ISO 27001 Załącznik A: Obowiązki i role pracowników

Dobrze skonstruowany system zarządzania bezpieczeństwem informacji (ISMS) zgodny z normą ISO 27001 stanowi podstawę do skutecznego wdrożenia całościowej strategii bezpieczeństwa informacji. Systematyczne podejście pomaga chronić poufne dane firmy przed utratą i niewłaściwym wykorzystaniem, a także wiarygodnie identyfikować potencjalne zagrożenia dla firmy, analizować je i umożliwiać ich kontrolę za pomocą odpowiednich środków. Obejmuje to znacznie więcej niż tylko aspekty bezpieczeństwa informatycznego. Szczególnie cenne dla praktyki jest wdrożenie środków zawartych w załączniku A do normy.

ISO/IEC 27001:2013 - Technika informatyczna - Procedury bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania.

Załącznik A do normy ISO 27001: Istotne z praktycznego punktu widzenia

Oprócz części dotyczącej wymagań zorientowanych na system zarządzania (rozdziały od 4 do 10), załącznik A normy ISO zawiera obszerną listę 35 celów środków (kontroli) ze 114 konkretnymi środkami dotyczącymi szerokiego zakresu aspektów bezpieczeństwa w 14 rozdziałach.

Uwaga: Stwierdzenia określane jako "środki" w załączniku A są w rzeczywistości indywidualnymi celami (kontrolami). Opisują one, jak powinien wyglądać zgodny z normą wynik zastosowania odpowiednich (indywidualnych) środków.

Firmy powinny wykorzystać te kontrole jako podstawę do indywidualnego, bardziej dogłębnego kształtowania swojej polityki bezpieczeństwa informacji. W odniesieniu do tematu personelu, szczególnie interesujący jest cel działania "Bezpieczeństwo personelu" w Dodatku A.7.

Procesy kadrowe zapewniają na wszystkich etapach zatrudnienia przypisanie odpowiedzialności i obowiązków w odniesieniu do bezpieczeństwa informacji oraz monitorowanie zgodności. Naruszenie polityki bezpieczeństwa informacji - zarówno zamierzone, jak i niezamierzone - nie jest więc niemożliwe, ale jest znacznie utrudnione. A jeśli dojdzie do najgorszego, skuteczny ISMS zapewnia organizacji odpowiednie mechanizmy radzenia sobie z naruszeniem.

Bezpieczeństwo informacji to nie brak zaufania

Nie jest w żadnym wypadku kwestią braku zaufania, jeśli firma wydaje odpowiednie wytyczne, aby utrudnić nieautoryzowany dostęp od wewnątrz lub, jeszcze lepiej, całkowicie go uniemożliwić. Jedno jest przecież pewne: jeśli pracownik ma zostać wkrótce zwolniony lub został już zwolniony, jego niezadowolenie może prowadzić do celowej kradzieży danych. Dzieje się tak zwłaszcza wtedy, gdy zwolniony pracownik uważa, że posiada prawa własności do danych projektowych. Z drugiej strony, podanie o konkretną pracę może być już złożone z zamiarem popełnienia czynu zabronionego.

Inne scenariusze wskazują na rażące niedbalstwo lub zwykłą lekkomyślność, które mogą mieć równie poważne konsekwencje. Zdarza się na przykład, że całe działy IT nie przestrzegają własnych zasad - zbyt uciążliwych, zbyt czasochłonnych. W biurze to nieostrożne obchodzenie się z hasłami czy niezabezpieczone smartfony. Ale także nieuważne podłączanie pamięci USB, otwarte dokumenty na ekranie, tajne dokumenty w pustych biurach - lista możliwych zaniedbań jest długa.

Załącznik A.7 do normy ISO 27001 - Bezpieczeństwo personelu

Firmy, które wdrożyły system zarządzania bezpieczeństwem informacji (ISMS) zgodnie z normą ISO 27001 są tutaj w lepszej sytuacji. Znają one wymagania i istotny z punktu widzenia praktyki Załącznik A.7 tej uznanej na całym świecie normy. Ponieważ ISO 27001 ma tu wiele do zaoferowania: Chociaż środki referencyjne odnoszą się bezpośrednio do wymagań normy, zawsze są ukierunkowane na bezpośrednią praktykę firmy.

Firmy posiadające skuteczny ISMS znają cele określone w A.7, które muszą być wdrożone z myślą o bezpieczeństwie personelu w celu zapewnienia pełnej zgodności z normą - we wszystkich fazach zatrudnienia.

Co mówi norma ISO 27001 w załączniku A.7?

Środki przed zatrudnieniem

Organizacja musi upewnić się, że nowy pracownik rozumie swoje przyszłe obowiązki i jest odpowiedni do swojej roli przed zatrudnieniem - zgodnie z Załącznikiem A.7.1. W części dotyczącej wymagań (rozdział 7.2), norma mówi o "kompetencjach".

