Советы по кибербезопасности для работающих из дома
Советы подготовлены в стиле «Инструкции по выживанию бизнеса на удаленке» — ничего лишнего, только практические, проверенные жизнью рекомендации.
Прежде всего материал будет полезен работодателям!
Общая ситуация в нескольких строках
По всему миру в хоум-офис переехали бухгалтеры, отделы продаж, маркетологи, юристы. Туроператоры перевели почти всех сотрудников на дистанционную работу. Отделы продаж автомобильных центров перешли на дежурный режим работы, консультируя своих клиентов исключительно по телефону, а фронт-офисы в эти дни прекратили работу.
Из-за коронавируса на удаленный режим работы перешли и государственные учреждения (школы и университеты, Почта России, военкоматы), министерства и даже международные организации, например, ООН.
Прелюдия…
Март 2020 года охарактеризовался взрывным вводом режима «WFH» — work from home, в переводе на русский — «работаем удаленно из дома». ИТ-гигант — компания Microsoft отправила работать из дома более 80% сотрудников. Amazon, Facebook, Google, Uber не стали исключением: до 76% их работников стали трудиться удаленно. 12 тысяч подчиненных штаб-квартиры Apple в Калифорнии перешли на дистанционную работу.
Российский бизнес — это другая планета. По аналитическим данным Forbes только 25% отечественных компаний до самоизоляции работали с фрилансерами (разработчики, дизайнеры, менеджеры по продажам, рекрутеры). В США, для сравнения, эта цифра составляет 43%.
Поэтому в текущей ситуации пандемии и принудительным #оставайтесьдома переход на удаленную работу особенно «мучителен». Компании просто не были готовы к организации и быстрому выстраиванию бизнес-процессов дистанционной работы.
Но если все-таки бизнес-процессы в компании удалось наладить, то следующий шаг – обеспечить безопасность информации. Предлагаем вашему вниманию сводку требований ФСТЭК и Агентства Европейского Союза по кибербезопасности (ENISA), соблюдение которых позволит снизить вероятность негативных последствий для вашей компании при удаленной работе.
ТРЕБОВАНИЯ ПО КИБЕРБЕЗОПАСНОСТИ ДЛЯ РАБОТАЮЩИХ В УДАЛЕННОМ РЕЖИМЕ
Требования к работодателям | |
EU Agency for Cybersecurity* | ФСТЭК России** |
Обеспечить наличие достаточных ИТ-ресурсов для поддержки персонала в случае возникновения технических проблем | Проведение инструктажа работников субъектов критической информационной инфраструктуры, осуществляющих удаленный доступ к объектам критической информационной инфраструктуры, о правилах безопасного удаленного взаимодействия с такими объектами |
Предоставлять работникам соответствующую информацию, например о контактных лицах | |
Обеспечить на устройствах доступа современное программное обеспечение безопасности и обновления, а также регулярно напоминать пользователям о необходимости проверки обновлений. Желательно также предусмотреть схему замены вышедших из строя устройств | |
Предоставлять, где это возможно, корпоративные компьютеры/устройства работникам для удаленной работы | Определение перечня средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники (ноутбуков, планшетных компьютеров, мобильных устройств), которые будут предоставлены работникам для удаленной работы |
Определение перечня информации и информационных ресурсов (программ, томов, каталогов, файлов), расположенных на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удаленный доступ | |
Назначение минимально необходимых прав и привилегий пользователям при удаленной работе | |
Идентификация удаленных СВТ по физическим адресам (МАС-адресам) на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удаленный доступ, предоставление им доступа к информационным ресурсам объектов критической информационной инфраструктуры методом "белого списка" | |
Выделение в отдельный домен работников, управление которым должно осуществляться с серверов субъекта критической информационной инфраструктуры, и присвоение каждому удаленному СВТ сетевого (доменного) имени | |
Доступ к порталам приложений должен быть защищен с помощью механизмов многофакторной аутентификации | Обеспечение двухфакторной аутентификации работников удаленных СВТ, при этом один из факторов обеспечивается устройством, отделенным от объекта критической информационной инфраструктуры, к которому осуществляется доступ |
Предпочтительна взаимная аутентификация (например, от клиента к серверу и от сервера к клиенту) | |
Все корпоративные бизнес-приложения должны быть доступны только через зашифрованные каналы связи (SSL VPN, IPSec VPN). Убедитесь, что корпоративное VPN-решение масштабируется и способно поддерживать большое количество одновременных соединений | Организация защищенного доступа с удаленного СВТ к серверам объектов критической информационной инфраструктуры с применением средств криптографической защиты информации (VPN) |
Антивирус/AntiMalware ПО должно быть установлено и полностью обновлено | Применение на удаленных СВТ средств антивирусной защиты информации, обеспечение актуальности баз данных признаков вредоносных компьютерных программ (вирусов) на удаленных СВТ путём их ежедневного обновления |
BYOD устройства, должны быть проверены с точки зрения безопасности с использованием платформ, обеспечивающих контроль политик безопасности на устройстве | Исключение возможности установки работником программного обеспечения на удаленное СВТ, кроме программного обеспечения, установка и эксплуатация которого определена служебной необходимостью, реализуемое штатными средствами операционной системы удаленного СВТ или средствами защиты информации от несанкционированного доступа |
Обеспечение мониторинга безопасности объектов критической информационной инфраструктуры, в том числе ведения журналов регистрации действий работников удаленных СВТ и их анализа | |
Блокирование экрана, если вы работаете в общем пространстве | Блокирование сеанса удаленного доступа пользователя при неактивности, более установленного субъектом критической информационной инфраструктуры времени |
Обеспечить наличие политик реагирования на инциденты, связанные с безопасностью и утечкой личных данных, и надлежащее информирование о них работников | Обеспечение возможности оперативного реагирования и принятия мер защиты информации при возникновении компьютерных инцидентов |
Обеспечение безопасных видеоконференций для корпоративных клиентов (как аудио/видео возможности) | |
Обеспечить, чтобы любая обработка работодателем данных о персонале в контексте телеработы (например, учет рабочего времени) соответствовала правовым рамкам ЕС в области защиты данных | |
Требования к работникам | |
Исключение возможности эксплуатации удаленных СВТ посторонними лицами. | |
Используйте корпоративные (а не персональные) компьютеры там, где это возможно | Не рекомендуется использование личных средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники. |
Подключайтесь к Интернету через защищенные сети; избегайте открытых сетей. | |
Избегайте обмена конфиденциальной корпоративной информацией (например, по электронной почте) через небезопасные соединения. | |
Используйте корпоративные интранет-ресурсы для обмена рабочими файлами | |
Будьте осторожны с любыми электронными письмами, в которых упоминается о коронавирусе, поскольку это могут быть попытки фишинга или мошенничество | |
Данные, находящиеся на локальных носителях, должны быть зашифрованы | |
Не публикуйте URL виртуальной встречи в социальных сетях или других общественных каналах. |
** РЕКОМЕНДАЦИИ ФСТЭК России по обеспечению безопасности объектов критической информационной ин-фраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры (Письмо ФСТЭК России от 20 марта 2020 г. N 240/84/389)
* EU4Digital
Tips for cybersecurity when working from home
The EU Agency for Cybersecurity shares its top tips for teleworking in times of Covid-19
Published on March 24, 2020