ISO 27001 Anex A: Odgovornosti i uloge zaposlenika

Dobro struktuiran sistem upravljanja sigurnošću informacija (ISMS) u skladu sa standardom ISO 27001 pruža osnovu za efektivnu implementaciju holističke strategije sigurnosti informacija. Sistematski pristup pomaže u zaštiti povjerljivih podataka kompanije od gubitka i zloupotrebe te da se pouzdano identifikuju potencijalni rizici za kompaniju, analiziraju i mogu se kontrolisati odgovarajućim mjerama. Ovo uključuje mnogo više od samo aspekta IT sigurnosti. Implementacija mjera iz Anex-a A standarda je posebno vrijedna za praksu.

ISO/IEC 27001: Informacijske tehnologije - Sigurnosne procedure - Sistemi upravljanja sigurnošću informacija - Zahtjevi.

Anex A ISO 27001: Praktično relevantno 

Pored odeljka sa zahtevima koji je orijentisan na sistem upravljanja (poglavlja 4 do 10), Anex A ISO 27001 standarda sadrži opsežnu listu od 35 ciljeva (kontrola) sa 114 konkretnih mjera o širokom spektru sigurnosnih aspekata u 14 poglavlja.

Napomena: Izjave koje se u Anex-u A spominju kao "mjere" su zapravo pojedinačni ciljevi (kontrole). Oni opisuju kako bi trebao izgledati rezultat odgovarajućih (pojedinačnih) mjera usklađen sa standardima.

Kompanije bi trebalo da koriste ove kontrole kao osnovu za svoje individualno, dublje strukturiranje politike sigurnosti informacija. Kada je u pitanju personalna tema, od posebnog je interesa mjera cilja „Sigurnost osoblja“ u Dodatku A.7.

Kadrovski procesi osiguravaju u svim fazama zapošljavanja da su odgovornosti i dužnosti dodijeljene u pogledu sigurnosti informacija i da se prati usklađenost. Kršenja politike informacione sigurnosti – i namjerna i nenamjerna – stoga nisu nemoguća, ali su znatno otežana. A ako dođe do najgoreg, efikasan ISMS pruža organizaciji odgovarajuće mehanizme za rješavanje kršenja.

Sigurnost informacija nije nepovjerenje

Ni u kom slučaju nije riječ o nepovjerenju ako kompanija izda odgovarajuće smjernice kako bi otežavala neovlašteni pristup iznutra ili, još bolje, kako bi ga u potpunosti spriječila. Na kraju krajeva, jedno je jasno: ako je otkaz zaposlenom neminovan ili je već najavljen, njegovo ili njeno nezadovoljstvo može dovesti do ciljane krađe podataka. Ovo se posebno dešava kada zaposleni koji je otpušten vjeruje da ima vlasnička prava na podatke o projektu. S druge strane, prijava za određeno radno mjesto može se već podnijeti s namjerom da se počini krivično djelo.

Drugi scenariji ukazuju na krajnje nemarno ponašanje ili jednostavno nepromišljenost, što može imati slične ozbiljne posljedice. Dešava se, na primjer, da se čitava IT odjeljenja ne pridržavaju vlastitih pravila – preglomazna, previše duga. U kancelariji je to nepažljivo rukovanje lozinkama ili nezaštićenim pametnim telefonima. Ali i neoprezno povezivanje USB stickova, otvoreni dokumenti na ekranu, tajni dokumenti u praznim kancelarijama - lista mogućih propusta je duga.

Anex A.7 ISO 27001 - Sigurnost osoblja

Tu su u boljoj poziciji kompanije koje su implementirale sistem upravljanja sigurnošću informacija (ISMS) u skladu sa standardom ISO 27001. One poznaju zahtjeve i Anex A.7 međunarodno priznatog standarda koji je relevantan za praksu. Jer ISO 27001 ovdje ima mnogo toga da ponudi: Iako se referentne mjere odnose direktno na zahtjeve standarda, uvijek su usmjerene na direktnu praksu kompanije.

Kompanije sa efikasnim ISMS-om upoznate su sa ciljevima navedenim u A.7, koji se moraju implementirati u cilju sigurnosti osoblja za punu usklađenost sa standardom - u svim fazama zaposlenja.

Šta ISO 27001 standard kaže u Anex-u A.7?

Mjere prije zapošljavanja

Organizacija mora osigurati da novi zaposleni razumije svoje buduće odgovornosti i da je prikladan za svoju ulogu prije nego što ih zaposli – prema Anex-u A.7.1. U odjeljku sa zahtjevima (poglavlje 7.2), standard govori o "kompetencijama".

Kao referentna mjera usmjerena ka cilju, kandidati za posao prvo dobiju sigurnosnu dozvolu koja je u skladu sa etičkim principima i važećim zakonima. Ova provjera mora biti odgovarajuća u odnosu na poslovne zahtjeve, klasifikaciju informacija koje treba dobiti i moguće rizike (A.7.1.1). Da bi se to moglo postići, potrebno je, između ostalog, uspostaviti, osigurati ili verificirati sljedeće:

• Procedura za dobijanje informacija (kako i pod kojim uslovima)
• Spisak pravnih i etičkih kriterija koje treba poštovati
• Sigurnosna provjera mora biti odgovarajuća, povezana sa rizicima i potrebama kompanije
• Vjerodostojnost i autentičnost C.V.-ija, finansijskih izvještaja i drugih dokumenata
• Pouzdanost i kompetentnost kandidata za predviđenu poziciju

Ugovori

Sljedeći korak se odnosi na zapošljavanje i ugovorne uslove. Dakle, ova referentna mjera u Anex-u A ISO/IEC 27001 sastoji se od ugovornog sporazuma o tome koje odgovornosti zaposleni imaju prema kompaniji i obrnuto (A.7.1.2). Uspješna implementacija ovog zahtjeva uključuje, između ostalog, ispunjenje ovih tačaka:

• Potpisivanje ugovora o povjerljivosti od strane zaposlenika (izvođača) uz pristup povjerljivim informacijama
• Ugovorna obaveza zaposlenika (ugovarača) da se pridržava, na primjer, pitanja autorskih prava ili zaštite podataka
• Ugovorna odredba o odgovornosti zaposlenih (ugovarača) pri rukovanju eksternim informacijama

Tokom zaposlenja - odgovornosti najvišeg menadžmenta.

Zaposleni moraju biti svjesni svojih odgovornosti za sigurnost informacija. Ovo je cilj A.7.2, i što je još važnije, zaposleni moraju ispuniti ove odgovornosti.

Prva mjera (A.7.2.1) usmjerena je na obavezu menadžmenta da podstakne svoje zaposlene da implementiraju sigurnost informacija u skladu sa utvrđenim politikama i procedurama. U tu svrhu, sljedeće tačke moraju biti regulisane kao minimum:

• Na koji način top menadžment podstiče zaposlene na implementaciju? Gdje postoje rizici?
• Na koji način osigurava da zaposleni budu upoznati sa implementiranim smjernicama za postupanje sa sigurnošću informacija?
• Kako provjerava da li se zaposleni pridržavaju smjernica za rukovanje sigurnošću informacija?
• Kako motivišu svoje zaposlene da implementiraju politike i procedure i da ih sigurno primenjuju?

Kreiranje svijesti

U poglavlju 7.3 "Svjest", ISO 27001 zahtijeva da osobe koje obavljaju relevantne aktivnosti budu svjesne sljedećeg:

• Politika sigurnosti informacija organizacije
• O doprinosu koji daju efikasnosti sistema upravljanja sigurnošću informacija (ISMS)
• Prednosti poboljšanih performansi sigurnosti informacija
• Posljedice neispunjavanja zahtjeva ISMS-a

Novim zaposlenima su posebno potrebne redovne informacije o ovoj temi, na primjer, putem e-maila ili putem intraneta, pored obaveznog informisanja o pitanjima sigurnosti informacija. Konkretna obuka (posebno o planovima i vježbama za vanredne situacije), tematske radionice i kampanje podizanja svijesti (npr. putem postera) jačaju svijest o sistemu upravljanja sigurnošću informacija.

Na primjer, referentna mjera A.7.2.1 u Anex-u A standarda ISO 27001 također služi za stvaranje odgovarajuće svijesti o sigurnosti informacija. Organizacije moraju obučavati i educirati svoje zaposlenike i, po potrebi, svoje ugovarače o profesionalno relevantnim temama. Odgovarajuće politike i procedure moraju se redovno ažurirati. Sljedeći aspekti, između ostalih, moraju se uzeti u obzir:

• Način na koji je najviši menadžment sa svoje strane posvećen informacionoj sigurnosti
• Priroda stručnog obrazovanja i obuke
• Učestalost sa kojom se politike i procedure pregledavaju i ažuriraju
• Ostali alati koji se koriste
• Konkretne mjere za upoznavanje zaposlenih sa internim politikama i procedurama sigurnosti informacija

Savjet: Osigurati dobro funkcionisanje komunikacije s više kanala za prenos znanja. To je zato što je svijest o ISMS-u i povezanim aspektima koje zahtijeva standard usko povezana s prenosom znanja.

