ISO 27001 Príloha A: Zodpovednosti a úlohy zamestnancov

Dobre štruktúrovaný systém riadenia informačnej bezpečnosti (ISMS) v súlade s normou ISO 27001 poskytuje základ pre efektívnu implementáciu komplexnej stratégie informačnej bezpečnosti. Systematický prístup pomáha chrániť dôverné údaje spoločnosti pred stratou a zneužitím a spoľahlivo identifikovať potenciálne riziká pre spoločnosť, analyzovať ich a umožniť ich kontrolu prostredníctvom vhodných opatrení. To zahŕňa oveľa viac než len aspekty bezpečnosti IT. Pre prax je obzvlášť cenná implementácia opatrení uvedených v prílohe A normy.

ISO/IEC 27001:2013 - Informačné technológie - Bezpečnostné postupy - Systémy riadenia informačnej bezpečnosti - Požiadavky.

Príloha A normy ISO 27001: Význam pre prax

Okrem časti zameranej na požiadavky na systém riadenia (kapitoly 4 až 10) obsahuje príloha A normy ISO z roku 2017 rozsiahly zoznam 35 cieľov opatrení (kontrol) so 114 konkrétnymi opatreniami týkajúcimi sa širokého spektra bezpečnostných aspektov v 14 kapitolách.

Poznámka : Tvrdenia označované v prílohe A ako "opatrenia" sú v skutočnosti jednotlivé ciele (kontroly). Opisujú, ako by mal vyzerať výsledok vhodných (jednotlivých) opatrení v súlade s normou.

Spoločnosti by mali tieto kontrolné opatrenia použiť ako základ pre individuálne, hlbšie štruktúrovanie svojej politiky informačnej bezpečnosti. V súvislosti s témou personálu je zaujímavý najmä cieľ opatrenia "Personálna bezpečnosť" v prílohe A.7.

Personálne procesy zabezpečujú vo všetkých fázach zamestnania, aby boli pridelené zodpovednosti a povinnosti s ohľadom na bezpečnosť informácií a aby sa sledovalo ich dodržiavanie. Porušenia politiky informačnej bezpečnosti - zamýšľané aj nezamýšľané - tak nie sú vylúčené, ale sú oveľa ťažšie. A ak dôjde k najhoršiemu, účinný systém ISMS poskytuje organizácii vhodné mechanizmy na riešenie porušenia.

Informačná bezpečnosť nie je nedôvera

V žiadnom prípade nejde o nedôveru, ak spoločnosť vydá príslušné smernice, ktoré sťažia neoprávnený prístup zvnútra alebo, ešte lepšie, úplne mu zabránia. Jedno je predsa jasné: ak sa blíži alebo už bol oznámený odchod zamestnanca, jeho nespokojnosť môže viesť k cielenej krádeži údajov. K tomu dochádza najmä vtedy, keď sa prepustený zamestnanec domnieva, že má vlastnícke práva na údaje o projekte. A naopak, žiadosť o konkrétne pracovné miesto už môže byť podaná s úmyslom spáchať trestný čin.

Iné scenáre naznačujú hrubo nedbalé správanie alebo jednoducho ľahkovážnosť, ktoré môžu mať podobne závažné dôsledky. Stáva sa napríklad, že celé IT oddelenia nedodržiavajú vlastné pravidlá - príliš ťažkopádne, príliš časovo náročné. V kancelárii je to neopatrné zaobchádzanie s heslami alebo nechránenými smartfónmi. Ale aj neopatrné pripájanie USB kľúčov, otvorené dokumenty na obrazovke, tajné dokumenty v prázdnych kanceláriách - zoznam možných opomenutí je dlhý.

Príloha A.7 normy ISO 27001 - Personálna bezpečnosť

Spoločnosti, ktoré zaviedli systém riadenia informačnej bezpečnosti (ISMS) v súlade s normou ISO 27001, sú v tejto oblasti v lepšej pozícii. Poznajú požiadavky a pre prax relevantnú prílohu A.7 medzinárodne uznávanej normy. Pretože norma ISO 27001 tu má čo ponúknuť: Hoci referenčné opatrenia odkazujú priamo na požiadavky normy, vždy sú zamerané na priamu podnikovú prax.

Spoločnosti s účinným ISMS poznajú ciele uvedené v A.7, ktoré musia byť implementované s ohľadom na personálnu bezpečnosť pre úplný súlad s normou - vo všetkých fázach zamestnania.

Čo sa uvádza v prílohe A.7 normy ISO 27001?

Opatrenia pred zamestnaním

Organizácia sa musí pred prijatím nového zamestnanca do zamestnania uistiť, že rozumie svojim budúcim povinnostiam a je vhodný pre svoju úlohu - podľa prílohy A.7.1. V časti o požiadavkách (kapitola 7.2) norma hovorí o "spôsobilosti".

