– регистрацию мобильных устройств;
– требования физической защиты;
– ограничения на установку ПО;
– требования к версиям ПО мобильных устройств и применению патчей;
– ограничения на подключение к информационным сервисам;
– управление доступом;
– криптографические средства;
– защита от вредоносного ПО;
– дистанционное выключение, удаление или блокировку;
– резервное копирование;
– использование веб-сервисов и веб-приложений.
Следует проявлять осторожность при использовании мобильных устройств в общедоступных местах, конференц-залах и других незащищенных местах. Необходимо обеспечить защиту от несанкционированного доступа или раскрытия информации, хранимой и обрабатываемой этими устройствами, например с помощью средств криптографии.
Мобильные устройства необходимо также физически защищать от краж, особенно когда их оставляют в автомобилях или других видах транспорта, гостиничных номерах, конференц-залах и местах встреч. Для случаев потери или кражи мобильных устройств должна быть установлена специальная процедура, учитывающая законодательные, страховые и другие требования безопасности организации.
Устройства, в котором переносится важная, чувствительная или критическая информация бизнеса, не следует оставлять без присмотра и, по возможности, для обеспечения безопасности устройства должны быть физически заблокированы или использованы специальные замки.
Необходимо провести обучение сотрудников, использующих мобильные устройства, с целью повышения осведомленности о дополнительных рисках, связанных с таким способом работы, и мерах защиты, которые должны быть выполнены.
Там, где политика мобильных устройств разрешает использование личных мобильных устройств, политика и связанные с ней меры безопасности должны предусмотреть:
– разделение личного и делового использования устройств с применением ПО, которое поддерживает разделение и защищает бизнес-данные на личном устройстве;
– предоставление доступа пользователей к бизнес-информации только после заключения трудового договора, определяющего их обязанности (физическая защита, обновление ПО и т.д.), отказ в собственности на бизнес-данные, разрешение на удаленное уничтожение организацией данных в случае кражи или потери устройства или после завершения срока использования сервиса. Эта политика разрабатывается с учетом законодательства о конфиденциальности.
Беспроводная коммуникация мобильных устройств похожа на другие типы сетевой коммуникации, но имеют важные отличия, которые надо учитывать при выборе мер защиты.
Типовые различия:
– некоторые протоколы беспроводной безопасности несовершенны и имеют известные недостатки;
– невозможность резервного копирования информации, хранящейся на мобильных устройствах, из-за ограниченной сетевой пропускной способности или отсутствия подключения мобильных устройств во время запланированного копирования.
Удалённая работа
Меры и средства
Должна быть принята политика и меры по обеспечению ИБ для защиты доступа к информации, ее обработки и хранения при удаленной работе.
Рекомендации по реализации
Организация, использующая удаленную работу, должна разработать политику, определяющую условия и ограничения такой работы. При этом необходимо принимать во внимание следующее:
– существующую физическую безопасность места удаленной работы, включая физическую безопасность здания и окружающей среды;
– предлагаемые условия удаленной работы;
– требования в отношении безопасности коммуникаций, учитывая потребность в удаленном доступе к внутренним системам организации, чувствительность информации, к которой будет осуществляться доступ, и чувствительность внутренней системы;
– внедрение доступа к виртуальному рабочему столу, предотвращающего обработку и хранение информации на личном оборудовании;
– угрозу несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в месте удаленной работы, например членов семьи и друзей;
– использование домашних компьютерных сетей, а также требования или ограничения в отношении конфигурации услуг беспроводных сетей;
– политики и процедуры защиты прав интеллектуальной собственности, разработанной на личном оборудовании;
– доступ к личному оборудованию, который может быть запрещен законодательно (для определения безопасности машины или на время расследования);
– лицензионные соглашения в отношении ПО, что касается ответственности за лицензирование клиентского ПО на рабочих станциях, являющихся личной собственностью сотрудников или внешних организаций;
– требования в отношении антивирусной защиты и межсетевых экранов.
Руководства и соглашения должны содержать следующее:
– предоставление необходимого оборудования и материалов для удаленной работы, где используется личное оборудование, не контролируемое организацией;
– определение разрешенной работы, часов работы, внутренних систем и сервисов, задействованных при удаленной работе, и классификация обрабатывающейся информации;
– предоставление приемлемого коммуникационного оборудования, в том числе безопасного удаленного доступа;
– физическую безопасность;
– роли и директивы семейного и гостевого доступа к оборудованию и информации;
– обслуживание и поддержку аппаратного и программного обеспечения;
– предоставление страховки;
– процедуры резервного копирования и непрерывности бизнеса;
– аудит и мониторинг безопасности;
– аннулирование пользователя, его прав доступа и возврат оборудования после завершения удаленной работы.
3. Безопасность, связанная с персоналом
Безопасность, связанную с персоналом, обеспечивают мероприятия: