Bezpieczeństwo osobowe

System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Bezpieczeństwo osobowe
Zarządzanie bezpieczeństwem osobowym to jedno z najważniejszych zadań SZBI. Według
światowych tak zwany „czynnik ludzki” odpowiada w praktyce za wszystkie niezamierzone
naruszenia bezpieczeństwa informacji, które z kolei stanowią ponad 60% wszystkich odnotowanych
incydentów zagrażających naruszeniem bezpieczeństwa informacji. Dane statystyczne wskazują
również, że zagrożenia bezpieczeństwa informacji wynikłe z działań (świadomych lub nie)
pracowników zatrudnionych w organizacjach są o wiele częstsze niż zagrożenia zewnętrzne.
Powszechna opinia o tych ostatnich oraz nagłaśnianie działań tak zwanych „hackerów” przez prasę
(zarówno codzienną, jak i specjalistyczną) oraz inne media nie sprzyjają również poprawnemu
oszacowywaniu zagrożeń. Szeroko nagłaśniane są np. przypadki modyfikacji stron WWW, które
zawierają z zasady informacje o charakterze publicznym i zazwyczaj nie przynoszą większych
szkód (poza wizerunkowymi) samej organizacji.
Współczesne systemy informacyjne są na ogół dość dobrze chronione przed zagrożeniami
zewnętrznymi, a w wielu przypadkach wykorzystują także zaawansowane systemy wykrywania
intruzów (IDS). Znacznie mniejsza waga jest jednak przykładana możliwości naruszenia
bezpieczeństwa przez pracowników samej organizacji.
Dobre praktyki zawarte w normie PN-ISO/IEC17799 (ISO 27002) oraz wymagania PN-ISO/IEC
27001 wymagają ustanowienia zasad zarządzania bezpieczeństwem osobowym w organizacji oraz
wdrożenia mechanizmów minimalizujących ryzyka związane z wewnętrznymi naruszeniami
procedur związanych z bezpieczeństwem informacji. Minimalne wymagania wobec zarządzania
zasobami ludzkimi są następujące:
•
•
•
•
Opracowanie procedury obejmującej zasady zatrudniania pracowników, a także role oraz
odpowiedzialność w tym obszarze,
Zarządzanie pracownikami w okresie zatrudnienia – w tym także obowiązki kierownictwa
związane z zachowaniem odpowiedniego poziomu bezpieczeństwa informacji. Pracownicy
powinni być na bieżąco informowani, edukowani oraz szkoleni w zakresie bezpieczeństwa
informacji. Niezależnie od działań prewencyjnych należy przygotować odpowiednie
procedury dyscyplinarne uruchamiane w momencie stwierdzenia naruszenia przez
pracownika zasad postępowania z informacją lub wykorzystywania środków do
składowania i przetwarzania informacji.
Niezbędne jest określanie działań, które należy podjąć w przypadku czasowej nieobecności
pracownika (urlop, choroba, wyjazd służbowy itp.).
Postępowanie i odpowiedzialność za realizację procedur związanych z ustaniem
zatrudnienia pracownika.
Rozdział 5: Bezpieczeństwo osobowe
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 1 z 3
System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Przed zatrudnianiem pracownika
Procedury związane z zatrudnieniem pracownika lub zawarciem umowy o współpracy z osobą
fizyczną kandydaci powinni zostać poddani sprawdzeniu w zależności od niezbędnego zakresu
dostępu do informacji w celu realizacji zadań, które mają zostać im powierzone. Procedura
sprawdzająca jest opracowywana przez Organizację z uwzględnieniem obowiązujących wymagań
prawnych (np. wynikających z Ustawy o ochronie informacji niejawnych). Pracownik zatrudniony
na okres próbny nie powinien mieć uprawnień do dostępu do aktywów informacyjnych o znacznej
wartości dla Organizacji.