Ako cieľavedomé referenčné opatrenie uchádzači o zamestnanie najprv získajú bezpečnostnú previerku, ktorá je v súlade s etickými zásadami a platnými zákonmi. Táto previerka musí byť primeraná vzhľadom na obchodné požiadavky, stupeň utajenia informácií, ktoré sa majú získať, a možné riziká (A.7.1.1). Aby sa to dalo dosiahnuť, mali by byť okrem iného zavedené, zabezpečené alebo overené nasledujúce skutočnosti:

• postup získavania informácií (ako a za akých podmienok)
• zoznam právnych a etických kritérií, ktoré sa majú dodržiavať
• Bezpečnostná kontrola musí byť primeraná, súvisiaca s rizikami a potrebami spoločnosti
• hodnovernosť a pravosť C.V., finančných výkazov a iných dokumentov
• dôveryhodnosť a spôsobilosť uchádzača na zamýšľanú pozíciu

Zmluvné dohody

Ďalší krok sa týka pracovných a zmluvných podmienok. Toto referenčné opatrenie v prílohe A normy ISO/IEC 27001 teda pozostáva zo zmluvnej dohody o tom, aké povinnosti majú zamestnanci voči spoločnosti a naopak (A.7.1.2). Úspešná implementácia tejto požiadavky zahŕňa okrem iného aj splnenie týchto bodov:

• podpísanie dohody o mlčanlivosti zamestnancom (dodávateľom) s prístupom k dôverným informáciám
• zmluvný záväzok zamestnanca (dodávateľa) dodržiavať napríklad autorské práva alebo ochranu údajov
• zmluvné ustanovenie o zodpovednosti zamestnancov (dodávateľov) pri práci s externými informáciami

Počas zamestnania - zodpovednosť vrcholového manažmentu.

Zamestnanci si musia byť vedomí svojej zodpovednosti za bezpečnosť informácií. To je cieľom bodu A.7.2 a čo je dôležitejšie, zamestnanci musia tieto povinnosti plniť.

Prvé opatrenie (A.7.2.1) je zamerané na povinnosť vedenia podporovať svojich zamestnancov v zavádzaní informačnej bezpečnosti v súlade so stanovenými politikami a postupmi. Na tento účel musia byť upravené minimálne nasledujúce body:

• Akým spôsobom vrcholový manažment podporuje zamestnancov v implementácii? Kde existujú riziká?
• Akým spôsobom zabezpečuje, aby zamestnanci poznali zavedené smernice pre zaobchádzanie s informačnou bezpečnosťou?
• Ako kontroluje, či zamestnanci dodržiavajú smernice pre zaobchádzanie s bezpečnosťou informácií?
• Ako motivuje zamestnancov k implementácii zásad a postupov a k ich bezpečnému uplatňovaniu?

Vytváranie povedomia

V kapitole 7.3 "Informovanosť" normy ISO 27001 sa vyžaduje, aby si osoby vykonávajúce príslušné činnosti boli vedomé

• o politike organizácie v oblasti bezpečnosti informácií
• o tom, ako prispievajú k účinnosti systému riadenia bezpečnosti informácií (ISMS)
• prínosoch zlepšenia výkonnosti informačnej bezpečnosti
• dôsledkoch neplnenia požiadaviek ISMS

Najmä noví zamestnanci potrebujú okrem povinného poučenia o problematike informačnej bezpečnosti aj pravidelné informácie o tejto téme, napr. prostredníctvom e-mailu alebo intranetu. Konkrétne školenia (najmä o havarijných plánoch a cvičeniach), tematické semináre a informačné kampane (napr. prostredníctvom plagátov) posilňujú povedomie o systéme riadenia informačnej bezpečnosti.

Na vytvorenie primeraného povedomia o informačnej bezpečnosti slúži napríklad aj referenčné opatrenie A.7.2.1 v prílohe A normy ISO 27001. Organizácie musia školiť a vzdelávať svojich zamestnancov a prípadne aj dodávateľov v odborne relevantných témach. Príslušné politiky a postupy sa musia pravidelne aktualizovať. Okrem iného sa musia zohľadniť aj tieto aspekty:

• spôsob, akým sa vrcholový manažment zaviazal k informačnej bezpečnosti
• charakter odborného vzdelávania a prípravy
• frekvencia revízie a aktualizácie politík a postupov
• ďalšie používané nástroje
• Konkrétne opatrenia na oboznámenie zamestnancov s internými politikami a postupmi informačnej bezpečnosti

TIP: Zabezpečte dobre fungujúcu komunikáciu s viacerými kanálmi na prenos znalostí. Dôvodom je, ţe informovanosť o ISMS a súvisiacich aspektoch poţadovaných normou úzko súvisí s prenosom znalostí.

