Чтение онлайн

Рекомендации по реализации

Организация, использующая удаленную работу, должна разработать политику, определяющую условия и ограничения такой работы. При этом необходимо принимать во внимание следующее:

– существующую физическую безопасность места удаленной работы, включая физическую безопасность здания и окружающей среды;

– предлагаемые условия удаленной работы;

– требования в отношении безопасности коммуникаций, учитывая потребность в удаленном доступе к внутренним системам организации, чувствительность информации, к которой

будет осуществляться доступ, и чувствительность внутренней системы;

– внедрение доступа к виртуальному рабочему столу, предотвращающего обработку и хранение информации на личном оборудовании;

– угрозу несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в месте удаленной работы, например членов семьи и друзей;

– использование домашних компьютерных сетей, а также требования или ограничения в отношении конфигурации услуг беспроводных сетей;

– политики и процедуры защиты прав интеллектуальной собственности, разработанной на личном оборудовании;

– доступ к личному оборудованию, который может быть запрещен законодательно (для определения безопасности машины или на время расследования);

– лицензионные соглашения в отношении ПО, что касается ответственности за лицензирование клиентского ПО на рабочих станциях, являющихся личной собственностью сотрудников или внешних организаций;

– требования в отношении антивирусной защиты и межсетевых экранов.

Руководства и соглашения должны содержать следующее:

– предоставление необходимого оборудования и материалов для удаленной работы, где используется личное оборудование, не контролируемое организацией;

– определение разрешенной работы, часов работы, внутренних систем и сервисов, задействованных при удаленной работе, и классификация обрабатывающейся информации;

– предоставление приемлемого коммуникационного оборудования, в том числе безопасного удаленного доступа;

– физическую безопасность;

– роли и директивы семейного и гостевого доступа к оборудованию и информации;

– обслуживание и поддержку аппаратного и программного обеспечения;

– предоставление страховки;

– процедуры резервного копирования и непрерывности бизнеса;

– аудит и мониторинг безопасности;

– аннулирование пользователя, его прав доступа и возврат оборудования после завершения удаленной работы.

Безопасность, связанную с персоналом, обеспечивают мероприятия:

– перед приемом на работу;

– во время работы;

– при увольнении или изменении должности.

3.1. Перед приемом на работу

Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и подходят для должностей, на которые они рассматриваются.

Перед приемом на работу проводятся следующие мероприятия:

– проверка благонадежности;

– трудовой договор.

Проверка благонадежности

Меры

и средства

Тщательная проверка всех кандидатов на работу должна проводиться согласно соответствующим законам, инструкциям и правилам этики в соответствии с требованиями бизнеса, классификацией информации, к которой будет осуществляться доступ, и предполагаемыми рисками.

Рекомендации по реализации

Проверка благонадежности должна осуществляться с учетом конфиденциальности, защиты персональных данных и трудового законодательства и включать, по возможности, следующее:

– независимую проверку подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа);

– проверку подлинности документов об образовании и профессиональной квалификации;

– проверку биографии кандидата (на предмет полноты и точности);

– наличие положительных рекомендаций, в частности, в отношении деловых и личных качеств претендента;

– более детальную проверку, например, кредитоспособности или наличия судимости.

Если кандидат претендует на специальную роль в сфере ИБ, организация должна удостовериться в том, что он имеет необходимую:

– компетенцию для выполнения роли;

– степень доверия, если роль критична для организации.

Если предполагаемая работа предоставляет доступ к средствам обработки информации, особенно, конфиденциальной, например, финансовой, организация должна провести дальнейшую, более детальную проверку кандидата.

Организация для процедур проверки должна определить критерии и ограничения, например, кто имеет право проверки, кто, когда и почему проводит проверку.

Процесс отбора должен также применяться и для подрядчиков. Соглашение между организацией и подрядчиком должно содержать ответственность за проведение отбора и процедуры уведомления о том, что отбор не закончен или его результаты дали повод для сомнений или опасений.

Информация обо всех кандидатах на должности в организации должна быть собрана и обработана в соответствии с действующим законодательством в этой юрисдикции. В зависимости от применяемого законодательства кандидаты должны быть заблаговременно уведомлены о действиях по отбору.

Трудовой договор

Меры и средства

Трудовой договор должен устанавливать ответственность сотрудника и подрядчика и организации в сфере ИБ.

Рекомендации по реализации

Условия работы сотрудников и подрядчиков должны отражать политику ИБ и, кроме того, разъяснять и устанавливать:

– необходимость подписания соглашения о конфиденциальности или неразглашении прежде, чем им будет предоставлен доступ к конфиденциальной информации;

– правовую ответственность и права, например в части законодательства о защите персональных данных или авторском праве;

– обязанности по классификации информации и управлению активами, связанными с информацией, средствами обработки информации и информационными сервисами;