Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Необходимо провести обучение сотрудников, использующих мобильные устройства, с целью повышения осведомленности о дополнительных рисках, связанных с таким способом работы, и мерах защиты, которые должны быть выполнены.
Там, где политика мобильных устройств разрешает использование личных мобильных устройств, политика и связанные с ней меры безопасности должны предусмотреть:
– разделение личного и делового использования устройств с применением ПО, которое поддерживает разделение
– предоставление доступа пользователей к бизнес-информации только после заключения трудового договора, определяющего их обязанности (физическая защита, обновление ПО и т.д.), отказ в собственности на бизнес-данные, разрешение на удаленное уничтожение организацией данных в случае кражи или потери устройства или после завершения срока использования сервиса. Эта политика разрабатывается с учетом законодательства о конфиденциальности.
Беспроводная коммуникация мобильных устройств похожа на другие типы сетевой коммуникации, но имеют важные отличия, которые надо учитывать при выборе мер защиты.
Типовые различия:
– некоторые протоколы беспроводной безопасности несовершенны и имеют известные недостатки;
– невозможность резервного копирования информации, хранящейся на мобильных устройствах, из-за ограниченной сетевой пропускной способности или отсутствия подключения мобильных устройств во время запланированного копирования.
Удалённая работа
Меры и средства
Должна быть принята политика и меры по обеспечению ИБ для защиты доступа к информации, ее обработки и хранения при удаленной работе.
Рекомендации по реализации
Организация, использующая удаленную работу, должна разработать политику, определяющую условия и ограничения такой работы. При этом необходимо принимать во внимание следующее:
– существующую физическую безопасность места удаленной работы, включая физическую безопасность здания и окружающей среды;
– предлагаемые условия удаленной работы;
– требования в отношении безопасности коммуникаций, учитывая потребность в удаленном доступе к внутренним системам организации, чувствительность информации, к которой будет осуществляться доступ, и чувствительность внутренней системы;
– внедрение доступа к виртуальному рабочему столу, предотвращающего обработку и хранение информации на личном оборудовании;
– угрозу несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в месте удаленной работы, например членов семьи и друзей;
– использование домашних компьютерных сетей, а также требования или ограничения в отношении конфигурации услуг беспроводных сетей;
– политики и процедуры защиты прав интеллектуальной собственности, разработанной
– доступ к личному оборудованию, который может быть запрещен законодательно (для определения безопасности машины или на время расследования);
– лицензионные соглашения в отношении ПО, что касается ответственности за лицензирование клиентского ПО на рабочих станциях, являющихся личной собственностью сотрудников или внешних организаций;
– требования в отношении антивирусной защиты и межсетевых экранов.
Руководства и соглашения должны содержать следующее:
– предоставление необходимого оборудования и материалов для удаленной работы, где используется личное оборудование, не контролируемое организацией;
– определение разрешенной работы, часов работы, внутренних систем и сервисов, задействованных при удаленной работе, и классификация обрабатывающейся информации;
– предоставление приемлемого коммуникационного оборудования, в том числе безопасного удаленного доступа;
– физическую безопасность;
– роли и директивы семейного и гостевого доступа к оборудованию и информации;
– обслуживание и поддержку аппаратного и программного обеспечения;
– предоставление страховки;
– процедуры резервного копирования и непрерывности бизнеса;
– аудит и мониторинг безопасности;
– аннулирование пользователя, его прав доступа и возврат оборудования после завершения удаленной работы.
3. Безопасность, связанная с персоналом
Безопасность, связанную с персоналом, обеспечивают мероприятия:
– перед приемом на работу;
– во время работы;
– при увольнении или изменении должности.
3.1. Перед приемом на работу
Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и подходят для должностей, на которые они рассматриваются.
Перед приемом на работу проводятся следующие мероприятия:
– проверка благонадежности;
– трудовой договор.
Проверка благонадежности
Меры и средства
Тщательная проверка всех кандидатов на работу должна проводиться согласно соответствующим законам, инструкциям и правилам этики в соответствии с требованиями бизнеса, классификацией информации, к которой будет осуществляться доступ, и предполагаемыми рисками.
Рекомендации по реализации
Проверка благонадежности должна осуществляться с учетом конфиденциальности, защиты персональных данных и трудового законодательства и включать, по возможности, следующее: