Sajber kriminal predstavlja ozbiljnu pretnju kompanijama svih industrija i veličina - to je već dobro poznato. Repertoar se kreće od špijunaže do sabotaže. Međutim, opasnost ne dolazi samo sa interneta. Vaši zaposleni takođe mogu biti ozbiljan faktor rizika. Naročito ako vaša kompanija nije preduzela odgovarajuće mere - pogledajte Aneks A.7 ISO 27001.

Loading...

Dobro struktuiran sistem upravljanja bezbednošću informacija (ISMS) u skladu sa standardom ISO 27001 pruža osnovu za efektivnu implementaciju holističke strategije bezbednosti informacija. Sistemski pristup pomaže da se poverljivi podaci kompanije zaštite od gubitka i zloupotrebe i da se pouzdano identifikuju potencijalni rizici za kompaniju, analiziraju i postanu podložni kontroli kroz odgovarajuće mere. Ovo uključuje mnogo više od samo aspekta IT bezbednosti. Primena mera u Aneksu A standarda je od posebnog značaja u praksi.

ISO/IEC 27001:2013: Informaciona tehnologija – Bezbednosne procedure – Sistemi upravljanja bezbednošću informacija – Zahtevi.

Aneks A standarda ISO 27001: Praktičan i relevantan  

Pored odeljka sa zahtevima koji je orijentisan na sistem upravljanja (poglavlja 4 do 10), Aneks A ISO standarda sadrži opsežnu listu od 35 ciljeva (kontrola) mera sa 114 konkretnih mera o širokom spektru bezbednosnih aspekata u 14 poglavlja. 

Napomena: Izjave koje se u Aneksu A pominju kao „mere“ su zapravo pojedinačni ciljevi (kontrole). Oni opisuju kako treba da izgleda rezultat odgovarajućih (pojedinačnih) mera usaglašen sa standardima.

Kompanije bi trebalo da koriste ove kontrole kao osnovu za svoje individualno, dublje strukturiranje politike bezbednosti informacija. Kada je u pitanju personalna tema, od posebnog je interesa mera cilj „Sigurnost osoblja“ u Prilogu A.7. 

"Mere se ne oslanjaju na nepoverenje zaposlenih, već na jasno strukturisane kadrovske procese."

Kadrovski procesi osiguravaju u svim fazama zaposlenja da su odgovornosti i dužnosti dodeljene u pogledu informacione sigurnosti i da se prati usaglašenost. Kršenja politike bezbednosti informacija – namerna i nenamerna – nisu nemoguća, ali su znatno otežana. A ako dođe do najgoreg, efikasan ISMS pruža organizaciji odgovarajuće mehanizme za suočavanje sa kršenjem.

Loading...

Vredno znanje: DQS Vodič za proveru

Naš vodič za proveru ISO 27001 – Aneks A kreirali su vodeći stručnjaci kao praktičnu pomoć u implementaciji i idealno je prilagođen za bolje razumevanje izabranih standardnih zahteva. Smernice se odnose na ISO 27001:2013 i uskoro će biti ažurirane na revidirani ISO 27001 koji je objavljen 25. oktobra 2022.

Bezbednost informacija nije nepoverenje

Ni u kom slučaju nije reč o nepoverenju ako kompanija izda odgovarajuće smernice kako bi otežala neovlašćeni pristup iznutra ili, još bolje, da ga potpuno spreči. Na kraju krajeva, jedno je jasno: ako je otkaz zaposlenom neizbežan ili je već najavljen, njegovo ili njeno nezadovoljstvo može dovesti do ciljane krađe podataka. Ovo se posebno dešava kada zaposleni koji je otpušten veruje da ima vlasnička prava na podatke o projektu. Nasuprot tome, prijava za određeni posao može se već podneti sa namerom da se izvrši krivično delo.

Drugi scenariji ukazuju na krajnje nemarno ponašanje ili jednostavno nepromišljenost, što može imati slične ozbiljne posledice. Dešava se, na primer, da se čitava IT odeljenja ne pridržavaju sopstvenih pravila – preglomazna, previše dugotrajna. U kancelariji, to je nemarno rukovanje lozinkama ili nezaštićenim pametnim telefonima. Ali i neoprezno povezivanje USB stickova, otvoreni dokumenti na ekranu, tajni dokumenti u praznim kancelarijama – lista mogućih propusta je duga.

 

Aneks A.7 standarda ISO 27001 – Bezbednost osoblja

Ovde su u boljoj poziciji kompanije koje su implementirale sistem upravljanja bezbednošću informacija (ISMS) u skladu sa standardom ISO 27001. Oni poznaju zahteve i Aneks A.7 međunarodno priznatog standarda koji je relevantan za praksu. Jer ISO 27001 ovde ima mnogo toga da ponudi: iako se referentne mere odnose direktno na standardne zahteve, one su uvek usmerene na direktnu praksu kompanije.

Kompanije sa efikasnim ISMS-om su upoznate sa ciljevima navedenim u A.7, koji se moraju primeniti u cilju bezbednosti osoblja za punu usaglašenost sa standardom – u svim fazama zaposlenja.

 

Šta standard ISO 27001 kaže u Aneksu A.7?

Mere pre zapošljavanja

Organizacija mora da obezbedi da novi zaposleni razume svoje buduće odgovornosti i da je prikladan za svoju ulogu pre nego što ih zaposli – prema Aneksu A.7.1. U odeljku sa zahtevima (poglavlje 7.2), standard govori o „kompetentnosti“.

Kao referentna mera usmerena ka cilju, kandidati za posao prvo dobijaju bezbednosnu dozvolu koja je u skladu sa etičkim principima i važećim zakonima. Ova provera mora biti odgovarajuća u odnosu na poslovne zahteve, klasifikaciju informacija koje treba dobiti i moguće rizike (A.7.1.1). Da bi se ovo moglo postići, između ostalog treba da bude postavljeno, osigurano ili verifikovano sledeće:

  • Procedura za dobijanje informacija (kako i pod kojim uslovima)
  • Spisak pravnih i etičkih kriterijuma koje treba poštovati
  • Bezbednosna provera mora biti odgovarajuća, povezana sa rizicima i potrebama kompanije
  • Verodostojnost i autentičnost C.V., finansijskih izveštaja i drugih dokumenata
  • Pouzdanost i kompetentnost kandidata za predviđenu poziciju

Ugovorni uslovi

Sledeći korak je u vezi sa zapošljavanjem i ugovornim uslovima. Dakle, ova referentna mera u Aneksu A ISO/IEC 27001 sastoji se od ugovornog sporazuma o tome koje odgovornosti zaposleni imaju prema kompaniji i obrnuto (A.7.1.2). Uspešna primena ovog zahteva uključuje, između ostalog, ispunjenje ovih tačaka:

  • Potpisivanje ugovora o poverljivosti od strane zaposlenog (izvođača) sa pristupom poverljivim informacijama
  • Ugovorna obaveza zaposlenog (ugovarača) da se pridržava, na primer, pitanja autorskih prava ili zaštite podataka
  • Ugovorna odredba o odgovornosti zaposlenih (ugovarača) pri rukovanju eksternim informacijama

Tokom zaposlenja – odgovornosti najvišeg menadžmenta.

Zaposleni moraju biti svesni svojih odgovornosti za bezbednost informacija. Ovo je cilj A.7.2, i što je još važnije, zaposleni moraju da ispunjavaju ove odgovornosti.

Prva mera (A.7.2.1) ima za cilj obavezu rukovodstva da podstakne svoje zaposlene da primenjuju bezbednost informacija u skladu sa utvrđenim politikama i procedurama. U tom cilju, sledeće tačke moraju biti regulisane kao minimum:

  • Na koji način najviši menadžment podstiče zaposlene na implementaciju? Gde su rizici?
  • Kako obezbeđuje da zaposleni budu upoznati sa primenjenim smernicama za postupanje sa bezbednošću informacija?
  • Kako proverava da li se zaposleni pridržavaju smernica za rukovanje bezbednošću informacija?
  • Kako motivišu svoje zaposlene da sprovode politike i procedure i da ih bezbedno primenjuju?

Stvaranje svesti

U poglavlju 7.3 „Svesnost“, ISO 27001 zahteva da osobe koje obavljaju relevantne aktivnosti budu svesne sledećeg

  • Politike bezbednosti informacija organizacije
  • O doprinosu koji daju efikasnosti sistema upravljanja bezbednošću informacija (ISMS)
  • Prednosti poboljšanih performansi bezbednosti informacija
  • Posledice neispunjavanja zahteva ISMS-a

Novim zaposlenima su posebno potrebne redovne informacije o ovoj temi, na primer, putem e-pošte ili putem intraneta, pored obaveznog informisanja o pitanjima bezbednosti informacija. Konkretna obuka (naročito o planovima i vežbama u vanrednim situacijama), tematske radionice i kampanje za podizanje svesti (npr. putem postera) jačaju svest o sistemu upravljanja bezbednošću informacija.

Na primer, referentna mera A.7.2.1 u Aneksu A standarda ISO 27001 takođe služi za stvaranje odgovarajuće svesti o bezbednosti informacija. Organizacije moraju da obučavaju i obrazuju svoje zaposlene i, gde je potrebno, svoje ugovarače o profesionalno relevantnim temama. Odgovarajuće politike i procedure moraju se redovno ažurirati. Između ostalog, moraju se uzeti u obzir sledeći aspekti:

  • Način na koji je najviši menadžment, sa svoje strane, posvećen bezbednosti informacija
  • Priroda stručnog obrazovanja i usavršavanja
  • Učestalost sa kojom se politike i procedure pregledaju i ažuriraju
  • Drugi alati koji se koriste
  • Konkretne mere za upoznavanje zaposlenih sa internim politikama i procedurama bezbednosti informacija

SAVET: Osigurajte dobro funkcionisanje komunikacije sa više kanala za prenos znanja. To je zato što je svest o ISMS-u i srodnim aspektima koje zahteva standard usko povezana sa transferom znanja.

