Киберпреступность представляет собой серьезную угрозу для компаний всех отраслей и размеров - это общеизвестно. Репертуар варьируется от шпионажа до саботажа и шантажа. Однако опасность исходит не только из Интернета. Ваши собственные сотрудники также могут быть серьезным фактором риска. Особенно если ваша компания не приняла соответствующих мер - взгляните на Приложение A.7 стандарта ISO 27001.
Хорошо структурированная система управления информационной безопасностью (ISMS) в соответствии со стандартом ISO 27001 обеспечивает основу для эффективной реализации целостной стратегии информационной безопасности. Системный подход помогает защитить конфиденциальные данные компании от потери и неправомерного использования, а также надежно выявить потенциальные риски для компании, проанализировать их и сделать контролируемыми с помощью соответствующих мер. Это включает в себя гораздо больше, чем просто аспекты ИТ-безопасности. Особенно ценным для практики является применение мер, приведенных в Приложении А стандарта.
ISO/IEC 27001:2013: - Информационные технологии - Процедуры безопасности - Системы управления информационной безопасностью - Требования.
В дополнение к разделу требований, ориентированному на систему менеджмента (главы с 4 по 10), приложение А стандарта ISO содержит обширный список из 35 целей мероприятий (элементов управления) со 114 конкретными мерами по широкому спектру аспектов безопасности в 14 главах.
Примечание: Утверждения, названные в Приложении А "мерами", на самом деле являются отдельными целями (элементами управления). Они описывают, как должен выглядеть соответствующий стандарту результат подходящих (индивидуальных) мер.
Компании должны использовать эти меры контроля в качестве основы для индивидуальной, более глубокой структуры своей политики информационной безопасности. Что касается темы персонала, то особый интерес представляет цель мероприятия "Безопасность персонала" в Приложении A.7.
"Меры опираются не на недоверие к сотрудникам, а на четко структурированные процессы работы с персоналом".
Кадровые процессы обеспечивают на всех этапах трудовой деятельности распределение ответственности и обязанностей в отношении информационной безопасности и контроль за их соблюдением. Таким образом, нарушения политики информационной безопасности - как намеренные, так и непреднамеренные - не исключены, но они значительно усложняются. А если случится худшее, эффективная СУИБ предоставляет организации соответствующие механизмы для устранения нарушения.
Ни в коем случае нельзя считать недоверием, если компания издает соответствующие инструкции, чтобы затруднить несанкционированный доступ изнутри или, что еще лучше, вообще предотвратить его. В конце концов, ясно одно: если увольнение сотрудника неизбежно или уже объявлено, его недовольство может привести к целенаправленной краже данных. Это происходит особенно в тех случаях, когда уволенный сотрудник считает, что обладает правами собственности на данные проекта. И наоборот, заявление о приеме на конкретную работу может быть подано уже с намерением совершить преступное деяние.
Другие сценарии указывают на грубую халатность или просто безрассудство, которые могут иметь столь же серьезные последствия. Бывает, например, что целые ИТ-отделы не придерживаются своих собственных правил - слишком громоздких, слишком трудоемких. В офисе это небрежное обращение с паролями или незащищенными смартфонами. Но также небрежное подключение USB-носителей, открытые документы на экране, секретные документы в пустых офисах - список возможных упущений длинный.
Компании, внедрившие систему управления информационной безопасностью (ISMS) в соответствии со стандартом ISO 27001, находятся в более выгодном положении. Они знают требования и относящееся к практике Приложение A.7 этого международно признанного стандарта. Потому что ISO 27001 может многое предложить здесь: Хотя эталонные меры ссылаются непосредственно на требования стандарта, они всегда направлены на непосредственную практику компании.
Компании с эффективной СУИБ знакомы с целями, указанными в A.7, которые должны быть реализованы с целью обеспечения безопасности персонала для полного соответствия стандарту - на всех этапах работы.
Организация должна убедиться, что новый сотрудник понимает свои будущие обязанности и подходит для своей роли, прежде чем принять его на работу - в соответствии с Приложением A.7.1. В разделе требований (глава 7.2) стандарт говорит о "компетентности".
В качестве целевой контрольной меры кандидаты на работу сначала проходят проверку на благонадежность, соответствующую этическим принципам и действующему законодательству. Эта проверка должна быть адекватной по отношению к требованиям бизнеса, классификации информации, которую необходимо получить, и возможным рискам (A.7.1.1). Для этого, помимо прочего, должно быть установлено, обеспечено или проверено следующее:
Следующий шаг касается трудоустройства и договорных условий. Таким образом, данная контрольная мера в Приложении А ISO/IEC 27001 состоит из контрактного соглашения о том, какие обязанности сотрудники имеют по отношению к компании и наоборот (A.7.1.2). Успешное выполнение этого требования включает, помимо прочего, выполнение таких пунктов:
Сотрудники должны быть осведомлены о своих обязанностях в области информационной безопасности. Это является целью пункта A.7.2, и, что более важно, сотрудники должны выполнять эти обязанности.
