W tym artykule przedstawię w skrócie wymagania w zakresie rozdziału 6 Kontrola osób normy ISO/IEC 27002:2022. W poprzedniej wersji, ISO 27002:2013, wiele z tych kontroli można było znaleźć w rozdziale 7, Zasoby ludzkie. Osoby znające wersją z 2013 r. znajdą w niej kilka nowych mechanizmów kontrolnych. Szczegółowe wyjaśnienie poprzednich mechanizmów kontrolnych można znaleźć w tym artykule.
Przedstawiamy wymagania w zakresie rozdziału 6 normy ISO/IEC 27002:2022
Kontrola osób (6)
Sprawdzanie (6.1)
System zarządzania bezpieczeństwem informacji wymaga opracowania polityki sprawdzania wszystkich nowych lub awansowanych pracowników, w tym konsultantów i pracowników tymczasowych. Ma to na celu zapewnienie, że pracownicy są kompetentni i godni zaufania. Polityka ta musi uwzględniać zarówno lokalne przepisy i regulacje, jak i rolę nowego pracownika, aby zapewnić, że postępowanie sprawdzające jest wystarczające, ale nie nieproporcjonalne. Niektóre stanowiska w organizacji mogą wymagać wyższego poziomu kontroli, np. jeśli pracownicy będą mieli do czynienia z informacjami poufnymi. Zwłaszcza w przypadku stanowisk związanych z bezpieczeństwem informacji kontrola powinna obejmować także niezbędne kompetencje i wiarygodność, co należy odpowiednio udokumentować. Procesowi sprawdzania należy poddać cały personel, w tym pracowników pełnoetatowych, nie pełnoetatowych i tymczasowych. Jeśli osoby te są zatrudnione przez dostawców usług, wymagania dotyczące badań przesiewowych powinny być zawarte w umowach między organizacją a dostawcami.
Zasady i warunki zatrudnienia (6.2)
Przed rozpoczęciem pracy pracownik musi być świadomy polityki bezpieczeństwa informacji stosowanej przez organizację, w tym ról i obowiązków związanych z bezpieczeństwem informacji. Informacje te mogą być przekazywane w formie podpisanego kodeksu postępowania lub w podobny sposób. Umowy pracowników powinny także zawierać zapisy związane z przestrzeganiem wymagań określonych polityce bezpieczeństwa informacji organizacji i zapisów wspierających politykę, w tym umowę o zachowaniu poufności, jeżeli pracownik będzie miał dostęp do informacji poufnych.
Świadomość, kształcenie i szkolenie w zakresie bezpieczeństwa informacji (6.3)
Pracownicy potrzebują szkoleń z zakresu bezpieczeństwa informacji, gdy dołączają do organizacji lub zmieniają stanowiska. Pracownicy o dłuższym stażu również powinni utrzymywać swoją świadomość poprzez regularne szkolenia i komunikację. Szkolenie powinno być dostosowane do pełnionej funkcji. W przypadku wielu pracowników będą to podstawy, takie jak przypomnienie o bezpieczeństwie haseł i atakach socjotechnicznych. W przypadku pracowników technicznych lub osób mających do czynienia z materiałami poufnymi konieczne będzie bardziej dogłębne szkolenie w zakresie pełnionych przez nich funkcji. Program uświadamiania, kształcenia i szkolenia w zakresie bezpieczeństwa informacji powinien być opracowany zgodnie z polityką bezpieczeństwa informacji organizacji, politykami tematycznymi i odpowiednimi procedurami dotyczącymi bezpieczeństwa informacji, z uwzględnieniem informacji, które mają być chronione, oraz środków kontroli bezpieczeństwa informacji, które zostały wdrożone w celu ich ochrony.
