drugih dokumenata
• Pouzdanost i kompetentnost kandidata za predviđeno radno mjesto

Ugovori

Sljedeći se korak odnosi na zapošljavanje i ugovorne uvjete. Dakle, ova referentna mjera u Dodatku A norme ISO/IEC 27001 sastoji se od sporazuma o odgovornostima koje zaposlenici imaju prema tvrtki i obrnuto (A.7.1.2). Uspješna provedba ovog zahtjeva uključuje, između ostalog, ispunjenje ovih točaka:

• Potpisivanje ugovora o povjerljivosti od strane zaposlenika (izvođača) s pristupom povjerljivim informacijama
• Ugovorna obveza zaposlenika (izvođača) da se pridržava, na primjer, pitanja autorskog prava ili zaštite podataka
• Ugovorna odredba o odgovornosti zaposlenika (izvođača) pri rukovanju vanjskim informacijama

Tijekom zaposlenja - Odgovornosti uprave

Zaposlenici moraju biti svjesni svojih odgovornosti za informacijsku sigurnost. To je cilj A.7.2, a što je još važnije, zaposlenici moraju ispuniti te odgovornosti.

Prva mjera (A.7.2.1) usmjerena je na obvezu uprave da potakne svoje zaposlenike na implementaciju informacijske sigurnosti u skladu s utvrđenim politikama i procedurama. U tu svrhu, sljedeće točke moraju biti regulirane kao minimum:

• Na koji način uprava potiče zaposlenike na implementaciju? Gdje postoje rizici?
• Kako osigurava da su zaposlenici upoznati s implementiranim smjernicama za informacijsku sigurnost?
• Kako provjerava pridržavaju li se zaposlenici smjernica za informacijsku sigurnost?
• Kako motivira svoje zaposlenike da provode politike i procedure i da ih sigurno primjenjuju?

Stvaranje svijesti

U poglavlju 7.3 "Svijest", ISO 27001 zahtijeva da osobe koje obavljaju relevantne aktivnosti budu svjesne sljedećeg:

• Politike informacijske sigurnosti organizacije
• Doprinosa koji daju učinkovitosti sustava upravljanja informacijskom sigurnošću (ISMS)
• Prednosti poboljšanog učinka informacijske sigurnosti
• Posljedica neispunjavanja zahtjeva sustava upravljanja informacijskom sigurnošću

Novi zaposlenici posebice trebaju redovite informacije o toj temi, npr. putem elektroničke pošte ili putem intraneta, uz obvezni brifing o pitanjima sigurnosti informacija. Konkretna obuka (osobito o planovima i vježbama za izvanredne situacije), tematske radionice i kampanje podizanja svijesti (npr. putem postera) jačaju svijest o sustavu upravljanja informacijskom sigurnošću.

Na primjer, referentna mjera A.7.2.1 u Dodatku A norme ISO 27001 služi i za stvaranje odgovarajuće svijesti o informacijskoj sigurnosti. Organizacije moraju osposobiti i educirati svoje zaposlenike i, prema potrebi, svoje izvođače o profesionalno relevantnim temama. Odgovarajuće politike i procedure moraju se redovito ažurirati. Sljedeći aspekti, između ostalog, moraju se uzeti u obzir:

• Način na koji je uprava sama posvećena informacijskoj sigurnosti
• Priroda stručnog obrazovanja i osposobljavanja
• Učestalost revidiranja i ažuriranja politika i procedura
• Ostali alati koji se koriste
• Konkretne mjere za upoznavanje zaposlenika s internim politikama i procedurama informacijske sigurnosti

SAVJET: Osigurajte dobro uspostavljenu komunikaciju s više kanala za prijenos znanja. Zato što je svijest o sustavu upravljanja informacijskom sigurnošću i povezanim aspektima koje zahtijeva norma usko povezana s prijenosom znanja.

