Киберпреступность представляет собой серьезную угрозу для компаний всех отраслей и размеров - это общеизвестно. Репертуар варьируется от шпионажа до саботажа и шантажа. Однако опасность исходит не только из Интернета. Ваши собственные сотрудники также могут быть серьезным фактором риска. Особенно если ваша компания не приняла соответствующих мер - взгляните на Приложение A.7 стандарта ISO 27001.

Loading...

Хорошо структурированная система управления информационной безопасностью (ISMS) в соответствии со стандартом ISO 27001 обеспечивает основу для эффективной реализации целостной стратегии информационной безопасности. Системный подход помогает защитить конфиденциальные данные компании от потери и неправомерного использования, а также надежно выявить потенциальные риски для компании, проанализировать их и сделать контролируемыми с помощью соответствующих мер. Это включает в себя гораздо больше, чем просто аспекты ИТ-безопасности. Особенно ценным для практики является применение мер, приведенных в Приложении А стандарта.

ISO/IEC 27001:2013: - Информационные технологии - Процедуры безопасности - Системы управления информационной безопасностью - Требования.

Приложение А стандарта ISO 27001: практическая значимость

В дополнение к разделу требований, ориентированному на систему менеджмента (главы с 4 по 10), приложение А стандарта ISO содержит обширный список из 35 целей мероприятий (элементов управления) со 114 конкретными мерами по широкому спектру аспектов безопасности в 14 главах.

Примечание: Утверждения, названные в Приложении А "мерами", на самом деле являются отдельными целями (элементами управления). Они описывают, как должен выглядеть соответствующий стандарту результат подходящих (индивидуальных) мер.

Компании должны использовать эти меры контроля в качестве основы для индивидуальной, более глубокой структуры своей политики информационной безопасности. Что касается темы персонала, то особый интерес представляет цель мероприятия "Безопасность персонала" в Приложении A.7.

"Меры опираются не на недоверие к сотрудникам, а на четко структурированные процессы работы с персоналом".

Кадровые процессы обеспечивают на всех этапах трудовой деятельности распределение ответственности и обязанностей в отношении информационной безопасности и контроль за их соблюдением. Таким образом, нарушения политики информационной безопасности - как намеренные, так и непреднамеренные - не исключены, но они значительно усложняются. А если случится худшее, эффективная СУИБ предоставляет организации соответствующие механизмы для устранения нарушения.

Информационная безопасность - это не недоверие

Ни в коем случае нельзя считать недоверием, если компания издает соответствующие инструкции, чтобы затруднить несанкционированный доступ изнутри или, что еще лучше, вообще предотвратить его. В конце концов, ясно одно: если увольнение сотрудника неизбежно или уже объявлено, его недовольство может привести к целенаправленной краже данных. Это происходит особенно в тех случаях, когда уволенный сотрудник считает, что обладает правами собственности на данные проекта. И наоборот, заявление о приеме на конкретную работу может быть подано уже с намерением совершить преступное деяние.

Другие сценарии указывают на грубую халатность или просто безрассудство, которые могут иметь столь же серьезные последствия. Бывает, например, что целые ИТ-отделы не придерживаются своих собственных правил - слишком громоздких, слишком трудоемких. В офисе это небрежное обращение с паролями или незащищенными смартфонами. Но также небрежное подключение USB-носителей, открытые документы на экране, секретные документы в пустых офисах - список возможных упущений длинный.

Приложение A.7 стандарта ISO 27001 - Безопасность персонала

Компании, внедрившие систему управления информационной безопасностью (ISMS) в соответствии со стандартом ISO 27001, находятся в более выгодном положении. Они знают требования и относящееся к практике Приложение A.7 этого международно признанного стандарта. Потому что ISO 27001 может многое предложить здесь: Хотя эталонные меры ссылаются непосредственно на требования стандарта, они всегда направлены на непосредственную практику компании.

Компании с эффективной СУИБ знакомы с целями, указанными в A.7, которые должны быть реализованы с целью обеспечения безопасности персонала для полного соответствия стандарту - на всех этапах работы.

Что говорится в стандарте ISO 27001 в приложении A.7?

Меры перед приемом на работу

Организация должна убедиться, что новый сотрудник понимает свои будущие обязанности и подходит для своей роли, прежде чем принять его на работу - в соответствии с Приложением A.7.1. В разделе требований (глава 7.2) стандарт говорит о "компетентности".

В качестве целевой контрольной меры кандидаты на работу сначала проходят проверку на благонадежность, соответствующую этическим принципам и действующему законодательству. Эта проверка должна быть адекватной по отношению к требованиям бизнеса, классификации информации, которую необходимо получить, и возможным рискам (A.7.1.1). Для этого, помимо прочего, должно быть установлено, обеспечено или проверено следующее:

  • процедура получения информации (как и при каких условиях)
  • перечень правовых и этических критериев, которые должны соблюдаться.
  • Проверка безопасности должна быть соответствующей, связанной с рисками и потребностями компании
  • правдоподобность и подлинность C.V., финансовых отчетов и других документов
  • благонадежность и компетентность кандидата на предполагаемую должность.

Контрактные соглашения

Следующий шаг касается трудоустройства и договорных условий. Таким образом, данная контрольная мера в Приложении А ISO/IEC 27001 состоит из контрактного соглашения о том, какие обязанности сотрудники имеют по отношению к компании и наоборот (A.7.1.2). Успешное выполнение этого требования включает, помимо прочего, выполнение таких пунктов:

  • Подписание соглашения о конфиденциальности сотрудником (подрядчиком), имеющим доступ к конфиденциальной информации
  • договорное обязательство со стороны работника (подрядчика) соблюдать, например, авторские права или вопросы защиты данных
  • договорное положение об ответственности сотрудников (подрядчиков) при работе с внешней информацией.

Во время работы - Обязанности высшего руководства.

Сотрудники должны быть осведомлены о своих обязанностях в области информационной безопасности. Это является целью пункта A.7.2, и, что более важно, сотрудники должны выполнять эти обязанности.

Первая мера (A.7.2.1) направлена на обязанность руководства поощрять своих сотрудников осуществлять информационную безопасность в соответствии с установленными политиками и процедурами. Для этого, как минимум, должны быть регламентированы следующие моменты:

  • Каким образом высшее руководство поощряет сотрудников к внедрению? Где существуют риски?
  • Каким образом оно обеспечивает осведомленность сотрудников о внедренных руководящих принципах работы с информационной безопасностью?
  • Как оно проверяет, придерживаются ли сотрудники руководящих принципов по работе с информационной безопасностью?
  • Как оно мотивирует сотрудников к внедрению политик и процедур и их безопасному применению?

Создание осведомленности

В главе 7.3 "Информированность" ISO 27001 требует, чтобы лица, выполняющие соответствующую деятельность, были осведомлены о следующем

  • о политике информационной безопасности организации
  • о вкладе, который они вносят в эффективность системы менеджмента информационной безопасности (ISMS)
  • о преимуществах улучшения показателей информационной безопасности
  • о последствиях невыполнения требований СУИБ.

Новые сотрудники особенно нуждаются в регулярном информировании по этому вопросу, например, по электронной почте или через интранет, в дополнение к обязательному инструктажу по вопросам информационной безопасности. Конкретное обучение (особенно по планам и учениям на случай чрезвычайных ситуаций), семинары по конкретным темам и информационные кампании (например, с помощью плакатов) повышают осведомленность о системе управления информационной безопасностью.

Например, ссылочная мера A.7.2.1 в Приложении A стандарта ISO 27001 также служит для создания соответствующей осведомленности об информационной безопасности. Организации должны обучать и тренировать своих сотрудников и, при необходимости, своих подрядчиков по профессионально значимым темам. Соответствующие политики и процедуры должны регулярно обновляться. При этом необходимо учитывать, в частности, следующие аспекты:

  • то, как высшее руководство, со своей стороны, относится к информационной безопасности
  • характер профессионального образования и подготовки
  • частота пересмотра и обновления политик и процедур.
  • Другие используемые инструменты
  • Конкретные меры по ознакомлению сотрудников с внутренними политиками и процедурами информационной безопасности

СОВЕТ: Обеспечьте хорошо отлаженную коммуникацию с множеством каналов для передачи знаний. Это необходимо потому, что осведомленность о СУИБ и связанных с ней аспектах, требуемых стандартом, тесно связана с передачей знаний.

Процесс вынесения выговора

Приложение 7.2.3: Эта мера определяет, каким образом организация будет обрабатывать выговоры в случае нарушений информационной безопасности. Основой для этого является процесс корректирующих действий. Он должен быть формально определен, установлен и объявлен. Должно быть обеспечено следующее:

  • Должны существовать критерии, в соответствии с которыми классифицируется серьезность нарушения политики информационной безопасности.
  • Дисциплинарный процесс не должен нарушать действующее законодательство
  • Дисциплинарный процесс должен содержать меры, которые мотивируют сотрудников изменить свое поведение в положительную сторону в долгосрочной перспективе.

Окончание трудовых отношений - Ответственность

Приложение A.7.3 стандарта ISO 27001 определяет в качестве цели эффективный процесс прекращения трудовых отношений или изменений для защиты интересов организации. Эта цель фокусируется на ответственности за прекращение или изменение трудовых отношений. Соответственно, ответственность и обязательства, связанные с информационной безопасностью, которые остаются после прекращения или изменения трудовых отношений, должны быть определены, переданы и обеспечены. Имеет смысл рассмотреть эти аспекты:

  • Соглашения в трудовых договорах о том, как сотрудники должны относиться к сохраняющимся обязанностям и ответственности, связанным с информационной безопасностью, после прекращения трудовых отношений.
  • Механизмы мониторинга для обеспечения соблюдения этих соглашений
  • Процедуры принуждения к соблюдению постоянной ответственности и обязанностей.

Кибербезопасность через систематическую защиту персонала

Угроза изнутри реальна - и большинство компаний знают об этом. Согласно исследованию в области безопасности (Balabit 2018), сотрудники, обладающие широкими правами доступа, особенно уязвимы для атак. А поскольку сотрудники причастны к 50 процентам всех нарушений безопасности, 69 процентов опрошенных ИТ-специалистов считают наибольшим риском утечку внутренних данных. Однако для решения этой проблемы мало что делается. На практике зачастую трудно выдвинуть обвинения против штатных сотрудников. Особенно на малых и средних предприятиях (МСП), где люди знают друг друга, им часто доверяют - иногда с неприятными последствиями. Хорошо структурированное управление информационной безопасностью обеспечивает основу для обеспечения безопасности информации, которая требует защиты.

Заключение: ISO 27001 на практике - Приложение A

В Приложении A.7 ISO/IEC 27001 приведены эталонные меры по обеспечению безопасности персонала, которые должны быть реализованы в рамках внедрения стандарта. Компании должны использовать эти меры в качестве основы для индивидуальной, более глубокой разработки политики информационной безопасности. Эти меры основаны не на недоверии к сотрудникам, а на четко структурированных кадровых процессах.

Экспертиза и доверие

Сертифицированные компании ценят системы управления как инструменты для высшего руководства, которые создают прозрачность, снижают сложность и обеспечивают безопасность. Однако системы управления делают еще больше: Оцененные и сертифицированные нейтральной и независимой третьей стороной, такой как DQS, они создают доверие у заинтересованных сторон к результатам деятельности вашей компании.

Многие организации до сих пор воспринимают сертификацию как проверку соответствия. Наши клиенты, напротив, видят в этом возможность сосредоточиться на критически важных факторах успеха и результатах своей системы менеджмента. Потому что наша основная компетенция заключается в проведении сертификационных аудитов и оценок. Это делает нас одним из ведущих поставщиков услуг во всем мире, претендующим на установление новых стандартов надежности, качества и ориентации на клиента в любое время.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certification according to ISO 27001

Какой объем работ необходимо выполнить, чтобы ваша система управления информационной безопасностью была сертифицирована на соответствие стандарту ISO 27001? Узнайте это бесплатно и без обязательств.

Обратите внимание: наши статьи написаны исключительно нашими штатными экспертами по системам менеджмента и аудиторами с большим стажем. Если у вас есть вопросы к нашим авторам по информационной безопасности (ISMS), пожалуйста, свяжитесь с нами. Мы будем рады пообщаться с вами.

Автор
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Loading...