⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
BG EN CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
ISMS HR Audit Cross-Compliance

Защита на жизнения цикъл на служителя: цялостен ISMS подход в ISO 27001:2022, NIS2, DORA и GDPR

Igor Petreski
18 min read
#ISO 27001 #Сигурност на човешките ресурси #Жизнен цикъл #Одит #Zenith Controls #Zenith Blueprint #GDPR #COBIT #NIST #NIS2 #DORA
Блок-схема, илюстрираща цялостното ISMS ръководство за защита на жизнения цикъл на служителя, с пет основни фази — преди назначаване, въвеждане, промяна на роля, период на заетост и освобождаване и прекратяване — както и цикъл за непрекъснат одит и подобрение, с акцент върху контрола на достъпа, проследяването на активи и прилагането на политики през целия период на заетост.

Как един пропуснат процес по освобождаване предизвика криза: предупредителен сигнал за CISO

В понеделник сутрин Сара, CISO в бързо растяща FinTech компания, беше разтърсена от критичен сигнал: опит за извличане на данни от сървър за разработка, извършен с удостоверителните данни на Алекс — разработчик, който беше напуснал само няколко дни по-рано. Напускането беше формално приключено: прибързан имейл, кратко сбогуване, но нито в HR, нито в IT имаше записи, потвърждаващи, че достъпът на Алекс е бил напълно отнет. Беше ли взел само личен код, или ставаше дума за индустриален шпионаж?

Последвалото спешно ограничаване на инцидента разкри неудобни факти. Минималната проверка на миналото на Алекс при наемането беше чиста формалност. Договорът му бегло засягаше задълженията по сигурността. А процесът при напускане? Остарял контролен списък, който никога не е бил реално свързан със системите в реално време. Одиторите — първо вътрешни, а скоро и външни — поискаха обяснения. Регулаторите можеше да не са далеч.

Това не беше само казусът на Алекс. Случаят разкри универсален и съществен риск: жизненият цикъл на служителя като повърхност на атака. За всеки CISO и мениджър по съответствието предизвикателството е ясно: как да осигурите безкомпромисна сигурност от назначаването до напускането, във всяка стъпка, и да сте готови да го докажете при одит?

Защо жизненият цикъл на служителя вече е вашият периметър за сигурност

Съвременните организации са изправени пред сложен набор от регулаторни изисквания — ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST SP 800-53 и COBIT, за да посочим само част от тях. Точката на пресичане? Вашите хора. Всяка фаза — подбор, въвеждане, период на заетост, промяна на роля, напускане — създава отделни, одитируеми рискове за информационната сигурност и защитата на данните.

Както е формулирано в Zenith Controls: ръководство за съответствие между рамки:
„Жизненият цикъл на служителя изисква формални и одитируеми връзки между HR, IT и съответствието. Всеки контрол трябва да осигурява идентификация, разпределяне на активи, потвърждение на политики и своевременно управление на достъпа, със съпоставяне към основните глобални стандарти.“

Нека разгледаме всяка фаза от жизнения цикъл с подробни, приложими стъпки, контроли и реални одиторски насоки, като използваме Zenith Blueprint, Zenith Controls и шаблоните за политики на Clarysec.

1. Подбор и етап преди назначаване: изграждане на доверие преди първия работен ден

Сигурната работна сила започва много преди първото изплащане на заплата. Повърхностната проверка вече не е достатъчна; стандартите и регулаторите изискват пропорционална, риск-базирана проверка.

Ключови контроли и съпоставяне с политики

Контрол (ISO/IEC 27001:2022)Атрибут в Zenith ControlsСвързани стандартиСъпоставяне с регулаторни изисквания
A.6.1 Сигурност на човешките ресурсиИдентификация/проверкаISO/IEC 27701:2019 7.2.1GDPR Article 32: сигурност на обработването
A.5.1 Политики за HRОтговорностISO/IEC 37301:2021NIST SP 800-53: PL-4, AC-2
6.1.1 ПроверкаПревантивен контролISO/IEC 27002:2022NIS2, DORA надлежна проверка на персонала

5.1 Процес на въвеждане 5.1.1 Въвеждането на новонаети служители, изпълнители или потребители от трети страни трябва да следва структуриран процес, който включва: 5.1.1.1 Проверка на миналото (когато е разрешена от закона) Политика за въвеждане и прекратяване на правоотношения, клауза 5.1(Политика за въвеждане и прекратяване на правоотношения)

Действия с Clarysec

  • Въведете проверка на миналото, пропорционална на бизнес риска, валидирана чрез документирани доказателства преди финализиране на договора.
  • Изисквайте цифрово потвърждение за запознаване с политиката и потвърждение на споразумението за поверителност.

Съпоставено в Zenith Blueprint: 30-стъпкова пътна карта за одитори, фаза 1 („Обхват и контекст“), фаза 3 („Сигурност на човешките ресурси“), стъпка 9: „Формални процедури за проверка на новонаети служители“.

2. Въвеждане: съпоставяне на достъпа с ролята и записване на всеки актив

Въвеждането е основната точка, в която се въвежда риск. Недобре управляваното предоставяне на акаунти и неясната собственост върху активите създават идеални условия за изтичане на данни — понякога години по-късно.

Контроли и внедряване

КонтролАтрибут в ZenithДруги стандартиИзисквани доказателства
A.7.1 Управление на потребителския достъпПредоставяне на достъп, автентикацияISO/IEC 27017:2021Запис за предоставен достъп
A.7.2 Отговорности на потребителитеОсведоменост относно политикитеISO/IEC 27701:2019Регистър за разпределени активи
6.2 Условия на правоотношениетоДоговорна осведоменостISO/IEC 27002:2022Подписан договор, NDA

„Всички хардуерни и софтуерни активи, предоставени на персонала, трябва да бъдат записвани, проследявани и редовно преглеждани за съответствие с Политиката за управление на активите.“
Политика за управление на активите, раздел 5.2 (Политика за управление на активите)

Добри практики с Clarysec

  • Стартирайте работен поток за въвеждане, който обхваща:
    • Създаване на потребителски акаунт със запис за одобрение
    • Разпределяне на активи (хардуер, софтуер, идентификатори), свързани с профила на служителя
    • Многофакторна автентикация и управление на тайни
    • Изисквания за политики и обучение, базирани на роли
  • Прикачвайте всички записи към потребителя и ролята, както е съпоставено в Zenith Blueprint, стъпка 12: назначаване на идентичност и достъп.

3. Промяна на роля: управление на риска при вътрешна мобилност

Вътрешните повишения, премествания и функционални промени са основен източник на натрупване на права за достъп. Без стриктен процес привилегированите права и разрастването на активите подкопават дори най-зрелите програми за сигурност.

Контроли и одиторска таблица

Одиторски стандартКакво е необходимо за одитОсновен фокус
ISO/IEC 27001:2022Актуализирани журнали за достъп, актуализации на активиПовторно потвърждение на политики, запис за промяна на достъпа
NIST SP 800-53Техническо прилагане на минимално необходим достъпРазделение на отговорностите, работен поток за одобрение
COBIT 2019 APO07Документация за преход между ролиЖизнен цикъл на активите и правата

„Когато ролята или принадлежността към отдел на служител се промени, неговите права за достъп и назначени активи трябва формално да бъдат преоценени и актуализирани, като остарелият достъп бъде отнет.“
Политика за контрол на достъпа, раздел 6.4 (Политика за контрол на достъпа)

Внедряване чрез Clarysec

  • HR задейства оценка на риска и преглед на достъпа при всяко вътрешно преместване.
  • IT и ръководството съвместно одобряват или отнемат привилегии; всички промени се журнализират и се свързват обратно с профила за съответствие на потребителя.
  • Zenith Controls акцентира върху това в A.7.2 („Отговорности на потребителите“) и A.8.2 („Промяна на правоотношението“).
  • Всяка актуализация представлява доказателство за бъдещ одит.

4. Период на заетост: поддържане на действаща човешка защитна линия

Най-дългият и най-критичен прозорец на риск е текущата заетост. Без реална осведоменост, мониторинг и стриктно реагиране „човешката защитна линия“ на организацията неизбежно ще се провали.

Осведоменост, мониторинг и прилагане

КонтролАтрибутСвързани стандартиКлючови одиторски въпроси
A.7.3 Мониторинг на потребителитеНепрекъснат мониторинг на съответствиетоISO/IEC 27032:2021Има ли проактивно откриване?
6.3 ОсведоменостОбучение и тестванеGDPR/NIS2 (Art 21)Събират ли се записи и доказателства?

