Zákony a předpisy upravující kybernetickou bezpečnost
5. Systém řízení bezpečnosti informací
5.6. Bezpečnost lidských zdrojů
Subjekty jsou povinny v rámci ISMS dbát i na bezpečnost lidských zdrojů, jakožto jednoho z aktiv. Jak již bylo uvedeno dříve, člověk bývá zpravidla oním nejslabším článkem v rámci kybernetické bezpečnosti. Zejména jsou tytop subjekty povinny:
- stanovit plán rozvoje bezpečnostního povědomí s cílem zajistit odpovídající vzdělávání a
zlepšování bezpečnostního povědomí,
- tento plán obsahuje formu, obsah a rozsah
- poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice,
- potřebných teoretických i praktických školení uživatelů, administrátorů a osob zastávajících bezpečnostní role.
- určit osoby odpovědné za realizaci jednotlivých činností uvedených v plánu,
- zajistit poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,
- pro osoby zastávající bezpečnostní role zajistit pravidelná odborná školení,
- zajistit pravidelné školení a ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní,
- zajistit kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role,
- v případě ukončení smluvního vztahu s administrátory a osobami zastávajícími bezpečnostní role zajistit předání odpovědností,
- hodnotit účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a dalších činností spojených se zlepšováním bezpečnostního povědomí,
- určit pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role.
O výše uvedených školeních je povinnost vést přehledy, které obsahují předmět školení a seznam osob, které školení absolvovaly.
Příklad: Protože standardní školení, které uživatelé pouze povinně absolvují, se ukazují jako ne zcela účinná, přistupují některé organizace i k metodám ověřujícím skutečné pochopení informací předaných ve vlastním školení. Může jít například o rozeslání phishingových zpráv uživatelů po školení zaměřeném právě na tuto oblast. Organizace následně sleduje, kolik uživatelů na útok chybně reagovalo. Je však třeba upozornit, že takovéto testy musí být dobře promyšleny a při jejich plánování by neměl chybět právník, který posoudí, zda použitý test nebude například přílišným zásahem do soukromí zaměstnanců.