Proces ukora

Anex 7.2.3: Ova mjera određuje način na koji će organizacija postupati s ukorima u slučaju kršenja sigurnosti informacija. Osnova za to je proces korektivnog djelovanja. Ona će biti formalno definisana, ustanovljena i objavljena. Mora se osigurati sljedeće:

• Moraju postojati kriteriji prema kojima se klasifikuje ozbiljnost povrede politike sigurnosti informacija
• Disciplinski proces ne smije kršiti važeće zakone
• Disciplinski proces mora sadržavati mjere koje motivišu zaposlene da dugoročno promijene svoje ponašanje na pozitivan način

Kraj zaposlenja - Odgovornosti

Anex A.7.3 ISO 27001 navodi kao cilj efikasan proces raskida ili promjene radi zaštite interesa organizacije. Ovaj cilj se fokusira na odgovornosti za prestanak ili promjenu radnog odnosa. Shodno tome, odgovornosti i obaveze vezane za sigurnost informacija koje ostaju nakon prestanka ili promjene radnog odnosa moraju se definisati, priopćiti i provoditi. Ima smisla razmotriti ove aspekte:

• Sporazumi u ugovorima o radu o tome kako će se zaposleni nositi sa stalnim odgovornostima i obavezama relevantnim za sigurnost informacija nakon prestanka radnog odnosa
• Mehanizmi za praćenje kako bi se osigurala usklađenost sa ovim sporazumima
• Procedure za provođenje usklađenosti sa stalnim odgovornostima i dužnostima

Sajber sigurnost kroz sistematsku sigurnost osoblja

Prijetnja iznutra je stvarna - i većina kompanija toga je svjesna. Prema sigurnosnoj studiji (Balabit 2018), zaposleni koji imaju široka prava pristupa posebno su podložni napadima. A s obzirom da su zaposleni uključeni u 50 posto svih kršenja sigurnosti, 69 posto IT profesionalaca koji su odgovorili smatra da je kršenje insajderskih podataka najveći rizik. Ipak, malo se radi na tome. U praksi je često teško iznijeti optužbe na račun internog osoblja. Naročito u malim i srednjim preduzećima (MSP), u kojima se ljudi međusobno poznaju, često im se polaže određeno povjerenje - ponekad sa neugodnim posljedicama. Dobro strukturirano upravljanje sigurnošću informacija pruža osnovu za osiguranje sigurnosti informacija koje zahtijevaju zaštitu.

Zaključak: ISO 27001 u praksi - Anex A

U Anex-u A.7, ISO/IEC 27001 daje referentne mjere za sigurnost osoblja koje se moraju implementirati kao dio uvođenja standarda. Kompanije bi trebalo da koriste ove kontrole kao osnovu za svoj individualni, dublji dizajn svoje politike sigurnosti informacija. Mjere se ne oslanjaju na nepovjerenje zaposlenih, već na jasno strukturirane kadrovske procese.

Smjernica ISO 27002 definiše široki katalog općih mjera sigurnosti za podršku organizacijama u implementaciji zahtjeva iz Aneksa A standarda ISO 27001. Početkom 2022. godine smjernica je sveobuhvatno revidirana i ažurirana. Novo izdanje pruža menadžerima za sigurnost informacija precizan pogled na promjene koje se očekuju s revizijom ISO 27001.

Ekspertiza i povjerenje

Certificirane kompanije cijene sisteme upravljanja kao alate za vrhunsko upravljanje koje stvara transparentnost, smanjuje složenost i pruža sigurnost. Međutim, sistemi upravljanja čine još više: procijenjeni i certificirani od strane neutralne i neovisne treće strane kao što je DQS, oni stvaraju povjerenje zainteresovanih strana u učinak vaše kompanije.

Mnoge organizacije još uvijek doživljavaju certifikaciju kao provjeru usklađenosti. Naši kupci, s druge strane, vide to kao priliku da se fokusiraju na faktore koji su ključni za uspjeh i rezultate njihovog sistema upravljanja. Zato što naše osnovne kompetencije leže u obavljanju certifikacijskih audita i ocjenjivanja. To nas čini jednim od vodećih dobavljača širom svijeta s tvrdnjom da postavljamo nove standarde u pouzdanosti, kvaliteti i orijentaciji na kupca u svakom trenutku.

Napomena: Naše članke pišu isključivo naši interni stručnjaci za sistem upravljanja i dugogodišnji auditori. Ako imate bilo kakva pitanja za naše autore o sigurnosti informacija (ISMS), kontaktirajte nas. Radujemo se razgovoru s vama.