ISO 27001 Додаток A: Обов’язки та ролі працівників

Добре структурована система управління інформаційною безпекою (СУІБ) відповідно до стандарту ISO 27001 забезпечує основу для ефективної реалізації цілісної стратегії інформаційної безпеки. Системний підхід допомагає захистити конфіденційні дані компанії від втрати та неправомірного використання та надійно визначити потенційні ризики для компанії, проаналізувати їх та зробити їх контрольованими за допомогою відповідних заходів. Це включає набагато більше, ніж просто аспекти ІТ-безпеки. Виконання заходів, наведених у Додатку А стандарту, є особливо цінним для практики.

ISO/IEC 27001:2013 - Інформаційні технології - Процедури безпеки - Системи управління інформаційною безпекою - Вимоги.

Додаток A до ISO 27001: Практичне значення  

На додаток до розділу вимог, орієнтованих на систему управління (розділи 4-10), Додаток А стандарту ISO містить розширений список з 35 цільових заходів (контролю) зі 114 конкретними заходами з широкого кола аспектів безпеки в 14 розділах.

Примітка: Твердження, які в Додатку А називаються «заходами», насправді є окремими цілями (контролями). Вони описують, як повинен виглядати відповідний стандартам результат відповідних (індивідуальних) заходів.

Компанії повинні використовувати ці засоби контролю як основу для їхньої індивідуальної, більш глибокої структури своєї політики інформаційної безпеки. Що стосується теми персоналу, то особливий інтерес представляє мета заходу «Кадрова безпека» у Додатку А.7.

Кадрові процеси забезпечують розподіл відповідальності та обов’язків щодо інформаційної безпеки на всіх етапах роботи та контроль за дотриманням вимог. Таким чином, порушення політики інформаційної безпеки — як навмисні, так і ненавмисні — не є неможливими, але вони значно ускладняються. А якщо найгірше стане гіршим, ефективна СУІБ надає організації відповідні механізми для боротьби з порушенням.

Інформаційна безпека – це не недовіра

It is by no means a matter of mistrust if a company issues appropriate guidelines to make unauthorized access from the inside more difficult or, better still, to prevent it altogether. After all, one thing is clear: If an employee's termination is imminent or has already been announced, his or her dissatisfaction can lead to targeted data theft. This happens especially when the terminated employee believes he or she has proprietary rights to project data. Conversely, an application for a particular job may already be made with the intent to commit a criminal act.

Other scenarios indicate grossly negligent behavior or simply recklessness, which can have similarly serious consequences. It happens, for example, that entire IT departments do not adhere to their own rules - too cumbersome, too time-consuming. In the office, it's the careless handling of passwords or unprotected smartphones. But also careless connecting of USB sticks, open documents on the screen, secret documents in empty offices - the list of possible omissions is long.

Додаток A.7 ISO 27001 - Безпека персоналу

Краще почуваються компанії, які впровадили систему управління інформаційною безпекою (СУІБ) відповідно до стандарту ISO 27001. Вони знають вимоги та відповідний для практики додаток A.7 до міжнародно визнаного стандарту. Тому що ISO 27001 може запропонувати тут багато: хоча контрольні показники безпосередньо посилаються на стандартні вимоги, вони завжди спрямовані на безпосередню практику компанії.

Компанії з ефективною СУІБ знайомі з цілями, зазначеними в А.7, які повинні бути реалізовані з метою забезпечення безпеки персоналу для повної відповідності стандарту - на всіх етапах роботи.

Що говорить стандарт ISO 27001 у Додатку A.7?

Заходи перед працевлаштуванням

Організація повинна переконатися, що новий співробітник розуміє свої майбутні обов’язки і підходить для своєї ролі, перш ніж прийняти його на роботу – згідно з додатком A.7.1. У розділі вимог (глава 7.2) стандарт говорить про «компетентність».

Як орієнтований на ціль довідковий захід, претенденти на роботу спочатку отримують допуск до безпеки, який відповідає етичним принципам і чинним законам. Ця перевірка має відповідати вимогам бізнесу, класифікації інформації, яку необхідно отримати, та можливим ризикам (A.7.1.1). Для того, щоб цього можна було досягти, серед іншого має бути встановлено, забезпечено або перевірено наступне:

• Порядок отримання інформації (як і за яких умов)
• Перелік правових та етичних критеріїв, яких слід дотримуватися
• Перевірка безпеки повинна відповідати ризикам і потребам компанії
• Правдоподібність та достовірність C.V., фінансової звітності та інших документів
• Надійність та компетентність претендента на передбачувану посаду

Контрактні договори

Наступний крок стосується працевлаштування та умов контракту. Отже, цей контрольний показник у Додатку A ISO/IEC 27001 складається з договірної угоди про те, які обов’язки мають працівники перед компанією і навпаки (A.7.1.2). Успішне виконання цієї вимоги включає, серед іншого, виконання таких пунктів:

• Підписання працівником (підрядником) договору про конфіденційність з доступом до конфіденційної інформації
• Договірне зобов’язання працівника (підрядника) дотримуватися, наприклад, питання щодо авторського права або захисту даних
• Договірне положення про відповідальність працівників (підрядників) під час роботи із зовнішньою інформацією

Під час роботи – обов’язки вищого керівництва

Співробітники повинні знати про свої обов'язки щодо інформаційної безпеки. Це мета A.7.2 і, що ще важливіше, працівники повинні виконувати ці обов’язки.

Перший захід (A.7.2.1) спрямований на зобов'язання керівництва заохочувати своїх співробітників до впровадження інформаційної безпеки відповідно до встановлених політик і процедур. Для цього необхідно як мінімум врегулювати такі моменти:

• Яким чином вище керівництво заохочує співробітників до впровадження? Де є ризики?
• Як воно гарантує, що співробітники ознайомлені з впровадженими рекомендаціями щодо інформаційної безпеки?
• Як воно перевіряє, чи дотримуються співробітники інструкцій щодо забезпечення інформаційної безпеки?
• Як воно мотивує своїх співробітників впроваджувати політику та процедури та безпечно їх застосовувати?

Створення обізнаності

У розділі 7.3 «Обізнаність» ISO 27001 вимагає, щоб особи, які здійснюють відповідну діяльність, були обізнані про наступне

• Політики інформаційної безпеки організації
• Про внесок, який вони вносять у ефективність системи управління інформаційною безпекою (СУІБ)
• Переваги покращення ефективності інформаційної безпеки
• Наслідки невідповідності вимогам СУІБ

Нові співробітники, зокрема, потребують регулярної інформації на цю тему, наприклад, електронною поштою або через інтранет, на додаток до обов’язкового інструктажу з питань інформаційної безпеки. Конкретне навчання (особливо щодо планів і навчань у надзвичайних ситуаціях), тематичні семінари та інформаційні кампанії (наприклад, за допомогою плакатів) підвищують обізнаність про систему управління інформаційною безпекою.

Наприклад, контрольний захід A.7.2.1 у додатку A стандарту ISO 27001 також служить для створення належної обізнаності щодо інформаційної безпеки. Організації повинні навчати і виховувати своїх співробітників і, за необхідності, своїх підрядників з професійно актуальних тем. Відповідні політики та процедури повинні регулярно оновлюватися. Серед іншого необхідно враховувати такі аспекти:

• Спосіб, у якому топ-менеджмент, зі свого боку, займається інформаційною безпекою
• Характер професійної освіти і навчання
• Частота, з якою політика та процедури переглядаються та оновлюються
• Інші інструменти, які використовуються
• Конкретні заходи щодо ознайомлення працівників із внутрішньою політикою та процедурами інформаційної безпеки

ПОРАДА: Забезпечте добре функціонуючи комунікації з кількома каналами для передачі знань. Це пов’язано з тим, що знання СУІБ та пов’язаних з нею аспектів, яких вимагає стандарт, тісно пов’язане з передачею знань.