Proces pokarhania

Príloha 7.2.3: Toto opatrenie špecifikuje spôsob, akým bude organizácia riešiť pokarhania v prípade porušenia bezpečnosti informácií. Základom je proces nápravných opatrení. Musí byť formálne definovaný, zavedený a oznámený. Musia byť zabezpečené nasledujúce opatrenia:

• Musia existovať kritériá, podľa ktorých sa klasifikuje závažnosť porušenia politiky informačnej bezpečnosti.
• disciplinárny proces nesmie byť v rozpore s platnými zákonmi
• disciplinárny proces musí obsahovať opatrenia, ktoré motivujú zamestnancov k dlhodobej pozitívnej zmene ich správania

Skončenie pracovného pomeru - povinnosti

V prílohe A.7.3 normy ISO 27001 sa ako cieľ uvádza účinný proces ukončenia alebo zmeny na ochranu záujmov organizácie. Tento cieľ sa zameriava na zodpovednosti za ukončenie alebo zmenu zamestnania. V súlade s tým sa musia definovať, oznámiť a presadzovať zodpovednosti a povinnosti súvisiace s bezpečnosťou informácií, ktoré zostávajú po ukončení alebo zmene zamestnania. Má zmysel zvážiť tieto aspekty:

• dohody v pracovných zmluvách o tom, ako majú zamestnanci riešiť pretrvávajúce zodpovednosti a povinnosti súvisiace s bezpečnosťou informácií po skončení pracovného pomeru
• mechanizmy monitorovania na zabezpečenie dodržiavania týchto dohôd
• postupy na presadzovanie dodržiavania pokračujúcich zodpovedností a povinností

Kybernetická bezpečnosť prostredníctvom systematickej personálnej bezpečnosti

Hrozba zvnútra je reálna - a väčšina spoločností si ju uvedomuje. Podľa bezpečnostnej štúdie (Balabit 2018) sú voči útokom obzvlášť zraniteľní zamestnanci, ktorí majú rozsiahle prístupové práva. A keďže zamestnanci sa podieľajú na 50 % všetkých prípadov narušenia bezpečnosti, 69 % odpovedajúcich IT odborníkov považuje za najväčšie riziko narušenie údajov z vnútra. Napriek tomu sa s tým robí len málo. V praxi je často ťažké vzniesť obvinenie voči interným zamestnancom. Najmä v malých a stredných podnikoch (MSP), kde sa ľudia navzájom poznajú, sa im často prejavuje určitá dôvera - niekedy s nepríjemnými dôsledkami. Dobre štruktúrované riadenie informačnej bezpečnosti poskytuje základ na zaistenie bezpečnosti informácií, ktoré si vyžadujú ochranu.

Záver: ISO 27001 v praxi - príloha A

V prílohe A.7 normy ISO/IEC 27001:2017 sú uvedené referenčné opatrenia pre personálnu bezpečnosť, ktoré sa musia zaviesť v rámci zavedenia normy. Spoločnosti by mali tieto kontrolné opatrenia použiť ako základ pre svoj individuálny, hlbší návrh politiky bezpečnosti informácií. Opatrenia sa nespoliehajú na nedôveru zamestnancov, ale na jasne štruktúrované personálne procesy.

Usmernenie ISO 27002 definuje široký katalóg všeobecných bezpečnostných opatrení na podporu organizácií pri implementácii požiadaviek z prílohy A normy ISO 27001. Začiatkom roka 2022 bolo usmernenie komplexne revidované a aktualizované. Nové vydanie poskytuje manažérom informačnej bezpečnosti presný pohľad na zmeny, ktoré možno očakávať v súvislosti s revíziou normy ISO 27001.

Odbornosť a dôvera

Certifikované spoločnosti oceňujú systémy riadenia ako nástroje vrcholového manažmentu, ktoré vytvárajú transparentnosť, znižujú zložitosť a poskytujú bezpečnosť. Systémy riadenia však dokážu ešte viac: Posúdené a certifikované neutrálnou a nezávislou treťou stranou, ako je DQS , vytvárajú u zainteresovaných strán dôveru vo výkonnosť vašej spoločnosti.

Mnohé organizácie stále vnímajú certifikáciu ako kontrolu dodržiavania predpisov. Naši zákazníci ju naopak vnímajú ako príležitosť zamerať sa na faktory, ktoré sú pre úspech a výsledky ich systému riadenia kľúčové. Pretože naše hlavné kompetencie spočívajú vo vykonávaní certifikačných auditov a posudzovaní. Vďaka tomu patríme medzi popredných poskytovateľov na celom svete s nárokom na neustále stanovovanie nových štandardov v oblasti spoľahlivosti, kvality a orientácie na zákazníka

Upozornenie: Naše články píšu výlučne naši interní odborníci na systémy riadenia a dlhoroční audítori. Ak máte na našich autorov otázky týkajúce sa bezpečnosti informácií (ISMS), kontaktujte nás. Tešíme sa na rozhovor s vami.