Первая мера (A.7.2.1) направлена на обязанность руководства поощрять своих сотрудников осуществлять информационную безопасность в соответствии с установленными политиками и процедурами. Для этого, как минимум, должны быть регламентированы следующие моменты:
В главе 7.3 "Информированность" ISO 27001 требует, чтобы лица, выполняющие соответствующую деятельность, были осведомлены о следующем
Новые сотрудники особенно нуждаются в регулярном информировании по этому вопросу, например, по электронной почте или через интранет, в дополнение к обязательному инструктажу по вопросам информационной безопасности. Конкретное обучение (особенно по планам и учениям на случай чрезвычайных ситуаций), семинары по конкретным темам и информационные кампании (например, с помощью плакатов) повышают осведомленность о системе управления информационной безопасностью.
Например, ссылочная мера A.7.2.1 в Приложении A стандарта ISO 27001 также служит для создания соответствующей осведомленности об информационной безопасности. Организации должны обучать и тренировать своих сотрудников и, при необходимости, своих подрядчиков по профессионально значимым темам. Соответствующие политики и процедуры должны регулярно обновляться. При этом необходимо учитывать, в частности, следующие аспекты:
СОВЕТ: Обеспечьте хорошо отлаженную коммуникацию с множеством каналов для передачи знаний. Это необходимо потому, что осведомленность о СУИБ и связанных с ней аспектах, требуемых стандартом, тесно связана с передачей знаний.
Приложение 7.2.3: Эта мера определяет, каким образом организация будет обрабатывать выговоры в случае нарушений информационной безопасности. Основой для этого является процесс корректирующих действий. Он должен быть формально определен, установлен и объявлен. Должно быть обеспечено следующее:
Приложение A.7.3 стандарта ISO 27001 определяет в качестве цели эффективный процесс прекращения трудовых отношений или изменений для защиты интересов организации. Эта цель фокусируется на ответственности за прекращение или изменение трудовых отношений. Соответственно, ответственность и обязательства, связанные с информационной безопасностью, которые остаются после прекращения или изменения трудовых отношений, должны быть определены, переданы и обеспечены. Имеет смысл рассмотреть эти аспекты:
Угроза изнутри реальна - и большинство компаний знают об этом. Согласно исследованию в области безопасности (Balabit 2018), сотрудники, обладающие широкими правами доступа, особенно уязвимы для атак. А поскольку сотрудники причастны к 50 процентам всех нарушений безопасности, 69 процентов опрошенных ИТ-специалистов считают наибольшим риском утечку внутренних данных. Однако для решения этой проблемы мало что делается. На практике зачастую трудно выдвинуть обвинения против штатных сотрудников. Особенно на малых и средних предприятиях (МСП), где люди знают друг друга, им часто доверяют - иногда с неприятными последствиями. Хорошо структурированное управление информационной безопасностью обеспечивает основу для обеспечения безопасности информации, которая требует защиты.
В Приложении A.7 ISO/IEC 27001 приведены эталонные меры по обеспечению безопасности персонала, которые должны быть реализованы в рамках внедрения стандарта. Компании должны использовать эти меры в качестве основы для индивидуальной, более глубокой разработки политики информационной безопасности. Эти меры основаны не на недоверии к сотрудникам, а на четко структурированных кадровых процессах.
Сертифицированные компании ценят системы управления как инструменты для высшего руководства, которые создают прозрачность, снижают сложность и обеспечивают безопасность. Однако системы управления делают еще больше: Оцененные и сертифицированные нейтральной и независимой третьей стороной, такой как DQS, они создают доверие у заинтересованных сторон к результатам деятельности вашей компании.
Многие организации до сих пор воспринимают сертификацию как проверку соответствия. Наши клиенты, напротив, видят в этом возможность сосредоточиться на критически важных факторах успеха и результатах своей системы менеджмента. Потому что наша основная компетенция заключается в проведении сертификационных аудитов и оценок. Это делает нас одним из ведущих поставщиков услуг во всем мире, претендующим на установление новых стандартов надежности, качества и ориентации на клиента в любое время.
Какой объем работ необходимо выполнить, чтобы ваша система управления информационной безопасностью была сертифицирована на соответствие стандарту ISO 27001? Узнайте это бесплатно и без обязательств.
Обратите внимание: наши статьи написаны исключительно нашими штатными экспертами по системам менеджмента и аудиторами с большим стажем. Если у вас есть вопросы к нашим авторам по информационной безопасности (ISMS), пожалуйста, свяжитесь с нами. Мы будем рады пообщаться с вами.
Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.
