— существующую физическую безопасность места удаленной работы, включая физическую безопасность здания и окружающей среды;
— предлагаемые условия удаленной работы;
— требования в отношении безопасности коммуникаций, учитывая потребность в удаленном доступе к внутренним системам организации, чувствительность информации, к которой будет осуществляться доступ, и чувствительность внутренней системы;
— внедрение доступа к виртуальному рабочему столу, предотвращающего обработку и хранение информации на личном оборудовании;
— угрозу несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в месте удаленной работы, например членов семьи и друзей;
— использование домашних компьютерных сетей, а также требования или ограничения в отношении конфигурации услуг беспроводных сетей;
— политики и процедуры защиты прав интеллектуальной собственности, разработанной на личном оборудовании;
— доступ к личному оборудованию, который может быть запрещен законодательно (для определения безопасности машины или на время расследования);
— лицензионные соглашения в отношении ПО, что касается ответственности за лицензирование клиентского ПО на рабочих станциях, являющихся личной собственностью сотрудников или внешних организаций;
— требования в отношении антивирусной защиты и межсетевых экранов.
Руководства и соглашения должны содержать следующее:
— предоставление необходимого оборудования и материалов для удаленной работы, где используется личное оборудование, не контролируемое организацией;
— определение разрешенной работы, часов работы, внутренних систем и сервисов, задействованных при удаленной работе, и классификация обрабатывающейся информации;
— предоставление приемлемого коммуникационного оборудования, в том числе безопасного удаленного доступа;
— физическую безопасность;
— роли и директивы семейного и гостевого доступа к оборудованию и информации;
— обслуживание и поддержку аппаратного и программного обеспечения;
— предоставление страховки;
— процедуры резервного копирования и непрерывности бизнеса;
— аудит и мониторинг безопасности;
— аннулирование пользователя, его прав доступа и возврат оборудования после завершения удаленной работы.
3. Безопасность, связанная с персоналом
Безопасность, связанную с персоналом, обеспечивают мероприятия:
— перед приемом на работу;
— во время работы;
— при увольнении или изменении должности.
3.1. Перед приемом на работу
Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и подходят для должностей, на которые они рассматриваются.
Перед приемом на работу проводятся следующие мероприятия:
— проверка благонадежности;
— трудовой договор.
Проверка благонадежности
Меры и средства
Тщательная проверка всех кандидатов на работу должна проводиться согласно соответствующим законам, инструкциям и правилам этики в соответствии с требованиями бизнеса, классификацией информации, к которой будет осуществляться доступ, и предполагаемыми рисками.
Рекомендации по реализации
Проверка благонадежности должна осуществляться с учетом конфиденциальности, защиты персональных данных и трудового законодательства и включать, по возможности, следующее:
— независимую проверку подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа);
— проверку подлинности документов об образовании и профессиональной квалификации;
— проверку биографии кандидата (на предмет полноты и точности);
— наличие положительных рекомендаций, в частности, в отношении деловых и личных качеств претендента;
— более детальную проверку, например, кредитоспособности или наличия судимости.
Если кандидат претендует на специальную роль в сфере ИБ, организация должна удостовериться в том, что он имеет необходимую:
— компетенцию для выполнения роли;
— степень доверия, если роль критична для организации.
Если предполагаемая работа предоставляет доступ к средствам обработки информации, особенно, конфиденциальной, например, финансовой, организация должна провести дальнейшую, более детальную проверку кандидата.