300 likes | 514 Views
INFORMAČNÁ BEZPEČNOSŤ 5. RNDr. Eva KOSTRECOVÁ, PhD. PERSONÁLNA BEZPEČNOSŤ. Obsah prednášky: Bezpečnosť v definovaní práce a získavaní zamestnancov Výchovno-vzdelávací proces používateľov a zvyšovanie ich bezpečnostného povedomia Reagovanie na bezpečnostné incidenty a nefunkčnosti
E N D
INFORMAČNÁ BEZPEČNOSŤ 5 RNDr. Eva KOSTRECOVÁ, PhD.
PERSONÁLNA BEZPEČNOSŤ Obsah prednášky: • Bezpečnosť v definovaní práce a získavaní zamestnancov • Výchovno-vzdelávací proces používateľov a zvyšovanie ich bezpečnostného povedomia • Reagovanie na bezpečnostné incidenty a nefunkčnosti • Ochrana osôb a aktív pri teroristických činoch a iných druhoch ohrozenia
ÚVOD Jedným z hlavných princípov informačnej bezpečnosti spoločnosti je aj udržiavanie dôvernosti dát. Každý zamestnanec i pracovník tretej strany by si mal byť vedomý, že informácie, s ktorými príde do styku, môžu byť pre firmu dôležité a dôverné. Môžu byť súčasťou zmlúv alebo obchodného tajomstva. Preto je vhodné zapracovať do pracovných i dodávateľských zmlúv pravidlo o mlčanlivosti. O bezpečnostných incidentoch sa dozvedáme často od používateľov. Hlásenia sa spájajú najčastejšie s oznámením nejakej nefunkčnosti alebo atypického správania v systéme. Nájdu sa aj takí, čo ignorujú výstražné hlásenia alebo upozornenia zo systému a do poslednej chvíle s takýmto problémom bojujú, buď jeho ignorovaním alebo jeho „opravou“. Preto treba určiť a neustále pripomínať potrebu ohlasovania takýchto udalostí. Tu narážame na problém, čo môže používateľ považovať za chybu alebo odchýlku. V každej inštitúcii existujú aj aktivisti, čo hlásia všetko. V takýchto prípadoch pomáha aj zvyšovanie počítačovej gramotnosti, presnejšie aj akéhosi bezpečnostného povedomia pracovníkov.
DEFINÍCIA PERSONÁLNEJ BEZPEČNOSTI Personálna bezpečnosť predstavuje zainteresovanosť zamestnancov na celkovej bezpečnosti organizácie, prípravu zamestnancov na prácu s citlivými údajmi, podmienky, v ktorých pracujú používatelia informačných aktív, a ktoré vplývajú na chybovosť ich práce, motiváciu pracovníkov na kľúčových pozíciách z hľadiska ochrany údajov a spoľahlivého chodu informačných systémov, mechanizmus pri zahajovaní a rozväzovaní pracovného pomeru z hľadiska utajenia, školenia bezpečnosti, ich periodicita, preskúšavanie pracovníkov a smernice pre zastupovanie. Prostredníctvom personálnej bezpečnosti je zaisťovaná aj ochrana života a zdravia osôb a ochrana aktív pri teroristických činoch a iných druhoch ohrozenia osôb a majetku v spoločnosti.
CIEĽ PERSONÁLNEJ BEZPEČNOSTI Cieľom personálnej bezpečnosti je znižovanie rizika hrozieb, ktoré predstavuje ľudský faktor. Prostredníctvom pravidiel a smerníc prijatých v oblasti personálnej bezpečnosti sa každá spoločnosť snaží o elimináciu rizík vyplývajúcich z ľudských chýb, omylov, krádeží, podvodov a zneužívania prostriedkov (informačných, technických alebo iných hmotných a nehmotných aktív), o zabezpečenie dostatočnej informovanosti zamestnancov o hrozbách a otázkach informačnej bezpečnosti a o zaistenie pripravenosti zamestnancov na oznamovanie a bezpečnostných incidentov a nefunkčností informačných systémov alebo ich častí (napr.: SW aplikácie, servera).