Процес догани

Додаток 7.2.3: Цей захід визначає спосіб, яким організація буде обробляти догани у разі порушення інформаційної безпеки. Основою для цього є процес коригувальних дій. Він має бути офіційно визначений, встановлений та оголошений. Необхідно забезпечити наступне:

• Повинні існувати критерії, за якими класифікується ступінь тяжкості порушення політики інформаційної безпеки
• Дисциплінарний процес не повинен порушувати чинне законодавство
• Дисциплінарний процес повинен містити заходи, які спонукають працівників змінювати свою поведінку у позитивний бік у довгостроковій перспективі

Закінчення трудових відносин – Обов’язки

Додаток A.7.3 ISO 27001 визначає як ціль ефективний процес припинення або зміни трудових відносин для захисту інтересів організації. Ця мета зосереджується на обов'язках щодо припинення або зміни роботи. Відповідно, обов’язки та зобов’язання, пов’язані з інформаційною безпекою, які залишаються після припинення або зміни роботи, мають бути визначені, повідомлені та забезпечені. Має сенс розглянути такі аспекти:

• Угоди в трудових договорах про те, як працівники постійно повинні нести відповідальність, що стосуються інформаційної безпеки, та обов’язки після припинення роботи
• Механізми моніторингу для забезпечення виконання цих угод
• Процедури забезпечення дотримання постійних відповідальності та обов'язків

Кібербезпека через систематичну безпеку персоналу

Загроза зсередини реальна – і більшість компаній усвідомлюють це. Згідно з дослідженням безпеки (Balabit 2018), співробітники, які мають широкі права доступу, особливо вразливі до атак. А оскільки співробітники причетні до 50 відсотків усіх порушень безпеки, 69 відсотків ІТ-спеціалістів, які відповіли, вважають злом інсайдерських даних найбільшим ризиком. Але проти цього мало що робиться. На практиці часто буває важко висунути звинувачення на адресу штатного персоналу. Особливо на малих і середніх підприємствах (МСП), де люди знають один одного, їм часто довіряють, що іноді веде до неприємних наслідків. Добре структуроване управління інформаційною безпекою забезпечує основу для забезпечення безпеки інформації, яка потребує захисту.

Висновок: ISO 27001 на практиці - Додаток А

У додатку A.7 ISO/IEC 27001 містить довідкові заходи щодо безпеки персоналу, які повинні бути запроваджені як частина впровадження стандарту. Компанії повинні використовувати ці засоби контролю як основу для їх індивідуальної, більш глибокої розробки своєї політики інформаційної безпеки. Заходи спираються не на недовіру до працівників, а на чітко структуровані кадрові процеси.

Компетентність та довіра

Сертифіковані компанії цінують системи управління як інструменти для вищого керівництва, які створюють прозорість, зменшують складність і забезпечують безпеку. Однак системи управління роблять ще більше: коли вони оцінені та сертифіковані нейтральною та незалежною третьою стороною, такою як DQS, вони створюють довіру зацікавлених сторін у діяльності вашої компанії.

Багато організацій досі сприймають сертифікацію як перевірку відповідності. З іншого боку, наші клієнти бачать у цьому можливість зосередитися на важливих для успіху факторах і результатах системи управління. Тому що наша основна компетенція полягає у проведенні сертифікаційних аудитів та оцінок. Це робить нас одним з провідних постачальників у всьому світі, які завжди прагнуть встановлювати нові стандарти надійності, якості та орієнтації на клієнта.

Зверніть увагу: наші статті написані виключно нашими внутрішніми експертами з системи менеджменту та давно працюючими аудиторами. Якщо у вас виникли запитання до наших авторів щодо інформаційної безпеки (СУІБ), зв’яжіться з нами. Ми з нетерпінням чекаємо розмови з вами.