„Целият персонал трябва да участва в ежегодно обучение по сигурност, като записите за завършване се поддържат от HR и се наблюдават от функцията по съответствие.“
Политика за осведоменост и обучение по информационна сигурност, раздел 7.2 (Политика за осведоменост и обучение по информационна сигурност)

Как Clarysec затяга процеса

  • Изисквайте ежегодно (или по-често) обучение за осведоменост по сигурност и ролево базирано обучение, проследявано в LMS, интегрирана с управлението на достъпа.
  • Провеждайте симулирани фишинг упражнения и измервайте реакцията; съпоставяйте резултатите с индивидуалния профил на служителя за текущи подобрения.
  • Използвайте Zenith Blueprint, стъпка 19: обучение за осведоменост за непрекъснато подобрение.

5. Обработване на нарушения: прилагане на дисциплинарния процес

Нито едно управление на жизнения цикъл не е пълно без ясен, прилаган и одитируем път за ескалация при нарушения на политики и отговорности.

Контрол и политика

КонтролАтрибутПрепратка към политика
6.4 Дисциплинарен процесОтчетностДокументация за ескалация към HR/съответствие
  • Разработете и документирайте формален, координиран подход с HR и правния отдел
  • Комуникирайте ясно политиката и механизмите за ескалация, както се изисква от Zenith Controls и COBIT APO07

6. Освобождаване и прекратяване: бързо затваряне на пропуските в достъпа

Фазата „сбогом“ често е мястото, където се раждат кошмарите на CISO като този на Сара. Оставащи акаунти, забравени активи и недостатъчна документация се превръщат в ценни цели за вътрешни лица и външни нападатели, особено в периоди на организационен стрес или текучество.

Съпоставяне на контроли и протокол

СтъпкаПрепратка към Zenith BlueprintИзискван артефакт
HR уведомява IT за напусканеСтъпка 24Запис на заявка
Незабавно отнемане на достъпСтъпка 25Журнал за достъп
Връщане и потвърждение на активиСтъпка 25Формуляр за приемане на активи
Изтриване на фирмени данниСтъпка 26Доклад за прочистване на данни
Документиране на интервю при напусканеСтъпка 27Бележки от интервю

Цитат от политика:

5.3 Процес на прекратяване
5.3.1 При уведомяване за доброволно или недоброволно напускане HR трябва:
5.3.1.1 Да съобщи датата на влизане в сила и статуса на IT, Facilities и Security
5.3.1.2 Да задейства работни потоци за отнемане на достъп, събиране на активи и отнемане на права
5.3.1.3 Да гарантира, че прекратеният потребител е премахнат от списъци за разпространение, комуникационни системи и платформи за отдалечен достъп
5.3.1.4 Незабавно отнемане на достъп (в рамките на 4 работни часа) се изисква за привилегировани потребители или потребители с висок риск (напр. администратори, финансов персонал).
5.4 Отнемане на достъп и възстановяване на активи…."
Политика за въвеждане и прекратяване на правоотношения, клауза 5.1(Политика за въвеждане и прекратяване на правоотношения)

Съпоставени рамки: защо освобождаването е пресечна точка на съответствието

РамкаКлючова клауза/контролКак се съпоставя освобождаването
GDPRArticle 32 (сигурност), 17 (изтриване)Своевременно премахване на достъпа и изтриване на данни
DORAArticle 9 (ИКТ риск)Рискове, свързани с въвеждане/освобождаване на персонал
NIST CSFPR.AC-4Всички акаунти са отнети, без остатъчни права
COBIT 2019APO07.03Процес и документация при напускане на персонал
ISACAЖизнен цикъл на активите и достъпаСъгласуване между политики и записи

Както е обобщено в Zenith Controls: „Освобождаването изисква документирани доказателства в реално време за отнемане на достъп, връщане на активи и изтриване на данни, съпоставени за съответствие с множество рамки.“

7. Разширено съответствие между рамки: изпълнение на NIS2, DORA, GDPR, NIST, COBIT и други

Жизненият цикъл на служителя вече се намира на пресечната точка между глобални, секторни и национални режими.

Единни контроли, един протокол за жизнения цикъл

  • NIS2 (Art. 21): Прилага HR сигурност, ежегодна осведоменост и валидация при освобождаване.
  • DORA: Изисква инвентаризация на активите, докладване на риска и проследяване на роли на трети страни.
  • GDPR: Минимизиране на данните, „право на изтриване“, дисциплина при записите за заетост.
  • NIST SP 800-53: Затяга привилегирования достъп, мониторинга и разделението на отговорностите.
  • COBIT 2019: Изисква проследимост на жизнения цикъл на активите, достъпа и политиките.

Само структуриран протокол със съпоставяне между рамки, какъвто се осигурява от Zenith Controls и Zenith Blueprint, гарантира пълно покритие и готовност за одит.

Одиторска реалност: какво търси всеки одитор в сигурността на жизнения цикъл

Одиторите разглеждат сигурността на жизнения цикъл през различни, но припокриващи се призми:

Тип одиторОбласт на фокусИскани доказателства
ISO/IEC 27001Процес, политика, последователностДокументация на политики, журнали за въвеждане/освобождаване, контролни списъци
NISTЕфективност на контролитеСистемни журнали/журнали за достъп, технически артефакти
COBIT/ISACAУправление, мониторингДокументация за управление на промените, показатели за зрялост
Регулатор по GDPRЗащита на даннитеЗаписи за изтриване, уведомления за поверителност, HR досиета

Цитат от Zenith Controls:

„Ефективната сигурност се измерва по това колко бързо организациите могат да докажат съответстващо управление на жизнения цикъл при проверка.“ (Zenith Controls)

Подводни камъни и добри практики: уроци от първа линия

Подводни камъни

  • Разкъсана отчетност между HR и IT
  • Въвеждане, което не е съпоставено с рисковете и е непълно документирано
  • Забравени акаунти/активи след напускане или повишение
  • Липсващи доказателства за проверки или обучение
  • Ръчни, неповторяеми процеси с контролни списъци

Добри практики с Clarysec

  • Използвайте Zenith Blueprint, за да насочвате и документирате всяка стъпка от жизнения цикъл, със съпоставяне към контроли и артефакти.
  • Внедрете Zenith Controls, за да свържете ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST, COBIT и други в единна рамка.
  • Автоматизирайте събирането на доказателства и кръстосаното свързване между IT, HR и съответствието.
  • Планирайте редовно обучение, адаптирано по роли, и симулирайте реални заплахи.
  • Провеждайте предварителни самооценки за одит чрез шаблоните на Clarysec, за да затворите пропуските преди пристигането на одиторите.

Clarysec в действие: реалистична рамка за успех в множество юрисдикции и стандарти

Представете си мултинационален застраховател, който използва екосистемата на Clarysec:

  • Подборът започва с риск-базирани проверки на миналото, удостоверени цифрово.
  • Въвеждането задейства предоставяне на достъп от IT и HR, като активите и обучението се съпоставят с идентификатора на служителя.
  • Промените в ролите задействат динамичен работен поток: преглед на права и активи, актуализации на риска.
  • Обучението се проследява, завършването му се налага като изискване, а несъответствията се маркират за последващи действия.
  • Освобождаването е последователност: HR задейства процеса, IT отнема достъпа, активите се връщат, данните се изтриват, а всичко се потвърждава чрез артефакти с времеви маркер.
  • Одиторите имат достъп до единно хранилище за артефакти, с проследимост спрямо всеки стандарт.

Това не е теория, а оперативна устойчивост, увереност при одит и ефективност на съответствието, осигурени от стека на Clarysec.

Следващи стъпки: от реактивно овладяване към проактивен контрол

Историята на Сара е ясно предупреждение: неконтролираният риск в жизнения цикъл е бедствие за сигурността и съответствието, което чака да се случи. Организациите, които вграждат тези контроли, съпоставят ги цялостно и документират с доказателства всяка стъпка, преминават от постоянна одиторска паника към рационализирано стратегическо предимство.

Действайте днес:

Clarysec: защитете всеки етап, докажете всяка стъпка, издържайте всеки одит.

Референции:

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Отвъд ръкостискането: управление на сигурността на доставчиците с ISO 27001 и GDPR

Научете как да управлявате рисковете за сигурността, свързани с доставчиците, чрез контролите A.5.19 и A.5.20 на ISO 27001:2022, така че споразуменията за обработване на лични данни и договорите ви да отговарят на строгите изисквания на GDPR.