Jako środek odniesienia zorientowany na cel, osoby ubiegające się o pracę najpierw otrzymują poświadczenie bezpieczeństwa, które jest zgodne z zasadami etycznymi i obowiązującym prawem. To sprawdzenie musi być odpowiednie w stosunku do wymagań biznesowych, klauzuli tajności informacji, które mają być uzyskane, i możliwego ryzyka (A.7.1.1). Aby móc to osiągnąć, należy m.in. wprowadzić, zapewnić lub zweryfikować następujące elementy:

• Procedura pozyskiwania informacji (w jaki sposób i na jakich warunkach)
• wykaz kryteriów prawnych i etycznych, których należy przestrzegać
• Kontrola bezpieczeństwa musi być odpowiednia, związana z ryzykiem i potrzebami firmy.
• wiarygodność i autentyczność dokumentów CV, sprawozdań finansowych i innych dokumentów
• Wiarygodność i kompetencje kandydata na planowane stanowisko.

Umowy kontraktowe

Kolejny krok dotyczy warunków zatrudnienia i umów. Tak więc, ten środek odniesienia w Załączniku A do ISO/IEC 27001 składa się z porozumienia umownego dotyczącego obowiązków pracowników wobec firmy i vice versa (A.7.1.2). Skuteczne wdrożenie tego wymagania obejmuje, między innymi, spełnienie tych punktów:

• Podpisanie umowy o zachowaniu poufności przez pracownika (wykonawcę) mającego dostęp do informacji poufnych
• umowne zobowiązanie pracownika (zleceniobiorcy) do przestrzegania np. kwestii praw autorskich lub ochrony danych osobowych
• zapis w umowie dotyczący odpowiedzialności pracowników (zleceniobiorców) w przypadku korzystania z informacji zewnętrznych

Podczas zatrudnienia - obowiązki kierownictwa wyższego szczebla.

Pracownicy muszą być świadomi swojej odpowiedzialności za bezpieczeństwo informacji. Taki jest cel punktu A.7.2, a co ważniejsze, pracownicy muszą wywiązywać się z tych obowiązków.

Pierwszy środek (A.7.2.1) ma na celu zobowiązanie kierownictwa do zachęcania swoich pracowników do wdrażania bezpieczeństwa informacji zgodnie z ustalonymi politykami i procedurami. W tym celu, jako minimum, należy uregulować następujące kwestie:

• W jaki sposób najwyższe kierownictwo zachęca pracowników do wdrożenia? Gdzie występują zagrożenia?
• W jaki sposób zapewnia, że pracownicy są świadomi wdrożonych wytycznych dotyczących postępowania z bezpieczeństwem informacji?
• W jaki sposób sprawdza, czy pracownicy przestrzegają wytycznych dotyczących postępowania z bezpieczeństwem informacji?
• Jak motywuje swoich pracowników do wdrażania polityk i procedur oraz ich bezpiecznego stosowania?

Kształtowanie świadomości

W rozdziale 7.3 "Świadomość", norma ISO 27001 wymaga, aby osoby wykonujące odpowiednie czynności były świadome

• Polityki bezpieczeństwa informacji organizacji
• Wkładu, jaki wnoszą w skuteczność systemu zarządzania bezpieczeństwem informacji (ISMS)
• Korzyści płynących z poprawy wyników w zakresie bezpieczeństwa informacji
• Konsekwencji niespełnienia wymagań ISMS.

W szczególności nowi pracownicy, oprócz obowiązkowego instruktażu z zakresu bezpieczeństwa informacji, potrzebują regularnego informowania na ten temat, np. za pośrednictwem poczty elektronicznej lub intranetu. Konkretne szkolenia (zwłaszcza dotyczące planów i ćwiczeń awaryjnych), warsztaty tematyczne i kampanie uświadamiające (np. za pomocą plakatów) wzmacniają świadomość systemu zarządzania bezpieczeństwem informacji.

Na przykład, środek referencyjny A.7.2.1 w Załączniku A do ISO 27001 również służy do tworzenia odpowiedniej świadomości w zakresie bezpieczeństwa informacji. Organizacje muszą szkolić i edukować swoich pracowników oraz, w stosownych przypadkach, swoich wykonawców w zakresie tematów związanych z zawodem. Odpowiednie polityki i procedury muszą być regularnie aktualizowane. Należy wziąć pod uwagę między innymi następujące aspekty:

• Sposób, w jaki najwyższe kierownictwo, ze swej strony, jest zaangażowane w bezpieczeństwo informacji.
• charakter kształcenia i szkolenia zawodowego
• Częstotliwość, z jaką polityki i procedury są przeglądane i aktualizowane
• Inne stosowane narzędzia
• Konkretne środki mające na celu zapoznanie pracowników z wewnętrznymi politykami i procedurami bezpieczeństwa informacji.

WSKAZÓWKA: Należy zapewnić sprawnie funkcjonującą komunikację z wieloma kanałami przekazywania wiedzy. Wynika to z faktu, że świadomość ISMS i związanych z nim aspektów wymaganych przez normę jest ściśle związana z przekazywaniem wiedzy.

Proces udzielania nagany

Załącznik 7.2.3: Działanie to określa sposób, w jaki organizacja będzie postępować z naganami w przypadku naruszeń bezpieczeństwa informacji. Podstawą tego jest proces działań korygujących. Powinien on być formalnie zdefiniowany, ustanowiony i ogłoszony. Muszą być zapewnione następujące elementy:

• Muszą istnieć kryteria, według których klasyfikuje się stopień ciężkości naruszenia polityki bezpieczeństwa informacji
• Proces dyscyplinarny nie może naruszać obowiązującego prawa
• Proces dyscyplinarny musi zawierać środki, które motywują pracowników do pozytywnej zmiany zachowania w dłuższej perspektywie czasowej.

Koniec zatrudnienia - obowiązki

Załącznik A.7.3 normy ISO 27001 określa jako cel skuteczny proces zakończenia lub zmiany zatrudnienia w celu ochrony interesów organizacji. Cel ten koncentruje się na odpowiedzialności za zakończenie lub zmianę zatrudnienia. W związku z tym, obowiązki i odpowiedzialność związane z bezpieczeństwem informacji, które pozostają po rozwiązaniu lub zmianie zatrudnienia muszą być zdefiniowane, zakomunikowane i egzekwowane. Rozważenie tych aspektów ma sens:

• Uzgodnienia w umowach o pracę dotyczące sposobu, w jaki pracownicy mają postępować z obowiązkami i odpowiedzialnością związaną z bezpieczeństwem informacji po ustaniu zatrudnienia
• Mechanizmy monitorowania w celu zapewnienia zgodności z tymi porozumieniami
• Procedury egzekwowania zgodności z obowiązkami i odpowiedzialnością.

Cyberbezpieczeństwo dzięki systematycznemu bezpieczeństwu personelu

Zagrożenie od wewnątrz jest realne - i większość firm zdaje sobie z tego sprawę. Według badania dotyczącego bezpieczeństwa (Balabit 2018) pracownicy, którzy mają szerokie prawa dostępu, są szczególnie narażeni na ataki. A ponieważ pracownicy są zamieszani w 50 proc. wszystkich naruszeń bezpieczeństwa, 69 proc. ankietowanych specjalistów IT uważa naruszenie danych wewnętrznych za największe ryzyko. Jednak niewiele się z tym robi. W praktyce, często trudno jest postawić zarzuty pracownikom wewnętrznym. Szczególnie w małych i średnich przedsiębiorstwach (MŚP), gdzie ludzie znają się nawzajem, często obdarza się ich pewnym zaufaniem - czasami z nieprzyjemnymi konsekwencjami. Dobrze zorganizowane zarządzanie bezpieczeństwem informacji stanowi podstawę do zapewnienia bezpieczeństwa informacji, które wymagają ochrony.

Wnioski: ISO 27001 w praktyce - Załącznik A

W Załączniku A.7, norma ISO/IEC 27001 zawiera środki referencyjne dotyczące bezpieczeństwa personelu, które muszą być wdrożone w ramach wprowadzania normy. Firmy powinny wykorzystywać te środki kontroli jako podstawę do indywidualnego, bardziej dogłębnego projektowania polityki bezpieczeństwa informacji. Środki te nie opierają się na braku zaufania do pracowników, ale na jasno ustrukturyzowanych procesach personalnych.

Kompetencja i zaufanie

Certyfikowane firmy cenią systemy zarządzania jako narzędzia dla najwyższego kierownictwa, które tworzą przejrzystość, zmniejszają złożoność i zapewniają bezpieczeństwo. Jednak systemy zarządzania dają jeszcze więcej: Oceniane i certyfikowane przez neutralną i niezależną stronę trzecią, taką jak DQS , budują zaufanie zainteresowanych stron do wyników Państwa firmy.

Wiele organizacji nadal doświadcza certyfikacji jako kontroli zgodności. Z drugiej strony, nasi klienci widzą w tym możliwość skupienia się na czynnikach decydujących o sukcesie i wynikach ich systemu zarządzania. Ponieważ nasze podstawowe kompetencje leżą w przeprowadzaniu audytów i ocen certyfikacyjnych. To sprawia, że jesteśmy jednym z wiodących dostawców na świecie, który zawsze wyznacza nowe standardy w zakresie niezawodności, jakości i orientacji na klienta.

Uwaga: Nasze artykuły są pisane wyłącznie przez naszych wewnętrznych ekspertów ds. systemów zarządzania i wieloletnich audytorów. Jeśli mają Państwo jakiekolwiek pytania do naszych autorów na temat bezpieczeństwa informacji (ISMS), prosimy o kontakt. Chętnie z Państwem porozmawiamy.