Bezpieczeństwo osobowe
Transkrypt
Bezpieczeństwo osobowe
System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Bezpieczeństwo osobowe Zarządzanie bezpieczeństwem osobowym to jedno z najważniejszych zadań SZBI. Według światowych tak zwany „czynnik ludzki” odpowiada w praktyce za wszystkie niezamierzone naruszenia bezpieczeństwa informacji, które z kolei stanowią ponad 60% wszystkich odnotowanych incydentów zagrażających naruszeniem bezpieczeństwa informacji. Dane statystyczne wskazują również, że zagrożenia bezpieczeństwa informacji wynikłe z działań (świadomych lub nie) pracowników zatrudnionych w organizacjach są o wiele częstsze niż zagrożenia zewnętrzne. Powszechna opinia o tych ostatnich oraz nagłaśnianie działań tak zwanych „hackerów” przez prasę (zarówno codzienną, jak i specjalistyczną) oraz inne media nie sprzyjają również poprawnemu oszacowywaniu zagrożeń. Szeroko nagłaśniane są np. przypadki modyfikacji stron WWW, które zawierają z zasady informacje o charakterze publicznym i zazwyczaj nie przynoszą większych szkód (poza wizerunkowymi) samej organizacji. Współczesne systemy informacyjne są na ogół dość dobrze chronione przed zagrożeniami zewnętrznymi, a w wielu przypadkach wykorzystują także zaawansowane systemy wykrywania intruzów (IDS). Znacznie mniejsza waga jest jednak przykładana możliwości naruszenia bezpieczeństwa przez pracowników samej organizacji. Dobre praktyki zawarte w normie PN-ISO/IEC17799 (ISO 27002) oraz wymagania PN-ISO/IEC 27001 wymagają ustanowienia zasad zarządzania bezpieczeństwem osobowym w organizacji oraz wdrożenia mechanizmów minimalizujących ryzyka związane z wewnętrznymi naruszeniami procedur związanych z bezpieczeństwem informacji. Minimalne wymagania wobec zarządzania zasobami ludzkimi są następujące: • • • • Opracowanie procedury obejmującej zasady zatrudniania pracowników, a także role oraz odpowiedzialność w tym obszarze, Zarządzanie pracownikami w okresie zatrudnienia – w tym także obowiązki kierownictwa związane z zachowaniem odpowiedniego poziomu bezpieczeństwa informacji. Pracownicy powinni być na bieżąco informowani, edukowani oraz szkoleni w zakresie bezpieczeństwa informacji. Niezależnie od działań prewencyjnych należy przygotować odpowiednie procedury dyscyplinarne uruchamiane w momencie stwierdzenia naruszenia przez pracownika zasad postępowania z informacją lub wykorzystywania środków do składowania i przetwarzania informacji. Niezbędne jest określanie działań, które należy podjąć w przypadku czasowej nieobecności pracownika (urlop, choroba, wyjazd służbowy itp.). Postępowanie i odpowiedzialność za realizację procedur związanych z ustaniem zatrudnienia pracownika. Rozdział 5: Bezpieczeństwo osobowe (C) Tomasz Barbaszewski Materiał szkoleniowy str. 1 z 3 System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Przed zatrudnianiem pracownika Procedury związane z zatrudnieniem pracownika lub zawarciem umowy o współpracy z osobą fizyczną kandydaci powinni zostać poddani sprawdzeniu w zależności od niezbędnego zakresu dostępu do informacji w celu realizacji zadań, które mają zostać im powierzone. Procedura sprawdzająca jest opracowywana przez Organizację z uwzględnieniem obowiązujących wymagań prawnych (np. wynikających z Ustawy o ochronie informacji niejawnych). Pracownik zatrudniony na okres próbny nie powinien mieć uprawnień do dostępu do aktywów informacyjnych o znacznej wartości dla Organizacji. Dostęp do informacji chronionych z mocy prawa (dane osobowe, informacje niejawne) oraz do informacji o dużej wartości dla organizacji może być udzielony jedynie pracownikowi, który podpisze odpowiednie