EDUCATION · PERSONNEL SECURITY

👥 Personāla drošība

Personāla (cilvēku) kontroles attiecas uz darbiniekiem, līgumdarbiniekiem un partneriem - pirms darba, tā laikā un pēc tā. Cilvēks vienlaikus ir biežākais uzbrukuma vektors (sociālā inženierija) un spēcīgākā aizsardzības līnija (cilvēciskais ugunsmūris). Pamatā ISO/IEC 27002 6. nodaļa (8 kontroles), NIST SP 800-53 PS un drošības kultūras prakse. Piemēri ir izdomāti, paredzēti mācībām.

Apzīmējumi: kodi kā 6.3 atsaucas uz ISO/IEC 27002:2022 6. nodaļas (personāla) kontrolēm. Daži (piem. 5.11) atsaucas uz citas nodaļas kontroli.

Kas ir personāla kontroles

ISO 27002:2022 četras kontroļu tēmas - personāla izceltas

ISO 27002:2022 kontroļu tēmas Četras ISO 27002:2022 kontroļu tēmas. Personāla kontroles (6. nodaļa, 8 kontroles) ir izceltas. ISO/IEC 27002:2022 - 4 kontroļu tēmas Organizatoriskās nodaļa 5 · 37 kontroles Personāla nodaļa 6 · 8 kontroles ← šī sadaļa Fiziskās nodaļa 7 · 14 kontroles Tehnoloģiskās nodaļa 8 · 34 kontroles Personāla kontroles ir mazākā tēma pēc skaita, bet attiecas uz katru cilvēku organizācijā

Cilvēks - vājākais posms un spēcīgākā aizsardzība: lielākā daļa pārkāpumu ietver cilvēcisko elementu (kļūdu, manipulāciju vai ļaunprātību). Tāpēc personāla kontroles aptver visu darba ciklu - no pārbaudes pirms pieņemšanas līdz pienākumiem pēc aiziešanas. Labi apmācīts darbinieks kļūst par 'cilvēcisko ugunsmūri'.

Uz cilvēkiem, ne tehniku

Personāla kontroles pārvalda cilvēka uzvedību un uzticamību: pārbaude, līgumi, apmācība, ziņošana, disciplīna. Tās papildina tehniskās kontroles - tehnika neaptur darbinieku, kurš apzināti vai nejauši rīkojas nepareizi.

Attiecas uz visiem

Ne tikai pastāvīgie darbinieki - arī līgumdarbinieki, praktikanti, partneri un pakalpojumu sniedzēji ar piekļuvi. Kontroles samērīgas ar lomas riskupakāpi (position risk designation).

Saistība ar NIS2 un MK 397

NIS2 21. pants prasa kiberhigiēnas pamatpraksi un drošības apmācību, t.sk. vadībai. MK noteikumi Nr. 397 paredz personāla drošības pasākumus. Apmācība ir tieša normatīva prasība, ne tikai laba prakse.

Atbilstība Latvijā - galvenā prasība MK 397: MK noteikumi Nr. 397 ir Latvijā saistošais regulējums, kas nosaka, KO obligāti jāizdara (nacionālajā kiberdrošības ietvarā, ieviešot NIS2). Īstenošanas regula (ES) 2024/2690 un GDPR papildina prasības. Starptautiskie standarti (ISO 27001/27002, COBIT, SABSA, TOGAF, NIST) sniedz atzītu, auditējamu metodi, KĀ tās ieviest.