Dostęp do informacji chronionych z mocy prawa (dane osobowe, informacje niejawne) oraz do
informacji o dużej wartości dla organizacji może być udzielony jedynie pracownikowi, który
podpisze odpowiednie zobowiązanie o zachowywaniu poufności. Odpowiednie działy Organizacji
są zobowiązane do prowadzenia wykazu pracowników oraz ich uprawnień do korzystania z
informacji. Organizacja wyznacza osoby ponoszące odpowiedzialność za udzielanie praw dostępu
do informacji oraz zakres takiego dostępu.
W czasie okresu zatrudnienia
Pracownicy Organizacji są zobowiązani do bezwzględnego przestrzegania Polityki
Bezpieczeństwa obowiązującej w Organizacji oraz polityk szczegółowych (załączników) do tego
dokumentu, o ile zawarte w nich reguły ich dotyczą (np. pracownicy, którzy korzystają z
komputerów przenośnych muszą się stosować do polityki ich wykorzystywania).
Kierownictwo Organizacji zapewnia pracownikom pełny dostęp do dokumentów, procedur oraz
polityk bezpieczeństwa obowiązujących na ich stanowisku pracy.
Kierownictwo Organizacji określa sposoby weryfikacji postępowania pracowników pod kątem
zgodności z obowiązującą Polityką bezpieczeństwa. Weryfikacja nie może odbywać się rzadziej niż
okresowe audyty SZBI.
Należy określić sposób oraz zakres obowiązkowego przeszkolenia pracowników (instruktarz
stanowiskowy, zorganizowana forma szkolenia itp.). Udział w programie szkoleń powinien być
obowiązkowy. Przeszkolenie pracowników jest obowiązkowe na etapie wdrażania SZBI.
Postępowanie dyscyplinarne
Kierownictwo Organizacji określa odpowiednim regulaminem zakres odpowiedzialności
pracowniczej za nieprzestrzeganie Polityki Bezpieczeństwa Informacji oraz innych polityk SZBI.
Opracowany regulamin musi być zgodny z wymaganiami aktów prawnych wyższych rzędów – w
szczególności Kodeksu Pracy.
Szczególnie dużo emocji budzi wykorzystywanie zasobów teleinformatycznych Organizacji do
celów pozasłużbowych. W ustanawianym SZBI Organizacja powinna jednoznacznie określić swe
stanowisko w tej sprawie uwzględniając poziom ryzyka tym związany.
Rozdział 5: Bezpieczeństwo osobowe
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 2 z 3
System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Ustanie zatrudnienia lub zmiana stanowiska lub stosunku pracy
Pracownik odchodzący z pracy jest zobowiązany do zdania wszelkich zasobów związanych z jej
wykonywaniem. Kierownictwo Organizacji określa procedury kontrolne sprawdzające realizację
tych czynności (np. formę karty obiegowej). Pracownikowi odchodzącemu z pracy odbierane są
prawa dostępu do informacji, lecz wszelkie informacje (niezależnie od ich formy, nośnika itp.) nie
powinny być usuwane, lecz pozostają w dyspozycji Organizacji. Identyfikator użytkownika, który
odszedł z pracy nie może być ponownie wykorzystywany.
Uwagi końcowe
Większość Organizacji posiada wdrożone procedury związane z zarządzaniem zasobami
ludzkimi, jednak w wielu przypadkach nie są one opracowywane z uwzględnieniem wymagań
SZBI. Ustanowienie oraz wdrożenie SZBI polega wówczas na skorelowaniu procedur Działu Spraw
Osobowych i Administratorem Bezpieczeństwa Informacji oraz działem IT zarządzającym strukturą
teleinformatyczną. Warunkiem powodzenia takich działań jest rozwiązanie często występujących
problemów komunikacyjnych.
W moim przekonaniu (aczkolwiek nie jest to oczywiście obowiązujące zalecenie) należy ściśle
przestrzegać rozdziału informacji będących własnością Organizacji, lub informacji jej
powierzonych od informacji osobistych pracowników. Nieprzestrzeganie tej zasady prowadzi nie
tylko do znacznego wzrostu liczby zagrożeń, ale także może stać się źródłem zbędnych konfliktów
– np. przy audytowaniu systemu i pojawieniem się zarzutów o naruszanie prywatności
pracowników.
Rozdział 5: Bezpieczeństwo osobowe
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 3 z 3