zobowiązanie o zachowywaniu poufności. Odpowiednie działy Organizacji są zobowiązane do prowadzenia wykazu pracowników oraz ich uprawnień do korzystania z informacji. Organizacja wyznacza osoby ponoszące odpowiedzialność za udzielanie praw dostępu do informacji oraz zakres takiego dostępu. W czasie okresu zatrudnienia Pracownicy Organizacji są zobowiązani do bezwzględnego przestrzegania Polityki Bezpieczeństwa obowiązującej w Organizacji oraz polityk szczegółowych (załączników) do tego dokumentu, o ile zawarte w nich reguły ich dotyczą (np. pracownicy, którzy korzystają z komputerów przenośnych muszą się stosować do polityki ich wykorzystywania). Kierownictwo Organizacji zapewnia pracownikom pełny dostęp do dokumentów, procedur oraz polityk bezpieczeństwa obowiązujących na ich stanowisku pracy. Kierownictwo Organizacji określa sposoby weryfikacji postępowania pracowników pod kątem zgodności z obowiązującą Polityką bezpieczeństwa. Weryfikacja nie może odbywać się rzadziej niż okresowe audyty SZBI. Należy określić sposób oraz zakres obowiązkowego przeszkolenia pracowników (instruktarz stanowiskowy, zorganizowana forma szkolenia itp.). Udział w programie szkoleń powinien być obowiązkowy. Przeszkolenie pracowników jest obowiązkowe na etapie wdrażania SZBI. Postępowanie dyscyplinarne Kierownictwo Organizacji określa odpowiednim regulaminem zakres odpowiedzialności pracowniczej za nieprzestrzeganie Polityki Bezpieczeństwa Informacji oraz innych polityk SZBI. Opracowany regulamin musi być zgodny z wymaganiami aktów prawnych wyższych rzędów – w szczególności Kodeksu Pracy. Szczególnie dużo emocji budzi wykorzystywanie zasobów teleinformatycznych Organizacji do celów pozasłużbowych. W ustanawianym SZBI Organizacja powinna jednoznacznie określić swe stanowisko w tej sprawie uwzględniając poziom ryzyka tym związany. Rozdział 5: Bezpieczeństwo osobowe (C) Tomasz Barbaszewski Materiał szkoleniowy str. 2 z 3 System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Ustanie zatrudnienia lub zmiana stanowiska lub stosunku pracy Pracownik odchodzący z pracy jest zobowiązany do zdania wszelkich zasobów związanych z jej wykonywaniem. Kierownictwo Organizacji określa procedury kontrolne sprawdzające realizację tych czynności (np. formę karty obiegowej). Pracownikowi odchodzącemu z pracy odbierane są prawa dostępu do informacji, lecz wszelkie informacje (niezależnie od ich formy, nośnika itp.) nie powinny być usuwane, lecz pozostają w dyspozycji Organizacji. Identyfikator użytkownika, który odszedł z pracy nie może być ponownie wykorzystywany. Uwagi końcowe Większość Organizacji posiada wdrożone procedury związane z zarządzaniem zasobami ludzkimi, jednak w wielu przypadkach nie są one opracowywane z uwzględnieniem wymagań SZBI. Ustanowienie oraz wdrożenie SZBI polega wówczas na skorelowaniu procedur Działu Spraw Osobowych i Administratorem Bezpieczeństwa Informacji oraz działem IT zarządzającym strukturą teleinformatyczną. Warunkiem powodzenia takich działań jest rozwiązanie często występujących problemów komunikacyjnych. W moim przekonaniu (aczkolwiek nie jest to oczywiście obowiązujące zalecenie) należy ściśle przestrzegać rozdziału informacji będących własnością Organizacji, lub informacji jej powierzonych od informacji osobistych pracowników. Nieprzestrzeganie tej zasady prowadzi nie tylko do znacznego wzrostu liczby zagrożeń, ale także może stać się źródłem zbędnych konfliktów – np. przy audytowaniu systemu i pojawieniem się zarzutów o naruszanie prywatności pracowników. Rozdział 5: Bezpieczeństwo osobowe (C) Tomasz Barbaszewski Materiał szkoleniowy str. 3 z 3