Atbilstības slāņi - no ES tiesībām līdz ieviešanai Trīs slāņi: ES tiesiskais pamats (NIS2, Īstenošanas regula 2024/2690, GDPR), Latvijas saistošā prasība MK 397, un starptautiskie ieviešanas standarti (ISO, COBIT, SABSA, TOGAF, NIST). No prasības līdz ieviešanai: MK 397 nosaka KO, standarti - KĀ ES TIESISKAIS PAMATS NIS2 direktīva (ES) 2022/2555 Īstenošanas regula (ES) 2024/2690 GDPR (ES) 2016/679 transponē nacionāli MK noteikumi Nr. 397 - Latvijas saistošā prasība KO obligāti jāizdara · nacionālais kiberdrošības tiesiskais ietvars ievieš ar atzītiem standartiem STARPTAUTISKIE IEVIEŠANAS STANDARTI - KĀ ISO 27001 / 27002 COBIT SABSA TOGAF NIST CSF / 800-53

MK 397 nosaka rezultātu, ko prasa likums. Starptautiskais standarts ir pārbaudāms ceļš, kā to sasniegt - bez tā atbilstība paliek deklaratīva.

MK 397 - nacionālā prasība

Latvijā saistošais regulējums paredz personāla drošības un apmācības pasākumus. Ieviešanu balsta uz ISO 27002 6. nodaļu un NIST SP 800-50/800-53 PS - tās sniedz konkrētu, auditējamu programmu.

Īstenošanas regula (ES) 2024/2690

Pielikums tieši prasa kiberhigiēnas pamatpraksi un drošības apmācību (t.sk. vadībai) un cilvēkresursu drošību. Tas padara apziņu un apmācību (6.3) par juridisku prasību, ne izvēli.

GDPR - darbinieku dati

Personāla pārbaude (6.1), uzraudzība un iekšējo draudu programma jāsabalansē ar darbinieku personas datu aizsardzību (GDPR): samērīgums, caurspīdīgums un tiesiskais pamats. Pārmērīga novērošana ir gan juridisks, gan kultūras risks.

Joiner - Mover - Leaver

Darbinieka dzīves cikls - pirms, laikā un pēc darba attiecībām

Darbinieka dzīves cikls un personāla kontroles Trīs posmi - stāšanās darbā, darba laiks, aiziešana vai maiņa - katrs ar atbilstošām ISO 6.x kontrolēm. Darbinieka dzīves cikls (Joiner - Mover - Leaver) 1 · Stāšanās darbā (Joiner) 6.1 · Personāla pārbaude 6.2 · Darba līguma noteikumi 6.6 · Konfidencialitāte (NDA) sākotnējā apmācība · piekļuves piešķiršana pēc lomas 2 · Darba attiecību laikā (Mover) 6.3 · Apziņa un apmācība 6.4 · Disciplinārais process 6.8 · Notikumu ziņošana lomas maiņa → piekļuves pārskatīšana (ne tikai pievienot) 3 · Izbeigšana vai maiņa (Leaver) 6.5 · Pienākumi pēc aiziešanas piekļuves nekavējoša atsaukšana aktīvu atdošana (5.11) NDA paliek spēkā · zināšanu nodošana Vājākais posms parasti ir aiziešana - aizmirsta piekļuves atsaukšana rada 'spoku kontus' (orphaned accounts)

Mover - bieži aizmirsts posms: mainot lomu, jaunās tiesības pievieno, bet vecās neatsauc - laika gaitā uzkrājas pārmērīgas privilēģijas (privilege creep). Periodiska piekļuves pārskatīšana (recertification) to novērš.

Pārbaude (6.1)

Identitātes, izglītības un atsauksmju pārbaude pirms pieņemšanas, samērīgi ar lomas jutīgumu un piemērojamiem likumiem. Augstāka riska lomām - padziļināta pārbaude. Ievēro datu aizsardzības prasības.

Onboarding un piekļuve

Stājoties darbā, piekļuvi piešķir pēc vismazāko privilēģiju principa un lomas (RBAC), nevis kopējot iepriekšējā darbinieka kontu. Sākotnējā drošības apmācība pirms piekļuves jutīgiem datiem.

Offboarding (6.5)

Aizejot, nekavējoties atsauc visu piekļuvi (konti, kartes, VPN, atslēgas), atgūst aktīvus un atgādina par paliekošajiem konfidencialitātes pienākumiem. Naidīgas aiziešanas gadījumā - piekļuvi atsauc pirms paziņošanas.

