Киберпреступность представляет собой серьезную угрозу для компаний всех отраслей и размеров - это общеизвестно. Репертуар варьируется от шпионажа до саботажа и шантажа. Однако опасность исходит не только из Интернета. Ваши собственные сотрудники также могут быть серьезным фактором риска. Особенно если ваша компания не приняла соответствующих мер - взгляните на Приложение A.7 стандарта ISO 27001.
Хорошо структурированная система управления информационной безопасностью (ISMS) в соответствии со стандартом ISO 27001 обеспечивает основу для эффективной реализации целостной стратегии информационной безопасности. Системный подход помогает защитить конфиденциальные данные компании от потери и неправомерного использования, а также надежно выявить потенциальные риски для компании, проанализировать их и сделать контролируемыми с помощью соответствующих мер. Это включает в себя гораздо больше, чем просто аспекты ИТ-безопасности. Особенно ценным для практики является применение мер, приведенных в Приложении А стандарта.
ISO/IEC 27001:2013: - Информационные технологии - Процедуры безопасности - Системы управления информационной безопасностью - Требования.
Приложение А стандарта ISO 27001: практическая значимость
В дополнение к разделу требований, ориентированному на систему менеджмента (главы с 4 по 10), приложение А стандарта ISO содержит обширный список из 35 целей мероприятий (элементов управления) со 114 конкретными мерами по широкому спектру аспектов безопасности в 14 главах.
Примечание: Утверждения, названные в Приложении А "мерами", на самом деле являются отдельными целями (элементами управления). Они описывают, как должен выглядеть соответствующий стандарту результат подходящих (индивидуальных) мер.
Компании должны использовать эти меры контроля в качестве основы для индивидуальной, более глубокой структуры своей политики информационной безопасности. Что касается темы персонала, то особый интерес представляет цель мероприятия "Безопасность персонала" в Приложении A.7.
"Меры опираются не на недоверие к сотрудникам, а на четко структурированные процессы работы с персоналом".
Кадровые процессы обеспечивают на всех этапах трудовой деятельности распределение ответственности и обязанностей в отношении информационной безопасности и контроль за их соблюдением. Таким образом, нарушения политики информационной безопасности - как намеренные, так и непреднамеренные - не исключены, но они значительно усложняются. А если случится худшее, эффективная СУИБ предоставляет организации соответствующие механизмы для устранения нарушения.
Информационная безопасность - это не недоверие
Ни в коем случае нельзя считать недоверием, если компания издает соответствующие инструкции, чтобы затруднить несанкционированный доступ изнутри или, что еще лучше, вообще предотвратить его. В конце концов, ясно одно: если увольнение сотрудника неизбежно или уже объявлено, его недовольство может привести к целенаправленной краже данных. Это происходит особенно в тех случаях, когда уволенный сотрудник считает, что обладает правами собственности на данные проекта. И наоборот, заявление о приеме на конкретную работу может быть подано уже с намерением совершить преступное деяние.
Другие сценарии указывают на грубую халатность или просто безрассудство, которые могут иметь столь же серьезные последствия. Бывает, например, что целые ИТ-отделы не придерживаются своих собственных правил - слишком громоздких, слишком трудоемких. В офисе это небрежное обращение с паролями или незащищенными смартфонами. Но также небрежное подключение USB-носителей, открытые документы на экране, секретные документы в пустых офисах - список возможных упущений длинный.
Приложение A.7 стандарта ISO 27001 - Безопасность персонала
Компании, внедрившие систему управления информационной безопасностью (ISMS) в соответствии со стандартом ISO 27001, находятся в более выгодном положении. Они знают требования и относящееся к практике Приложение A.7 этого международно признанного стандарта. Потому что ISO 27001 может многое предложить здесь: Хотя эталонные меры ссылаются непосредственно на требования стандарта, они всегда направлены на непосредственную практику компании.
Компании с эффективной СУИБ знакомы с целями, указанными в A.7, которые должны быть реализованы с целью обеспечения безопасности персонала для полного соответствия стандарту - на всех этапах работы.
Что говорится в стандарте ISO 27001 в приложении A.7?
Меры перед приемом на работу
Организация должна убедиться, что новый сотрудник понимает свои будущие обязанности и подходит для своей роли, прежде чем принять его на работу - в соответствии с Приложением A.7.1. В разделе требований (глава 7.2) стандарт говорит о "компетентности".
В качестве целевой контрольной меры кандидаты на работу сначала проходят проверку на благонадежность, соответствующую этическим принципам и действующему законодательству. Эта проверка должна быть адекватной по отношению к требованиям бизнеса, классификации информации, которую необходимо получить, и возможным рискам (A.7.1.1). Для этого, помимо прочего, должно быть установлено, обеспечено или проверено следующее:
- процедура получения информации (как и при каких условиях)
- перечень правовых и этических критериев, которые должны соблюдаться.
- Проверка безопасности должна быть соответствующей, связанной с рисками и потребностями компании
- правдоподобность и подлинность C.V., финансовых отчетов и других документов
- благонадежность и компетентность кандидата на предполагаемую должность.
Контрактные соглашения
Следующий шаг касается трудоустройства и договорных условий. Таким образом, данная контрольная мера в Приложении А ISO/IEC 27001 состоит из контрактного соглашения о том, какие обязанности сотрудники имеют по отношению к компании и наоборот (A.7.1.2). Успешное выполнение этого требования включает, помимо прочего, выполнение таких пунктов:
- Подписание соглашения о конфиденциальности сотрудником (подрядчиком), имеющим доступ к конфиденциальной информации
- договорное обязательство со стороны работника (подрядчика) соблюдать, например, авторские права или вопросы защиты данных
- договорное положение об ответственности сотрудников (подрядчиков) при работе с внешней информацией.
Во время работы - Обязанности высшего руководства.
Сотрудники должны быть осведомлены о своих обязанностях в области информационной безопасности. Это является целью пункта A.7.2, и, что более важно, сотрудники должны выполнять эти обязанности.
Первая мера (A.7.2.1) направлена на обязанность руководства поощрять своих сотрудников осуществлять информационную безопасность в соответствии с установленными политиками и процедурами. Для этого, как минимум, должны быть регламентированы следующие моменты:
- Каким образом высшее руководство поощряет сотрудников к внедрению? Где существуют риски?
- Каким образом оно обеспечивает осведомленность сотрудников о внедренных руководящих принципах работы с информационной безопасностью?
- Как оно проверяет, придерживаются ли сотрудники руководящих принципов по работе с информационной безопасностью?
- Как оно мотивирует сотрудников к внедрению политик и процедур и их безопасному применению?
Создание осведомленности
В главе 7.3 "Информированность" ISO 27001 требует, чтобы лица, выполняющие соответствующую деятельность, были осведомлены о следующем
- о политике информационной безопасности организации
- о вкладе, который они вносят в эффективность системы менеджмента информационной безопасности (ISMS)
- о преимуществах улучшения показателей информационной безопасности
- о последствиях невыполнения требований СУИБ.
Новые сотрудники особенно нуждаются в регулярном информировании по этому вопросу, например, по электронной почте или через интранет, в дополнение к обязательному инструктажу по вопросам информационной безопасности. Конкретное обучение (особенно по планам и учениям на случай чрезвычайных ситуаций), семинары по конкретным темам и информационные кампании (например, с помощью плакатов) повышают осведомленность о системе управления информационной безопасностью.
Например, ссылочная мера A.7.2.1 в Приложении A стандарта ISO 27001 также служит для создания соответствующей осведомленности об информационной безопасности. Организации должны обучать и тренировать своих сотрудников и, при необходимости, своих подрядчиков по профессионально значимым темам. Соответствующие политики и процедуры должны регулярно обновляться. При этом необходимо учитывать, в частности, следующие аспекты:
- то, как высшее руководство, со своей стороны, относится к информационной безопасности
- характер профессионального образования и подготовки
- частота пересмотра и обновления политик и процедур.
- Другие используемые инструменты
- Конкретные меры по ознакомлению сотрудников с внутренними политиками и процедурами информационной безопасности
СОВЕТ: Обеспечьте хорошо отлаженную коммуникацию с множеством каналов для передачи знаний. Это необходимо потому, что осведомленность о СУИБ и связанных с ней аспектах, требуемых стандартом, тесно связана с передачей знаний.