Proces ukora

Aneks 7.2.3: Ova mera precizira način na koji će organizacija postupati sa ukorima u slučaju kršenja bezbednosti informacija. Osnova za to je proces korektivne akcije. Ona će biti formalno definisana, ustanovljena i objavljena. Mora se obezbediti sledeće:

  • Moraju postojati kriterijumi prema kojima se klasifikuje težina povrede politike bezbednosti informacija
  • Disciplinski proces ne sme da krši važeće zakone
  • Disciplinski proces mora da sadrži mere koje motivišu zaposlene da dugoročno promene svoje ponašanje na pozitivan način

Prestanak radnog odnosa – Odgovornosti

Aneks A.7.3 standarda ISO 27001 navodi kao cilj efikasan proces raskida ili promene radi zaštite interesa organizacije. Ovaj cilj se fokusira na odgovornosti za prestanak ili promenu radnog odnosa. Shodno tome, odgovornosti i obaveze vezane za bezbednost informacija koje ostaju nakon prestanka ili promene radnog odnosa moraju biti definisane, saopštene i sprovedene. Ima smisla razmotriti ove aspekte:

  • Sporazumi u ugovorima o radu o tome kako zaposleni treba da postupaju sa stalnim odgovornostima i obavezama relevantnim za bezbednost informacija nakon prestanka radnog odnosa
  • Mehanizmi za praćenje kako bi se osiguralo poštovanje ovih sporazuma
  • Procedure za sprovođenje stalnih odgovornosti i dužnosti

 

Sajber bezbednost kroz sistemsko obezbeđenje osoblja

Pretnja iznutra je stvarna - i većina kompanija je svesna toga. Prema bezbednosnoj studiji (Balabit 2018), zaposleni koji imaju široka prava pristupa su posebno podložni napadima. A sa zaposlenima koji su uključeni u 50 odsto svih kršenja bezbednosti, 69 odsto IT profesionalaca koji su odgovorili smatra da je kršenje insajderskih podataka najveći rizik. Ipak, malo se radi o tome. U praksi je često teško izneti optužbe protiv internog osoblja. Naročito u malim i srednjim preduzećima (MSP), gde se ljudi međusobno poznaju, često im se uliva određeno poverenje - ponekad sa neprijatnim posledicama. Dobro struktuirano upravljanje bezbednošću informacija pruža osnovu za obezbeđivanje bezbednosti informacija koje zahtevaju zaštitu.

Zaključak: ISO 27001 u praksi – Aneks A

U Aneksu A.7, ISO/IEC 27001 daje referentne mere za bezbednost osoblja koje se moraju primeniti kao deo uvođenja standarda. Kompanije bi trebalo da koriste ove kontrole kao osnovu za svoj individualni, detaljniji dizajn svoje politike bezbednosti informacija. Mere se ne oslanjaju na nepoverenje zaposlenih, već na jasno strukturisane kadrovske procese.

 

Stručnost i poverenje

Sertifikovane kompanije cene sisteme upravljanja kao alate za vrhunski menadžment koji stvaraju transparentnost, smanjuju složenost i obezbeđuju sigurnost. Međutim, sistemi upravljanja čine još više: ocenjeni i sertifikovani od neutralne i nezavisne treće strane kao što je DQS, oni stvaraju poverenje zainteresovanih strana u performanse vaše kompanije.

Mnoge organizacije i dalje doživljavaju sertifikaciju kao proveru usaglašenosti. Naši kupci, s druge strane, vide to kao priliku da se fokusiraju na faktore koji su ključni za uspeh i rezultate njihovog sistema upravljanja. Zato što naše osnovne kompetencije leže u obavljanju sertifikacionih provera i ocenjivanja. Ovo nas čini jednim od vodećih provajdera širom sveta sa tvrdnjom da postavljamo nove standarde u pouzdanosti, kvalitetu i orijentaciji na kupca u svakom trenutku. 

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Sertifikacija prema ISO 27001

Šta je potrebno uradite da bi vaš sistem upravljanja bezbednošću informacija bio sertifikovan prema ISO 27001? Saznajte besplatno i bez obaveza.

Napomena: Naše članke pišu isključivo naši interni stručnjaci za sistem upravljanja i dugogodišnji ocenjivači. Ako imate pitanja za naše autore o bezbednosti informacija (ISMS), kontaktirajte nas. Radujemo se razgovoru sa vama.

Autor
Andre Sekel

Menadžer proizvoda u DQS-u za upravljanje bezbednošću informacija.

Loading...