Proces dyscyplinarny (6.4)
Należy opracować zasady postępowania dyscyplinarnego w przypadku stwierdzenia naruszenia polityki bezpieczeństwa informacji. Procedura dyscyplinarna powinna być proporcjonalna i stopniowana, a działania uzależnione od powagi incydentu, intencji, tego, czy było to powtórne naruszenie, a także, co ważne, od tego, czy pracownik został odpowiednio przeszkolony. Wiele zarejestrowanych incydentów związanych z bezpieczeństwem będzie wynikiem naruszenia zasad i powinno prowadzić do podjęcia działań dyscyplinarnych. Należy sformalizować i zakomunikować proces dyscyplinarny w celu podjęcia działań wobec pracowników i innych zainteresowanych stron, które dopuściły się naruszenia polityki bezpieczeństwa informacji.
Obowiązki po zakończeniu lub zmianie zatrudnienia (6.5)
Obowiązki w zakresie bezpieczeństwa informacji nie kończą się wraz ze zmianą lub ustaniem stosunku pracy. Warunki zatrudnienia pracownika powinny zawierać umowy o zachowaniu poufności, które zobowiązują go do przestrzegania poufności informacji po odejściu z organizacji. Gdy pracownik odchodzi z pracy, może również pozostawiać wolne stanowiska związane z bezpieczeństwem informacji. Aby zachować ciągłość bezpieczeństwa, kierownictwo musi określić te role, tak aby możliwe było ich przeniesienie. Odpowiedzialność i obowiązki w zakresie bezpieczeństwa informacji, które pozostają w mocy po rozwiązaniu lub zmianie miejsca zatrudnienia, powinny być zdefiniowane, egzekwowane i przekazane odpowiednim pracownikom oraz innym zainteresowanym stronom.
Umowy o poufności lub nieujawnianiu informacji (6.6)
Jeżeli poufność informacji jest wystarczająco wysoka, może zaistnieć potrzeba jej ochrony na prawnie egzekwowalnych warunkach. W takim przypadku można wykorzystać umowy o poufności, określające zakres informacji, obowiązki wszystkich stron, czas obowiązywania umowy oraz kary w przypadku jej złamania. Chronią one informacje przed ujawnieniem po odejściu pracownika z organizacji przez określony czas. Umowy o poufności lub nieujawnianiu informacji, odzwierciedlające potrzeby organizacji w zakresie ochrony informacji, powinny być określone, udokumentowane, regularnie przeglądane i podpisywane przez personel oraz inne zainteresowane strony.
Praca zdalna (6.7)
Praca zdalna stała się standardem w wielu organizacjach, dając zarówno organizacjom, jak i pracownikom większą elastyczność. Praca zdalna ma jednak wpływ na bezpieczeństwo informacji, co należy rozważyć i udokumentować. Polityka pracy zdalnej powinna określać, gdzie i kiedy praca zdalna jest dozwolona, jak zapewnić urządzenia i sprzęt, autoryzowany dostęp oraz do jakich informacji można uzyskać zdalny dostęp. Szczególne znaczenie mają zasady regulujące korzystanie z obcych sieci oraz ryzyko, że znajomi, rodzina lub obce osoby mogą podsłuchać lub zobaczyć poufne informacje. Gdy personel pracuje zdalnie, należy wdrożyć środki bezpieczeństwa, aby chronić informacje, do których dostęp, które są przetwarzane lub przechowywane poza siedzibą organizacji.
Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji (6.8)
Podczas codziennej pracy pracownicy czasami spotykają się z incydentami związanymi z bezpieczeństwem informacji. Incydenty mogą obejmować błędy ludzkie, naruszenia poufności, awarie, podejrzenia infekcji złośliwym oprogramowaniem oraz nieprzestrzeganie polityki dotyczącej bezpieczeństwa informacji lub przepisów prawa. Pierwszym krokiem w identyfikowaniu, naprawianiu i zapobieganiu ponownemu wystąpieniu incydentu jest jego zgłoszenie. Dlatego pracownicy potrzebują kanału zgłaszania i muszą być świadomi jego istnienia.
Każdy środek kontroli w ISO 27002:2022 zawiera wskazówki i sugestie dotyczące wdrożenia wykraczające poza to, co zostało streszczone w tym artykule, dlatego w celu uzyskania dalszych informacji zalecamy lekturę samej normy lub korzystanie ze szkoleń jakie będziemy przeprowadzać od września 2022 r. w zakresie norm ISO/IEC 27002:2022 i norm NSC oraz NIST.