Процесс вынесения выговора
Приложение 7.2.3: Эта мера определяет, каким образом организация будет обрабатывать выговоры в случае нарушений информационной безопасности. Основой для этого является процесс корректирующих действий. Он должен быть формально определен, установлен и объявлен. Должно быть обеспечено следующее:
- Должны существовать критерии, в соответствии с которыми классифицируется серьезность нарушения политики информационной безопасности.
- Дисциплинарный процесс не должен нарушать действующее законодательство
- Дисциплинарный процесс должен содержать меры, которые мотивируют сотрудников изменить свое поведение в положительную сторону в долгосрочной перспективе.
Окончание трудовых отношений - Ответственность
Приложение A.7.3 стандарта ISO 27001 определяет в качестве цели эффективный процесс прекращения трудовых отношений или изменений для защиты интересов организации. Эта цель фокусируется на ответственности за прекращение или изменение трудовых отношений. Соответственно, ответственность и обязательства, связанные с информационной безопасностью, которые остаются после прекращения или изменения трудовых отношений, должны быть определены, переданы и обеспечены. Имеет смысл рассмотреть эти аспекты:
- Соглашения в трудовых договорах о том, как сотрудники должны относиться к сохраняющимся обязанностям и ответственности, связанным с информационной безопасностью, после прекращения трудовых отношений.
- Механизмы мониторинга для обеспечения соблюдения этих соглашений
- Процедуры принуждения к соблюдению постоянной ответственности и обязанностей.
Кибербезопасность через систематическую защиту персонала
Угроза изнутри реальна - и большинство компаний знают об этом. Согласно исследованию в области безопасности (Balabit 2018), сотрудники, обладающие широкими правами доступа, особенно уязвимы для атак. А поскольку сотрудники причастны к 50 процентам всех нарушений безопасности, 69 процентов опрошенных ИТ-специалистов считают наибольшим риском утечку внутренних данных. Однако для решения этой проблемы мало что делается. На практике зачастую трудно выдвинуть обвинения против штатных сотрудников. Особенно на малых и средних предприятиях (МСП), где люди знают друг друга, им часто доверяют - иногда с неприятными последствиями. Хорошо структурированное управление информационной безопасностью обеспечивает основу для обеспечения безопасности информации, которая требует защиты.
Заключение: ISO 27001 на практике - Приложение A
В Приложении A.7 ISO/IEC 27001 приведены эталонные меры по обеспечению безопасности персонала, которые должны быть реализованы в рамках внедрения стандарта. Компании должны использовать эти меры в качестве основы для индивидуальной, более глубокой разработки политики информационной безопасности. Эти меры основаны не на недоверии к сотрудникам, а на четко структурированных кадровых процессах.
Экспертиза и доверие
Сертифицированные компании ценят системы управления как инструменты для высшего руководства, которые создают прозрачность, снижают сложность и обеспечивают безопасность. Однако системы управления делают еще больше: Оцененные и сертифицированные нейтральной и независимой третьей стороной, такой как DQS, они создают доверие у заинтересованных сторон к результатам деятельности вашей компании.
Многие организации до сих пор воспринимают сертификацию как проверку соответствия. Наши клиенты, напротив, видят в этом возможность сосредоточиться на критически важных факторах успеха и результатах своей системы менеджмента. Потому что наша основная компетенция заключается в проведении сертификационных аудитов и оценок. Это делает нас одним из ведущих поставщиков услуг во всем мире, претендующим на установление новых стандартов надежности, качества и ориентации на клиента в любое время.
Certification according to ISO 27001
Какой объем работ необходимо выполнить, чтобы ваша система управления информационной безопасностью была сертифицирована на соответствие стандарту ISO 27001? Узнайте это бесплатно и без обязательств.
Обратите внимание: наши статьи написаны исключительно нашими штатными экспертами по системам менеджмента и аудиторами с большим стажем. Если у вас есть вопросы к нашим авторам по информационной безопасности (ISMS), пожалуйста, свяжитесь с нами. Мы будем рады пообщаться с вами.
Рассылка DQS
André Saeckel
Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.