Starptautiskā prakse

ISO/IEC 27002:2022 6. nodaļa - 8 personāla kontroles

ISO 6. nodaļas un NIST PS sasaiste ISO 27002 6. nodaļas 8 personāla kontroles sasaistē ar NIST SP 800-53 PS saimi un SP 800-50 apmācību. Personāla kontroles starptautiskajos standartos ISO/IEC 27002 6. nodaļa · 8 kontroles 6.1 - 6.8 NIST SP 800-53 PS saime · PS-1 - PS-9 Personnel Security NIST SP 800-50 apziņa un apmācība + NIS2 21. pants Kontroles kartējas savstarpēji - viena prasība bieži atbilst vairākiem standartiem
6.1Personāla pārbaude (screening)
6.2Darba līguma noteikumi
6.3Apziņa, izglītība un apmācība
6.4Disciplinārais process
6.5Pienākumi pēc attiecību izbeigšanas
6.6Konfidencialitātes līgumi (NDA)
6.7Attālinātais darbs
6.8Drošības notikumu ziņošana

NIST SP 800-53 PS saime

Personnel Security: PS-2 lomas riska klasifikācija, PS-3 pārbaude, PS-4 izbeigšana, PS-5 pārcelšana, PS-6 piekļuves vienošanās, PS-7 ārējais personāls, PS-8 sankcijas. Tieši kartējas uz ISO 6.x.

Atribūti (2022)

Katrai kontrolei ir atribūti (tips, CIA īpašība, kiberdrošības koncepts, darbības spējas) filtrēšanai un kartēšanai pret citiem ietvariem - tāpat kā pārējās ISO 27002 tēmās.

Izvēle pēc riska

Kontroles izvēlas pēc risku novērtējuma un iekļauj piemērojamības deklarācijā (SoA), saskaņojot ar organizatorisko drošību. Skat. ceļvedi 'Organizatoriskā drošība'.

ISO 6.3 / NIST SP 800-50

Apziņa, apmācība, izglītība - ceļš uz drošības kultūru

Apziņas, apmācības un izglītības atšķirības Trīs līmeņi - apziņa visiem, apmācība pēc lomas, izglītība speciālistiem - drošības kultūras ietvaros. Apziņa → Apmācība → Izglītība → Kultūra Drošības kultūra - drošība kļūst par ieradumu, ne uzspiestu noteikumu Apziņa (awareness) visiem darbiniekiem ZINA, ka drošība svarīga pikšķerēšana · paroles plakāti · īsi moduļi Apmācība (training) pēc lomas PRASME konkrētam uzdevumam izstrādātāji · administratori praktiski vingrinājumi Izglītība (education) speciālistiem IZPRATNE, kāpēc un kā sertifikāti · padziļināti kursi profesionāla attīstība

Kultūra ir mērķis, ne plakāts: drošības kultūra nozīmē, ka droša rīcība ir noklusējums, par incidentiem ziņo bez baiļbām, un vadība rāda piemēru. To veido konsekventi laika gaitā, nevis vienreizēja apmācība gadā.

Uz lomu balstīta (role-based)

Saturu pielāgo lomai: izstrādātājiem - droša kodēšana, vadībai - risku lēmumi un krāpšana, atbalstam - sociālā inženierija. Vispārīga 'visiem viens' apmācība ir mazefektīva.

Pikšķerēšanas simulācijas

Kontrolētas pikšķerēšanas mācības mēra reālo uzvedību un māca atpazīt. Mērķis ir mācīšanās, ne sodīšana - 'noķertajam' uzreiz mikromācība, ne publisks kauns.

Mēra efektivitāti

Apmācība bez mērīšanas ir formalitāte. Seko ziņošanas līmenim, pikšķerēšanas klikšķu un ziņošanas rādītājiem, incidentu skaitam - un pielāgo programmu atbilstoši rezultātiem.

