Меню
ТОО «Certification Center»
Сертификация систем менеджмента ISO 9001, ISO 14001, ISO 45001, ISO 27001
Телефон:
Качество – правило. Цена – исключение!
Меню
Главная \ Новости и статьи \ ISO 27001 Приложение A: Обязанности и роли сотрудников

Новости и статьи

« Назад

ISO 27001 Приложение A: Обязанности и роли сотрудников 18.11.2022 09:23

ISO 27001 Приложение A: Обязанности и роли сотрудников

Киберпреступность представляет собой серьезную угрозу для компаний всех отраслей и размеров - это общеизвестно. Репертуар варьируется от шпионажа до саботажа и шантажа. Однако опасность исходит не только из Интернета. Ваши собственные сотрудники также могут быть серьезным фактором риска. Особенно если ваша компания не приняла соответствующих мер - взгляните на Приложение A.7 стандарта ISO 27001.

Хорошо структурированная система управления информационной безопасностью (ISMS) в соответствии со стандартом ISO 27001 обеспечивает основу для эффективной реализации целостной стратегии информационной безопасности. Системный подход помогает защитить конфиденциальные данные компании от потери и неправомерного использования, а также надежно выявить потенциальные риски для компании, проанализировать их и сделать контролируемыми с помощью соответствующих мер. Это включает в себя гораздо больше, чем просто аспекты ИТ-безопасности. Особенно ценным для практики является применение мер, приведенных в Приложении А стандарта.

Приложение А стандарта ISO 27001: практическая значимость

В дополнение к разделу требований, ориентированному на систему менеджмента (главы с 4 по 10), приложение А стандарта ISO содержит обширный список из 35 целей мероприятий (элементов управления) со 114 конкретными мерами по широкому спектру аспектов безопасности в 14 главах.

Примечание: Утверждения, названные в Приложении А "мерами", на самом деле являются отдельными целями (элементами управления). Они описывают, как должен выглядеть соответствующий стандарту результат подходящих (индивидуальных) мер.

Компании должны использовать эти меры контроля в качестве основы для индивидуальной, более глубокой структуры своей политики информационной безопасности. Что касается темы персонала, то особый интерес представляет цель мероприятия "Безопасность персонала" в Приложении A.7.

"Меры опираются не на недоверие к сотрудникам, а на четко структурированные процессы работы с персоналом".

Кадровые процессы обеспечивают на всех этапах трудовой деятельности распределение ответственности и обязанностей в отношении информационной безопасности и контроль за их соблюдением. Таким образом, нарушения политики информационной безопасности - как намеренные, так и непреднамеренные - не исключены, но они значительно усложняются. А если случится худшее, эффективная СУИБ предоставляет организации соответствующие механизмы для устранения нарушения.

Информационная безопасность - это не недоверие

Ни в коем случае нельзя считать недоверием, если компания издает соответствующие инструкции, чтобы затруднить несанкционированный доступ изнутри или, что еще лучше, вообще предотвратить его. В конце концов, ясно одно: если увольнение сотрудника неизбежно или уже объявлено, его недовольство может привести к целенаправленной краже данных. Это происходит особенно в тех случаях, когда уволенный сотрудник считает, что обладает правами собственности на данные проекта. И наоборот, заявление о приеме на конкретную работу может быть подано уже с намерением совершить преступное деяние.

Другие сценарии указывают на грубую халатность или просто безрассудство, которые могут иметь столь же серьезные последствия. Бывает, например, что целые ИТ-отделы не придерживаются своих собственных правил - слишком громоздких, слишком трудоемких. В офисе это небрежное обращение с паролями или незащищенными смартфонами. Но также небрежное подключение USB-носителей, открытые документы на экране, секретные документы в пустых офисах - список возможных упущений длинный.

Приложение A.7 стандарта ISO 27001 - Безопасность персонала

Компании, внедрившие систему управления информационной безопасностью (ISMS) в соответствии со стандартом ISO 27001, находятся в более выгодном положении. Они знают требования и относящееся к практике Приложение A.7 этого международно признанного стандарта. Потому что ISO 27001 может многое предложить здесь: Хотя эталонные меры ссылаются непосредственно на требования стандарта, они всегда направлены на непосредственную практику компании.