Proces ukora

Dodatak 7.2.3: Ova mjera određuje način na koji će organizacija postupati s ukorima u slučaju kršenja informacijske sigurnosti. Osnova za to je proces popravnih radnji. Mora biti formalno definiran, uspostavljen i objavljen. Mora se osigurati sljedeće:

• Moraju postojati kriteriji prema kojima se klasificira ozbiljnost povrede politike informacijske sigurnosti
• Disciplinski postupak ne smije kršiti važeće zakone
• Disciplinski postupak mora sadržavati mjere koje motiviraju zaposlenike da dugoročno promijene svoje ponašanje na pozitivan način

Prestanak radnog odnosa - Odgovornosti

Jedan od ciljeva naveden u Dodatku A.7.3 norme ISO 27001 je učinkovit proces raskida ili promjene radi zaštite interesa organizacije. Ovaj se cilj usredotočuje na odgovornosti za prestanak ili promjenu radnog odnosa. Sukladno tome, odgovornosti i obveze vezane uz informacijsku sigurnost koje ostaju nakon prestanka ili promjene radnog odnosa moraju se definirati, priopćiti i provoditi. Korisno je razmotriti ove aspekte:

• Sporazume u ugovorima o radu o tome kako će se zaposlenici nositi s kontinuiranim odgovornostima i obvezama vezanim uz informacijsku sigurnost nakon prestanka radnog odnosa
• Mehanizmi nadzora kako bi se osigurala usklađenost s tim sporazumima
• Procedure za osiguranje poštivanja kontinuiranih odgovornosti i dužnosti

Cyber sigurnost kroz sustavnu sigurnost osoblja

Prijetnja iznutra je stvarna – i većina tvrtki toga je svjesna. Prema sigurnosnoj studiji (Balabit 2018.), zaposlenici koji imaju široka prava pristupa posebno su podložni napadima. A s obzirom na to da su zaposlenici uključeni u 50 posto svih kršenja sigurnosti, 69 posto IT stručnjaka koji su odgovorili smatra da je kršenje sigurnosti internih podataka najveći rizik. No malo se poduzima u vezi toga. U praksi je često teško iznijeti optužbe na račun vlastitog osoblja. Pogotovo u malim i srednjim poduzećima (MSP), gdje se ljudi međusobno poznaju, često im se daje određeno povjerenje - ponekad s neugodnim posljedicama. Dobro strukturirano upravljanje sigurnošću informacija daje osnovu za osiguranje sigurnosti informacija koje zahtijevaju zaštitu.

Zaključak: ISO 27001 u praksi - Dodatak A

U Dodatku A.7, norma ISO/IEC 27001:2017 daje referentne mjere za sigurnost osoblja koje se moraju implementirati kao dio uvođenja zahtjeva. Tvrtke bi ove kontrole trebale koristiti kao osnovu za individualni, dublji dizajn svoje politike informacijske sigurnosti. Mjere se ne oslanjaju na nepovjerenje zaposlenika, već na jasno strukturirane kadrovske procese.

Smjernica ISO 27002 definira široki katalog općih sigurnosnih mjera za podršku organizacijama u provedbi zahtjeva iz Dodtaka A norme ISO 27001. Početkom 2022. smjernica je opsežno revidirana i ažurirana. Novo izdanje pruža menadžerima informacijske sigurnosti precizan pogled na promjene koje se očekuju s revizijom ISO 27001.

Stručnost i povjerenje

Certificirane tvrtke cijene sustave upravljanja kao alate za upravu koji stvaraju transparentnost, smanjuju složenost i pružaju sigurnost. Međutim, sustavi upravljanja čine još više: procijenjeni i certificirani od neutralne i neovisne treće strane kao što je DQS, oni stvaraju povjerenje zainteresiranih strana u rad vaše tvrtke.

Mnoge organizacije još uvijek doživljavaju certifikaciju kao provjeru usklađenosti. Naši kupci, s druge strane, vide to kao priliku da se usredotoče na čimbenike koji su ključni za uspjeh i rezultate njihovog sustava upravljanja. To je zato što naše temeljne kompetencije leže u obavljanju certifikacijskih audita i ocjenjivanja. To nas čini jednim od vodećih svjetskih dobavljača koji može reći da postavlja nove standarde u pouzdanosti, kvaliteti i usmjerenosti na kupca u svakom trenutku.

Napomena: Naše članke pišu isključivo naši interni stručnjaci za sustave upravljanja i dugogodišnji auditori. Ako imate pitanja za naše autore o informacijskoj sigurnosti (ISMS), slobodno nam se obratite. Veselimo se razgovoru s vama.