BEZPEČNOSŤ V DEFINOVANÍ PRÁCEA ZÍSKAVANÍ ZAMESTNANCOV Zodpovednosť za bezpečnosť údajov a informácií v spoločnosti by mala byť adresovaná už na úrovni náboru a prijímania zamestnancov, zahrnutá v pracovných zmluvách a monitorovaná počas doby zamestnania každého jednotlivca. Potenciálni zamestnanci by mali byť primerane preverení, najmä čo sa týka oblasti citlivých zamestnaní. Všetci zamestnanci a používatelia prostriedkov spracovávajúcich informácie z tretích strán, by mali podpísať zmluvy o zachovaní dôvernosti.
ZAHRNUTIE BEZPEČNOSTI DO PRACOVNÝCH POVINNOSTÍ Bezpečnostné role a zodpovednosti, ktoré sú stanovené v politike informačnej bezpečnosti spoločnosti, by mali byť pre príslušné pracovné miesta zdokumentované. Mali by obsahovať všetky všeobecné zodpovednosti za implementáciu alebo udržovanie bezpečnostnej politiky, rovnako ako zodpovednosti za ochranu konkrétneho aktíva alebo za výkon konkrétnych bezpečnostných procesov alebo činností.
PREVEROVANIE ZAMESTNANCOV Pri prijímaní žiadosti o prijatie do stáleho pracovného pomeru, by mali byť vykonávané previerky zahŕňajúce nasledujúce skutočnosti: • dostupnosť uspokojivých referencií o charaktere pracovníka, napr. firemných, osobných, • kontrola úplnosti a presnosti životopisu uchádzača, • kontrola deklarovaných akademických a profesionálnych kvalifikácií, • kontrola identity na základe občianskeho preukazu alebo iného dokladu s fotografiou.
PREVEROVANIE ZAMESTNANCOV /2 Ak bude mať nový zamestnanec na svojej pracovnej pozícii prístup k zariadeniam alebo prostriedkom spracúvajúcim informácie, citlivé informácie, finančné údaje alebo vysoko dôverné informácie, mala by spoločnosť vykonať aj previerku dôveryhodnosti. V prípade zamestnancov, ktorí sú na pozíciách so značnými právomocami, by mali byť takéto previerky vykonávané periodicky. Podobným preverovacím procesom by mali prejsť aj zmluvní partneri a dočasní pracovníci. Keď sú takíto pracovníci zabezpečovaní cez agentúru, kontrakt s agentúrou by mal jasne špecifikovať jej povinnosti a zodpovednosti za preverenie a oznamovacie procedúry, ktoré musí dodržať, ak preverovanie nebolo ukončené, alebo ak jeho výsledky dávajú dôvody pre pochybnosti alebo znepokojenie.
PREVEROVANIE ZAMESTNANCOV /3 Manažéri spoločnosti by si mali byť vedomí toho, že osobné okolnosti ich zamestnancov môžu mať vplyv na ich prácu. Osobné alebo finančné problémy, zmeny v ich správaní alebo životnom štýle, opakované absencie alebo prejavy stresu a depresie, môžu viesť k podvodu, krádeži, chybe alebo iným bezpečnostným následkom. S týmito informáciami by sa však malo nakladať v súlade s príslušnou legislatívou, existujúcou v rámci danej jurisdikcie.
DOHODY O ZACHOVÁVANÍ DÔVERNOSTI Dohody o zachovávaní dôvernosti údajov a utajovaných skutočností sú používané a podpisované v spoločnosti so zamestnancami, ktorí prichádzajú do styku alebo majú prístup k informačným aktívam typu „dôverné“, „tajné“, „mimoriadne citlivé“ alebo „citlivé“. Zamestnanci by za normálnych okolností mali podpísať takéto dohody ako súčasť ich pracovnej zmluvy. Každý zamestnanec musí byť poučený o ochrane údajov a v závislosti od stupňa citlivosti musí podpísať vyhlásenie o mlčanlivosti. Toto vyhlásenie bude obsahovať kategórie údajov a informácií, na ktoré sa vzťahuje tak, aby zamestnanec mohol jednoznačne identifikovať údaje. Dokument bude obsahovať vyhlásenie zamestnanca, že si je vedomý dôsledkov, ktoré pre neho vyplývajú z prezradenia citlivých údajov. Dotknutý zamestnanec podpíše takého vyhlásenie pri podpise pracovnej zmluvy alebo počas trvania pracovného pomeru, ak plnenie jeho pracovných povinností vyžaduje prístup k takýmto údajom.
DOHODY O ZACHOVÁVANÍ DÔVERNOSTI /2 Od dočasných zamestnancov a používateľov z tretích strán, ktorí nie sú pokrytí existujúcou pracovnou zmluvou so spoločnosťou, obsahujúcou klauzulu o zachovávaní dôvernosti, by malo byť požadované podpísanie dohody o zachovávaní dôvernosti ešte predtým, ako je im umožnený prístup k prostriedkom spracovávajúcim informácie. Pri zmenách pracovného zaradenia alebo pri ukončovaní pracovného pomeru je potrebné dohody o zachovávaní dôvernosti preveriť, resp. upraviť. V špeciálnych prípadoch môže byť požadované zaviazať zamestnanca chrániť citlivé údaje a informácie aj po ukončení pracovného pomeru.
PRACOVNÁ NÁPLŇ A PODMIENKY ZAMESTNANIA V pracovnej náplni zamestnanca by mala byť stanovená zamestnancova zodpovednosť za informačnú bezpečnosť. Tam, kde je to potrebné, by byť pokračovanie tejto zodpovednosti aj počas stanoveného obdobia po ukončení pracovného pomeru. Pracovná náplň a pracovná zmluvy by mali obsahovať aj kroky, ktoré budú vykonané, ak zamestnanec nebude rešpektovať dané bezpečnostné požiadavky. Právne zodpovednosti a nároky zamestnanca, napr. v prípade autorských práv alebo ochrany údajov, by mali byť jasne stanovené v jeho pracovnej zmluve a pracovnej náplni. Tieto dokumenty by mali pokrývať aj zodpovednosti za klasifikáciu a riadenie údajov spoločnosti. Ak je to potrebné, môže byť pôsobnosť zodpovedností z oblasti informačnej bezpečnosti v pracovnej náplni rozšírená aj nad rámec bežných pracovných hodín a miesta výkonu práce, napr. pri teleworkingu.
VÝCHOVNO-VZDELÁVACÍ PROCES POUŽÍVATEĽOV A ZVYŠOVANIE ICH BEZPEČNOSTNÉHO POVEDOMIA Cieľom výchovno-vzdelávacieho procesu používateľov je zaistiť, aby si používatelia boli vedomí hrozieb a rizík informačnej bezpečnosti, a aby svoje pracovné úlohy vykonávali v súlade s bezpečnostnými požiadavkami spoločnosti a súčasne zaručiť zodpovedajúce vedomosti zamestnancov o prevencii pred stratou dôvernosti, náhodnými stratami a narušením údajov a zničením alebo poškodením aktív spoločnosti. Používatelia by mali absolvovať zácvik správneho používania prostriedkov spracovávajúcich informácie, aby sa minimalizovala možnosť vzniku bezpečnostných rizík.
ORGANIZÁCIA VÝCHOVNO-VZDELÁVACIEHO PROCESU Prostredníctvom výchovno-vzdelávacieho procesu sa bude rozvíjať bezpečnostné povedomie zamestnancov na ochranu aktív spoločnosti. Každý zamestnanec bude oboznámený so svojou zodpovednosťou a právomocami pri ochrane aktív spoločnosti. Organizácia výchovno-vzdelávacieho programu, vyhodnocovanie účasti na ňom spadá do kompetencie ľudských zdrojov. Útvar bezpečnosti je odborným garantom výchovno-vzdelávacieho programu a jeho jednotlivých modulov. Vedúci útvarov, ktorých sa výchovno-vzdelávací program týka musia zabezpečiť účasť zamestnancov na výchovno-vzdelávacom procese.
VZDELÁVANIE PRI ZAVÁDZANÍNOVÝCH SLUŽIEB A PRODUKTOV Pri zavádzaní nových služieb a produktov alebo pri vylepšovaní už existujúcich služieb spoločnosti sa pre všetkých zamestnancov, ktorých sa to týka, musia zabezpečiť vhodné školenia. Program školenia musí zahŕňať poznatky o používaní nových služieb aj o ich bezpečnostných charakteristikách a požiadavkách, aby zamestnanci mohli zodpovedne vykonávať svoje úlohy. Informačné systémy a ďalšie systémy zakúpené alebo vyvinuté pre manažment a zamestnancov, ktorí nemajú požadované technické znalosti, musia byť pripravené tak, aby zodpovedali technickým znalostiam a skúsenostiam ich používateľov. Zamestnanci, ktorí zabezpečujú služby, musia byť vyškolení tak, aby nebolo pravdepodobné, že urobia chybu, ktorá môže mať vplyv na funkčnosť systému a kvalitu poskytovaných služieb.
REAGOVANIE NA BEZPEČNOSTNÉ INCIDENTY A NEFUNKČNOSTI Cieľom tejto činnosti je zabezpečiť operatívne získavanie informácií o pripravovaných alebo realizovaných bezpečnostných incidentoch a minimalizovať škody vyplývajúce z týchto incidentov a nefunkčnosti. Všetci zamestnanci a zmluvní partneri by mali byť upovedomení o procedúrach oznamovania rôznych typov incidentov (narušenie bezpečnosti, hrozba, slabina, alebo nesprávne fungovanie), ktoré by mohli mať vplyv na bezpečnosť aktív organizácie. Malo by sa od nich požadovať čo najrýchlejšie oznámenie spozorovaných alebo očakávaných incidentov určenému kontaktnému bodu/osobe. Organizácia by mala zaviesť formálny disciplinárny proces pre zaoberanie sa zamestnancami, ktorí spôsobia narušenie bezpečnosti. Kvôli schopnosti incident riadne popísať, môže byť nevyhnutné zozbierať fakty/dôkazy čo najskôr po takejto udalosti
OZNAMOVANIE BEZPEČNOSTNÝCH INCIDENTOV Bezpečnostné incidenty by mali byť oznámené cez náležité manažérske kanály tak rýchlo, ako je to možné. Pre hlásenie bezpečnostných incidentov a podozrení zo spáchania trestného činu musí byť vypracovaná formálna procedúra. Musí existovať procedúra reakcie na bezpečnostné incidenty rôznych typov, ktorá popíše kroky nasledujúce po prijatí hlásenia bezpečnostného incidentu alebo podozrenia zo spáchania trestného činu. Všetci zamestnanci spoločnosti a zmluvní partneri musia byť upovedomení o procese hlásenia takýchto udalostí. Mali by sa implementovať vhodné spätné väzby, ktoré by zaistili, aby tí, ktorí incident oznámili, boli po jeho ošetrení a uzavretí upovedomení o výsledkoch. Takéto incidenty možno použiť aj pri zácviku povedomia používateľov ako príklady toho, čo sa môže stať, ako reagovať na dané incidenty a ako sa im v budúcnosti vyhnúť.
OZNAMOVANIE BEZPEČNOSTNÝCH INCIDENTOV /2 Každý bezpečnostný incident by mal byť zaradený do jednej z kategórií, podľa naliehavosti jeho riešenia: • okamžitý zásah – incidenty, ktoré pravdepodobne spôsobia veľké škody alebo ich už spôsobili, ohrozujú bezpečnosť alebo plynulosť základných funkcií v spoločnosti, prípadne sa môžu rozšíriť, • prioritný zásah – incidenty, ktoré svojou podstatou porušili platnú legislatívu SR alebo interné dokumenty spoločnosti a následne môžu spôsobiť narušenie bezpečnosti spoločnosti, • rutinný zásah – incidenty, ktoré sú očakávané alebo existuje podozrenie z ich výskytu.
OZNAMOVANIE BEZPEČNOSTNÝCH INCIDENTOV /3 Hlásenie bezpečnostných incidentov sa obvykle vykonáva v troch krokoch: • 1. krok – oznámenie incidentu určenej osobe, ktorá bude riadiť alebo vykonávať priamy zásah. • 2. krok – okamžite po vykonaní zásahu bude podané hlásenie osobe, ktorá je schopná analyzovať prijaté hlásenie vzhľadom na predchádzajúce incidenty, prebiehajúce alebo plánované zásahy a vzhľadom na regionálne špecifiká. Analýza by mala ovplyvniť prebiehajúce a plánované zásahy. • 3. krok – vyriešený incident bude centrálne dokumentovaný pre potreby pracovníkov bezpečnosti. Údaje budú využité pre potreby štatistiky a analýzy trendov narušení bezpečnostného systému a návrhu nových alebo optimalizáciu existujúcich bezpečnostných mechanizmov.
OZNAMOVANIE BEZPEČNOSTNÝCH SLABÍN Od používateľov informačných služieb by malo byť vyžadované, aby zaznamenávali a oznamovali akékoľvek spozorované alebo tušené bezpečnostné slabiny alebo hrozby pre systémy alebo služby. Mali by tieto veci oznamovať svojmu manažmentu alebo priamo svojmu poskytovateľovi služieb, tak rýchlo, ako je to možné. Používatelia by mali byť informovaní, že by sa za nijakých okolností nemali pokúšať dokázať existenciu očakávaných bezpečnostných slabín. Je to pre ich vlastnú ochranu, nakoľko testovanie slabín by mohlo byť interpretované ako potenciálne zneužitie systému.
OZNAMOVANIE NEFUNKČNOSTI SOFTVÉRU V spoločnosti by mali byť vypracované procedúry na oznamovanie nefunkčností softvéru. Zvážené by mali byť nasledovné kroky. • Symptómy daného problému a akékoľvek správy objavujúce sa na obrazovke, by mali byť zaznamenávané. • Ak je to možné, počítač by mal byť izolovaný a jeho používanie by sa malo zastaviť. • Okamžite by mal byť upozornený príslušný kontakt. Ak sa majú kontrolovať prístroje, mali by byť odpojené zo všetkých sietí organizácie ešte pred ich opätovným zapnutím. Diskety by sa nemali presunúť k iným počítačom. • Záležitosť by mala byť okamžite oznámená manažérovi informačnej bezpečnosti. Používatelia by sa nemali pokúšať odstraňovať podozrivý softvér, ak na to nie sú autorizovaní. Primerane zaškolení a skúsení pracovníci by mali vykonať obnovu.
EVIDENCIA INCIDENTOV O každom incidente je potrebné viesť presnú evidenciu, ktorá musí obsahovať: • údaje o identifikácii incidentu : • dátum a čas identifikácie incidentu, • meno zamestnanca, ktorý incident identifikoval, • popis incidentu, rozsah poškodenia, prípadne výšku škody, • skutočnosti zistené v priebehu vyšetrovania, dôkazové materiály, • závery prijaté z vyšetrovania, údaje o výške trestu, • opatrenia, ktoré môžu zabrániť opakovaniu incidentu.
POUČENIE SA Z INCIDENTOV Mali by existovať mechanizmy, ktoré by umožnili kvantifikovať a monitorovať typy, rozsahy a náklady incidentov a nefunkčností. Takéto informácie by sa mali použiť na identifikáciu opakujúcich sa incidentov alebo nefunkčností s vážnymi dopadmi. Minimálne raz ročne je potrebné spracovať štatistiku incidentov a prijať adekvátne systémové opatrenia na eliminovanie incidentov: • s najvážnejším dopadom na spoločnosti, • s najvyššou frekvenciou opakovania. Toto môže v procese revidovania bezpečnostnej politiky naznačovať potrebu posilnených alebo dodatočných opatrení na obmedzenie frekvencie, škôd a nákladov v súvislosti s budúcim výskytom.
DISCIPLINÁRNY PROCES Mal by existovať formálny disciplinárny proces pre zamestnancov, ktorí porušili bezpečnostné opatrenia a procedúry organizácie. Takýto proces môže pôsobiť odradzujúco na zamestnancov, ktorí by inak mohli inklinovať k nerešpektovaniu bezpečnostných procedúr. Taktiež by zaručil správny, čestný postup voči zamestnancom, ktorí sú podozriví zo spôsobenia vážneho, alebo dlhodobého narušenia bezpečnosti.