Sociālā inženierija un iekšējie draudi

Cilvēka faktors - manipulācija no ārpuses un risks no iekšpuses

Sociālā inženierija un iekšējo draudu veidi Augšā sociālās inženierijas paņēmieni, apakšā trīs iekšējo draudu veidi - ļaunprātīgs, nolaidīgs, kompromitēts. Cilvēka faktors - divi virzieni Sociālā inženierija (manipulācija no ārpuses) Pikšķerēšana e-pasts · SMS · zvani Pretekstēšana izdomāts iemesls · loma Steiga un autoritāte 'vadītājs' · 'tūlīt' Vilināšana USB · 'balva' Iekšējie draudi (insider threat) - risks no iekšpuses Ļaunprātīgs apzināta kaitēšana sabotāža · datu zādzība naidīga aiziešana Nolaidīgs neuzmanība · slinkums apieta politika ērtības dēļ visbiežākais veids Kompromitēts nozagti pieejas dati pārņemts konts upuris, ne vainīgais

Lielākā daļa iekšējo draudu nav ļaunprātīgi: biežākais ir nolaidīgais darbinieks, kurš kļūdās vai apiet kontroli ērtības dēļ. Tāpēc apmācība, ērti drošības rīki un bezvainas ziņošana ir efektīvāki par aizdomu kultūru.

Aizsardzība pret manipulāciju

Apmācība atpazīt steigas, autoritātes un ziņkārības trikus; procedūras jutīgām darbībām (piem. maksājumu izmaiņas pa atsevišķu kanālu); 'apstājies un pārbaudi' kultūra. Tehniski - MFA un e-pasta filtri.

Iekšējo draudu indikatori

Neparasta datu lejupielāde, piekļuve ārpus lomas vai darba laika, neapmierinātība pirms aiziešanas. Atklāj ar uzvedības analīzi (UEBA), žurnāliem un vismazāko privilēģiju principu - ne ar visu uzraudzību.

Līdzsvars ar privātumu

Iekšējo draudu programma ievēro darbinieku privātumu un likumu - uzraudzība samērīga, caurspīdīga un dokumentēta. Pārmērīga novērošana grauj uzticību un kultūru, palielinot risku.

ISO 6.8 / 6.4 / 6.7

Notikumu ziņošana, disciplīna un attālinātais darbs

Drošības notikumu ziņošanas plūsma Plūsma no notikuma pamanīšanas līdz reaģēšanai un atgriezeniskajai saitei, ar bezvainas kultūras pamatu. Notikumu ziņošana (6.8) - jo ātrāk, jo mazāks kaitējums 1 · Pamana darbinieks 2 · Ziņo viens kanāls · ātri 3 · Triāža izvērtē · klasificē 4 · Reaģē incidentu process 5 · Saite pateicas atgriezeniskā saite mudina ziņot atkārtoti - ziņotājs redz, ka tas svarīgi Bezvainas kultūra (just culture) ziņo bez soda bailēm par godīgām kļūdām → vairāk un ātrāku ziņojumu; sods tikai par ļaunprātību vai apzinātu pārkāpumu

Ātra ziņošana ierobežo kaitējumu: ja darbinieks baidās ziņot par 'es uzklikšķināju uz saites', uzbrucējs iegūst stundas vai dienas. Viegls ziņošanas kanāls un bezvainas kultūra (6.8) ir lētākā un efektīvākā agrīnās atklāšanas kontrole.

Notikumu ziņošana (6.8)

Skaidrs, viegli pieejams kanāls (poga e-pastā, viens numurs), zināms visiem. Ziņo par aizdomām, ne tikai apstiprinātiem incidentiem. Ātrums svarīgāks par pilnību - detaļas precizē triāža.

Disciplinārais process (6.4)

Formāls, taisnīgs un samērīgs process pārkāpumu gadījumā - zināms iepriekš, konsekventi piemērots. Tas attur no apzinātiem pārkāpumiem, neradot baiļu kultūru godīgām kļūdām.

Attālinātais darbs (6.7)

Mājas un publiskā vide rada jaunus riskus: ekrāna ieskats, nedroši tīkli, privātās ierīces, ģimenes piekļuve. Kontroles - VPN, ekrāna privātums, atsevišķas darba ierīces, skaidra attālinātā darba politika.