Pripremili smo ovaj praktični primjer implementacije ISO 27001 za podršku našim korisnicima kako biste dobili:

uvid u to kako pristupamo informacijskoj sigurnosti u ovom naoko jednostavnom primjeru
da ISO 27001 nije samo skup mrtvih slova, već način na koji zaista djelujemo na korist i poslovanje naših klijenata i nas
da je ISO 27001 jedan od alata za rast vašeg poslovanja i, posljedično, našeg poslovanja

Ako niste pročitali izvor o našoj usklađenosti s ISO/IEC 27001, molimo učinite to prije čitanja ovog primjera jer će ovaj primjer imati više smisla.

U ovom primjeru, obuhvat implementacije ISO 27001 je podrška korisnicima. Radi sažetosti, usredotočit ćemo se na jedan poslovni događaj: otvaranje slučaja slanjem e-pošte našem helpdesku.

Sigurnosni događaj opisan je sljedećim točkama:

• Anna Smith je zaposlena u ACME Shipping Ltd. kao IT administrator
• ACME Shipping Ltd. je tvrtka za dostavu paketa sa sjedištem u Londonu i naš je klijent koji koristi naš proizvod InfraNS kako bi obavijestio primaoca o dolasku pošiljke.
• Anna Smith je u panici poslala e-poštu našem helpdesku, tvrdeći: John Jones je primio SMS poruku na svoj mobilni broj +44-555-3004-833 namijenjenu za njega, a poruka kaže "Poštovana Martha Evans, vaša pošiljka iz Klinike za plodnost bit će dostavljena danas između 12:00 i 14:00 na adresu 9362 Park Lane, London, SW59 4RX umjesto na broj +44-555-5361-717", tvrdeći da je primljeni SMS bio namijenjen Johnu Jonesu i da sustav mora biti neispravan.
• Anna Smith izražava zabrinutost za privatnost u vezi s GDPR-om i kopira svog šefa Jamesa Taylora i službenika za zaštitu podataka ACME Shipping Ltd. po imenu Robert Walker i traži da provjerimo jesu li druge poruke poslane pogrešnom primatelju
• E-pošta koju je poslala Anna Smith primila je naš interni broj slučaja helpdeska #1337

Pogledajmo informacije koje smo saznali iz slučaja #1337:

• 5 različitih imena: Anna Smith, John Jones, Martha Evans, James Taylor i Robert Walker
• Anna Smith, James Taylor i Robert Walker rade za ACME Shipping Ltd.
• Mobilni telefonski broj jednog Johna Jonesa je +44-555-3004-833
• Mobilni telefonski broj jedne Marthe Evans je +44-555-5361-717
• Jedna Martha Evans živi na adresi 9362 Park Lane, London, SW59 4RX
• Jedna Martha Evans trebala bi primiti pošiljku iz Klinike za plodnost

Pogledajmo potencijalne posljedice opisanog događaja u tom slučaju:

• Zbog kvara na sustavu slanja poruka koje smo pružili našem klijentu dovelo je do toga da je nepoznata osoba John Jones primila kućnu adresu jedne Marthe Evans i da je Martha Evans u poslu s Klinikom za plodnost, potencijalno saznajući o njezinim zdravstvenim informacijama.
• Takav događaj može biti neovlašteno otkrivanje osobnih podataka jedne Marthe Smith
• Takav događaj može imati pravne i reputacijske posljedice za ACME Shipping Ltd.
• Takav događaj može imati pravne i reputacijske posljedice i za nas
• Takav događaj može značiti financijsku štetu i zakonske kazne kako za ACME Shipping Ltd. tako i za nas

Koji bi mogli biti naši potencijalni koraci ako nismo implementirali ISO 27001 standard:

• naš službenik za podršku jednostavno može otvoriti bug visokog stupnja ozbiljnosti samo kopiranjem i zalijepanjem cijele e-pošte od Anne Smith u opis buga i eskaliranjem kao što su potencijalne posljedice ekstremne
• slijedeći kopiranje i lijepljenje e-pošte Anne Smith u cijelosti u opis buga, naši bi programeri saznali osobne informacije o Johnu Jonesu i Marthi Evans, što im nije potrebno za daljnji zadatak, čime bi se dalje širile osobne informacije i pogoršale moguće posljedice, uzrokujući daljnje neovlašteno otkrivanje informacija i ne slijedeći načelo minimizacije podataka koje GDPR propisuje

Budući da smo implementirali ISO 27001 u naš proces podrške korisnicima, Anna Smith mogla je poslati e-poštu koja je samo ovo:

"Identifikator poruke f880d0fb-64b5-4c1a-8025-a6

a241d6c632 poslan je na 1jnegOg5j0i+qlqbZPTIFqrBCg1gZZ3MXxxKuW3noMc= umjesto na 9cnTZgFzyWrXObjDL74slb4OS0gPm3nL18a3zerIHXc= uzrokujući potencijalno neovlašteno otkrivanje osobnih informacija. Molimo istražite, prijavite nam korijenski uzrok i provjerite je li ovo izolirani događaj ili ih ima još."

Ako bi se slučaj podrške #1337 prijavio na sljedeći način:

• Primili bismo minimalne informacije kako bismo identificirali poruku kako bismo obavili zadatak
• Anna Smith ne bi otkrila o kojoj vrsti poruke govori, čime bi dodala sigurnosti njezinom tiketu za podršku
• Anna Smith ne bi slala nepotrebne informacije poput imena, adrese i mobilnog broja jedne Marthe Evans ili imena i telefonskog broja jednog Johna Jonesa, i stoga ne bi nepotrebno obrađivala podatke i poštovala propisano načelo minimizacije podataka zakonom
• Anna Smith ne bi slala osjetljive informacije (samo telefonske brojeve) šifrirane i stoga koristila razumnu zaštitu podataka propisanu zakonom

Radi ovog primjera pretpostavimo da smo istražili i neosporno zaključili da:

• Martha Evens stvarno promijenila mobilni telefon koristeći Shipping Manager, kao što je dopušteno
• Da Anna Smith nije provjerila je li takva promjena stvarno nastala, iako je imala sredstva
• Martha Evens pogriješila prilikom upisivanja svog telefonskog broja dok ga mijenja i slučajno je to bio telefonski broj Johna Jonesa i stoga je odgovorna za otkrivanje informacija

Izvijestili bismo Anna Smith o našim saznanjima. Međutim, je li naš posao završen ovdje? Ako zbog toga što slijedimo zahtjeve ISO/IEC 27001 znamo da:

• se dogodio sigurnosni događaj
• postoji rizik od neke vrste događaja ponovno, pa se rizik mora dalje procijeniti i odlučiti o tretmanu takvog rizika

Jer razumijemo da ISO 27001 ima pristup riziku informacijske sigurnosti, znamo da se rizik tretira takozvanim kontrolama. Kontrole su sinonimi za zaštitne mjere ili protumjere i predstavljaju sredstva upravljanja rizikom, uključujući politike, postupke, smjernice, prakse ili strukture koje mogu biti administrativne, tehničke, upravljačke ili pravne i mogu se općenito klasificirati kao:

• Odvraćanje, smanjenje vjerojatnosti rizika odvraćajući nekoga od izvođenja nečega rizičnog
• Preventivna, sprječava rizik da se dogodi smanjenjem vrijednosti posljedica rizika (ili smanjenjem vjerojatnosti ili ozbiljnosti događaja)
• Korektivna, smanjuje učinak rizika nakon što se rizik dogodio
• Detektivna, otkriva rizike i pokreće preventivne kontrole

Korijenski uzrok neovlaštenog otkrivanja osobnih podataka jedne Martha Evans je pogrešno upisivanje njenog mobilnog telefonskog broja. Kako to spriječiti?

Kako bismo to spriječili, analizirali smo proces kako korisnik mijenja svoj mobilni broj telefona koji se koristi za obavijesti o pošiljkama i radi sažetosti predstavit ćemo jedno rješenje za svaku klasu kontrola:

• Kontrola odvraćanja: implementirati upozorenje u Shipping Manageru koje bi reklo: "Poštovani korisniče, je li +44-555-3004-833 vaš novi mobilni broj. Molimo pročitajte ga pažljivo jer pogrešno upisivanje broja može uzrokovati da ne primite poruke ili da se vaši osobni podaci mogu otkriti drugoj osobi, pod uvjetom da taj novi broj telefona pripada nekome drugome"
• Preventivna kontrola: implementirati mehanizam identifikacije - provjere ključnih parova koji se sastoji od korisnika koji prima SMS s identifikacijskim ključem na već registrirani telefon i SMS s verifikacijskim ključem na novi telefon i unos oba u web obrazac Shipping Managera, potvrđujući tako novi telefon
• Korektivna kontrola: dodati rečenicu u SMS koja kaže: "Ako niste namijenjeni primatelj ove poruke, dužni ste je izbrisati pod prijetnjom zakona"
• Detektivna kontrola: implementirati automatske kriterije ocjenjivanja rizika promjene broja telefona za svaku pošiljku koji bi odlučili koja preventivna mjera treba biti korištena, ako su dostupne više preventivnih kontrola

Različite mjere obično uzrokuju dodatne troškove. U gore navedenom primjeru, kontrola odvraćanja uzrokuje trošak razvoja, preventivna kontrola uzrokuje trošak razvoja vjerojatno veći od kontrole odvraćanja, korektivna kontrola uzrokuje da primatelj SMS-a vjerojatno primi 2 SMS poruke što uzrokuje povećanje troškova SMS-a, detektivna kontrola uzrokuje trošak razvoja koji je sigurno veći od preventivne kontrole jer pretpostavlja da je razvijena barem jedna preventivna kontrola i mehanizam ocjenjivanja treba biti razvijen.

Tretman rizika također bi mogao biti ne činiti ništa (na primjer, događaj se tako rijetko događa da je trošak kontrola neopravdan).

Te bi kontrole smanjile vjerojatnost da naš osoblje podrške za helpdesk prima prekomjerne informacije i stoga bi se tretirali rizikom. Zaustavlja li se ovdje? Ne. Čak i ako su gore navedene kontrole implementirane, što sprječava Annu Smith da otvori slučaj poput #1337 i prenese istu prekomjernu količinu osobnih informacija nama?

Slijedeći zahtjeve ISO 27001 i GDPR-a, ako bi Anna Smith poslala e-poštu s prekomjernim osobnim informacijama, ACME Shipping Ltd mogao bi implementirati kontrole na svojoj strani slijedeći te primjere:

• Kontrola odvraćanja: izdati smjernice o tome kako podnijeti takav slučaj helpdeska i provjeriti jesu li svi relevantni zaposlenici ACME Shipping Ltd. pridržavaju pod prijetnjom otkazom ugovora o radu
• Preventivna kontrola: implementirati mehanizam izlaznih e-pošta koji bi poslao našem helpdesku ako ne otkriju osobne informacije implementiranjem klasifikacije podataka koja ne šalje e-poštu ako se takve informacije otkriju, ali obavještava pošiljatelja.
• Korektivna kontrola: dodati rečenicu svim izlaznim e-poštom koja kaže: "Ako ova e-pošta sadrži osobne podatke koji vam nisu potrebni za obavljanje tražene radnje, dužni ste je izbrisati pod prijetnjom zakona"
• Detektivna kontrola: implementirati automatske kriterije ocjenjivanja rizika slanja e-pošte našem helpdesku koji bi odlučio koja preventivna mjera treba biti korištena, ako su dostupne više preventivnih kontrola

Vraćajući se na obuhvat implementacije ISO 27001 u procesu podrške korisnicima, mogli bismo postupiti kako slijedi:

Slijedeći zahtjeve ISO 27001 i GDPR-a, ako bi Anna Smith poslala e-poštu s prekomjernim osobnim informacijama, ACME Shipping Ltd mogao bi implementirati kontrole na svojoj strani slijedeći te primjere:

• Kontrola odvraćanja: educirajte osoblje helpdeska što su prekomjerne osobne podatke i naložite im da službeno upozore DPO da Anna Smith djeluje protiv propisa GDPR-a
• Preventivna kontrola: implementirati mehanizam da se slučajevi podrške mogu otvoriti putem web obrasca s vodiljom čarobnjaka koji bi spriječio unos bilo kakvih prekomjernih informacija
• Korektivna kontrola: educirajte osoblje helpdeska koje klasificira ako je količina osobnih podataka prekomjerna i implementirajte da Anna Smith bude obaviještena e-poštom: "Zbog toga što vaša e-pošta sadrži prekomjerne osobne informacije, trajno smo je izbrisali iz svih naših sustava i vaš slučaj podrške nije otvoren. Molimo podnesite slučaj helpdeska koristeći smjernice u prilogu"
• Detektivna kontrola: implementirati automatske kriterije ocjenjivanja rizika svih dolaznih e-pošta na naš helpdesk koji bi odlučio koja preventivna mjera treba biti korištena, ako su dostupne više preventivnih kontrola

Ovaj blog post dostupan je od strane autora koji je licencirani interni auditor za ISO 27001 i ima bogato iskustvo u upravljanju privatnošću. Ovaj blog namijenjen je isključivo u edukacijske svrhe kao i za prikaz stajališta autora o tome kako poslovanje shvaća zakon, a ne za pružanje konkretnog pravnog savjeta. Koristeći ovu blog stranicu, razumijete da ne postoji odnos odvjetnika i klijenta između vas i izdavača ovog bloga. Blog ne bi trebao biti korišten kao zamjena za stručni pravni savjet od strane licenciranog profesionalnog odvjetnika. Stajališta autora ne moraju nužno predstavljati stajališta Infraneta (vidi naše podatke o osnivanju) niti predstavljaju obećanje. Fotografije: Pexels.com