SÚČINNOSŤ S POLÍCIOU Pri niektorých činnostiach musia útvary a zamestnanci vykonávajúci ochranu a bezpečnosť spoločnosti spolupracovať aj s príslušníkmi policajného zboru. Z uvedeného dôvodu je potrebné s príslušnými oddeleniami polície uzatvoriť zmluvné vzťahy alebo dohodu na súčinnosť vo vymedzených činnostiach a prípadoch. Jedná sa hlavne o mimoriadne udalosti ako sú: • prepad pri preprave cenín a finančných hotovostí, • vyhrážanie sa bombovým útokom, • branie rukojemníka, • narušenie chránených objektov a priestorov, • podozrenie z konania trestnej činnosti, • fyzické napadnutie zamestnanca, • teroristický útok, • poskytovanie údajov a informácií v súlade s legislatívou.
KONANIE ZAMESTNANCOV PRI TERORISTICKOM ČINE V prípade mimoriadnej udalosti, pri ktorej je priamo ohrozovaný život alebo zdravie zamestnancov a klientov spoločnosti je nevyhnutné zdržať sa akéhokoľvek konania, ktoré by mohlo spôsobiť útok. Zamestnanci musia v takýchto situáciách dodržiavať nasledujúce zásady: • neprovokovať svojim správaním a činnosťou útočníkov, • neklásť odpor, • snažiť sa vyhovieť požiadavkám útočníkov (podľa situácie), • ak to dovoľujú okolnosti, čo najskôr vyrozumieť políciu. Za žiadnych okolností sa zamestnanec nesmie pokúsiť o konfrontáciu s ozbrojeným útočníkom a nikdy nesmie odmietnuť vydanie peňazí.
OHROZENIE ZAMESTNANCOV Zamestnanci môžu byť vystavení rôznym druhom vyhrážok, vydieraní a nátlaku. Okrem zamestnanca môžu byť ohrozovaní aj jeho rodinní príslušníci alebo priatelia. Pod hrozbou sa môže nachádzať zamestnanec, ktorého útočník núti prezradiť osobné údaje alebo iné citlivé údaje a informácie. Útočník sa môže vyhrážať zamestnancovi priamo alebo nepriamo prostredníctvom telefónu alebo listu. Ohrozovaný zamestnanec musí nahlásiť dôvod ohrozenia nadriadenému, ktorý podá hlásenie ďalej v súlade s procedúrou pre hlásenie bezpečnostných incidentov. Vo všetkých prípadoch je manažment spoločnosti zodpovedný za účinnú a citlivú reakciu na tieto incidenty. Manažment musí byť pripravený a ochotný presunúť zamestnancov na iné miesto, čím sa zníži riziko ich zraniteľnosti.
EVAKUÁCIA OSÔB A PRIESTOROV Evakuácia osôb je organizačné opatrenie, ktoré zabezpečuje organizáciu a spôsob odsunu ohrozených osôb z určitého územia. K evakuácii môže prísť v dôsledku vzniku mimoriadnej situácie zapríčinenej: • živelnou pohromou, • technologickou haváriou, • katastrofou. Pri evakuácii priestorov v prípade bezpečnostného incidentu, keď je potrebné evakuovať budovu spoločnosti, je potrebné zabezpečiť, aby neprišlo k zbytočným zraneniam alebo smrti. Je nevyhnutné zabezpečiť evakuáciu nielen zamestnancov, ale i klientov, dodávateľov a návštevníkov. Musí byť zaistená asistovaná pomoc pre osoby, ktoré nie sú fyzicky schopné prekonať únikovú cestu, alebo ktorým by to trvalo príliš dlho, čo by ich vystavilo ohrozeniu.
PROFIL TYPICKÉHO PODVODNÍKA • 70 % páchateľov -vek medzi 36 a 55 rokov • 14% páchateľov – medzi 26-35 rokov • 85 % páchateľov -muži • 68 % prípadov - páchateľ konal nezávisle • 89 % prípadov voči vlastnému zamestnávateľovi • 60 % podvodov – člen senior manažmentu • 36 % páchateľov – pracovalo pre zamestnávateľa 2-5 rokov Interní podvodníci najčastejšie pracujú na: • finančnom oddelení • prevádzkovom oddelení • obchodnom oddelení • alebo ako CEO Zdroj: KPMG, Profile of a Fraudster Survey, 2007