Компании с эффективной СУИБ знакомы с целями, указанными в A.7, которые должны быть реализованы с целью обеспечения безопасности персонала для полного соответствия стандарту - на всех этапах работы.

Что говорится в стандарте ISO 27001 в приложении A.7?

Меры перед приемом на работу

Организация должна убедиться, что новый сотрудник понимает свои будущие обязанности и подходит для своей роли, прежде чем принять его на работу - в соответствии с Приложением A.7.1. В разделе требований (глава 7.2) стандарт говорит о "компетентности".

В качестве целевой контрольной меры кандидаты на работу сначала проходят проверку на благонадежность, соответствующую этическим принципам и действующему законодательству. Эта проверка должна быть адекватной по отношению к требованиям бизнеса, классификации информации, которую необходимо получить, и возможным рискам (A.7.1.1). Для этого, помимо прочего, должно быть установлено, обеспечено или проверено следующее:

  • процедура получения информации (как и при каких условиях)
  • перечень правовых и этических критериев, которые должны соблюдаться.
  • Проверка безопасности должна быть соответствующей, связанной с рисками и потребностями компании
  • правдоподобность и подлинность C.V., финансовых отчетов и других документов
  • благонадежность и компетентность кандидата на предполагаемую должность.

Контрактные соглашения

Следующий шаг касается трудоустройства и договорных условий. Таким образом, данная контрольная мера в Приложении А ISO/IEC 27001 состоит из контрактного соглашения о том, какие обязанности сотрудники имеют по отношению к компании и наоборот (A.7.1.2). Успешное выполнение этого требования включает, помимо прочего, выполнение таких пунктов:

  • Подписание соглашения о конфиденциальности сотрудником (подрядчиком), имеющим доступ к конфиденциальной информации
  • договорное обязательство со стороны работника (подрядчика) соблюдать, например, авторские права или вопросы защиты данных
  • договорное положение об ответственности сотрудников (подрядчиков) при работе с внешней информацией.

Во время работы - Обязанности высшего руководства.

Сотрудники должны быть осведомлены о своих обязанностях в области информационной безопасности. Это является целью пункта A.7.2, и, что более важно, сотрудники должны выполнять эти обязанности.

Первая мера (A.7.2.1) направлена на обязанность руководства поощрять своих сотрудников осуществлять информационную безопасность в соответствии с установленными политиками и процедурами. Для этого, как минимум, должны быть регламентированы следующие моменты:

  • Каким образом высшее руководство поощряет сотрудников к внедрению? Где существуют риски?
  • Каким образом оно обеспечивает осведомленность сотрудников о внедренных руководящих принципах работы с информационной безопасностью?
  • Как оно проверяет, придерживаются ли сотрудники руководящих принципов по работе с информационной безопасностью?
  • Как оно мотивирует сотрудников к внедрению политик и процедур и их безопасному применению?

Создание осведомленности

В главе 7.3 "Информированность" ISO 27001 требует, чтобы лица, выполняющие соответствующую деятельность, были осведомлены о следующем

  • о политике информационной безопасности организации
  • о вкладе, который они вносят в эффективность системы менеджмента информационной безопасности (ISMS)
  • о преимуществах улучшения показателей информационной безопасности
  • о последствиях невыполнения требований СУИБ.

Новые сотрудники особенно нуждаются в регулярном информировании по этому вопросу, например, по электронной почте или через интернет, в дополнение к обязательному инструктажу по вопросам информационной безопасности. Конкретное обучение (особенно по планам и учениям на случай чрезвычайных ситуаций), семинары по конкретным темам и информационные кампании (например, с помощью плакатов) повышают осведомленность о системе управления информационной безопасностью.

Например, ссылочная мера A.7.2.1 в Приложении A стандарта ISO 27001 также служит для создания соответствующей осведомленности об информационной безопасности. Организации должны обучать и тренировать своих сотрудников и, при необходимости, своих подрядчиков по профессионально значимым темам. Соответствующие политики и процедуры должны регулярно обновляться. При этом необходимо учитывать, в частности, следующие аспекты:

  • то, как высшее руководство, со своей стороны, относится к информационной безопасности
  • характер профессионального образования и подготовки
  • частота пересмотра и обновления политик и процедур.
  • Другие используемые инструменты
  • Конкретные меры по ознакомлению сотрудников с внутренними политиками и процедурами информационной безопасности

СОВЕТ: Обеспечьте хорошо отлаженную коммуникацию с множеством каналов для передачи знаний. Это необходимо потому, что осведомленность о СУИБ и связанных с ней аспектах, требуемых стандартом, тесно связана с передачей знаний.

Процесс вынесения выговора

Приложение 7.2.3: Эта мера определяет, каким образом организация будет обрабатывать выговоры в случае нарушений информационной безопасности. Основой для этого является процесс корректирующих действий. Он должен быть формально определен, установлен и объявлен. Должно быть обеспечено следующее:

  • Должны существовать критерии, в соответствии с которыми классифицируется серьезность нарушения политики информационной безопасности.
  • Дисциплинарный процесс не должен нарушать действующее законодательство
  • Дисциплинарный процесс должен содержать меры, которые мотивируют сотрудников изменить свое поведение в положительную сторону в долгосрочной перспективе.

Окончание трудовых отношений - Ответственность

Приложение A.7.3 стандарта ISO 27001 определяет в качестве цели эффективный процесс прекращения трудовых отношений или изменений для защиты интересов организации. Эта цель фокусируется на ответственности за прекращение или изменение трудовых отношений. Соответственно, ответственность и обязательства, связанные с информационной безопасностью, которые остаются после прекращения или изменения трудовых отношений, должны быть определены, переданы и обеспечены. Имеет смысл рассмотреть эти аспекты:

  • Соглашения в трудовых договорах о том, как сотрудники должны относиться к сохраняющимся обязанностям и ответственности, связанным с информационной безопасностью, после прекращения трудовых отношений.
  • Механизмы мониторинга для обеспечения соблюдения этих соглашений
  • Процедуры принуждения к соблюдению постоянной ответственности и обязанностей.

Кибербезопасность через систематическую защиту персонала

Угроза изнутри реальна - и большинство компаний знают об этом. Согласно исследованию в области безопасности (Balabit 2018), сотрудники, обладающие широкими правами доступа, особенно уязвимы для атак. А поскольку сотрудники причастны к 50 процентам всех нарушений безопасности, 69 процентов опрошенных ИТ-специалистов считают наибольшим риском утечку внутренних данных. Однако для решения этой проблемы мало что делается. На практике зачастую трудно выдвинуть обвинения против штатных сотрудников. Особенно на малых и средних предприятиях (МСП), где люди знают друг друга, им часто доверяют - иногда с неприятными последствиями. Хорошо структурированное управление информационной безопасностью обеспечивает основу для обеспечения безопасности информации, которая требует защиты.

Заключение: ISO 27001 на практике - Приложение A

В Приложении A.7 ISO/IEC 27001 приведены эталонные меры по обеспечению безопасности персонала, которые должны быть реализованы в рамках внедрения стандарта. Компании должны использовать эти меры в качестве основы для индивидуальной, более глубокой разработки политики информационной безопасности. Эти меры основаны не на недоверии к сотрудникам, а на четко структурированных кадровых процессах.

Экспертиза и доверие

Сертифицированные компании ценят системы управления как инструменты для высшего руководства, которые создают прозрачность, снижают сложность и обеспечивают безопасность. Однако системы управления делают еще больше: Оцененные и сертифицированные нейтральной и независимой третьей стороной, такой как DQS, они создают доверие у заинтересованных сторон к результатам деятельности вашей компании.

Многие организации до сих пор воспринимают сертификацию как проверку соответствия. Наши клиенты, напротив, видят в этом возможность сосредоточиться на критически важных факторах успеха и результатах своей системы менеджмента. Потому что наша основная компетенция заключается в проведении сертификационных аудитов и оценок. Это делает нас одним из ведущих поставщиков услуг во всем мире, претендующим на установление новых стандартов надежности, качества и ориентации на клиента в любое время.

Автор André Saeckel

 


Контакты
г. Нур-Султан
Телефон:
Написать нам
Copyright © 2013 - 2023
Certification Center
новости Казахстан
Создание сайтов Астана — megagroup.kz