— предлагаемые условия удаленной работы;
— требования в отношении безопасности коммуникаций, учитывая потребность в удаленном доступе к внутренним системам организации, чувствительность информации, к которой будет осуществляться доступ, и чувствительность внутренней системы;
— внедрение доступа к виртуальному рабочему столу, предотвращающего обработку и хранение информации на личном оборудовании;
— угрозу несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в месте удаленной работы, например членов семьи и друзей;
— использование домашних компьютерных сетей, а также требования или ограничения в отношении конфигурации услуг беспроводных сетей;
— политики и процедуры защиты прав интеллектуальной собственности, разработанной на личном оборудовании;
— доступ к личному оборудованию, который может быть запрещен законодательно (для определения безопасности машины или на время расследования);
— лицензионные соглашения в отношении ПО, что касается ответственности за лицензирование клиентского ПО на рабочих станциях, являющихся личной собственностью сотрудников или внешних организаций;
— требования в отношении антивирусной защиты и межсетевых экранов.
Руководства и соглашения должны содержать следующее:
— предоставление необходимого оборудования и материалов для удаленной работы, где используется личное оборудование, не контролируемое организацией;
— определение разрешенной работы, часов работы, внутренних систем и сервисов, задействованных при удаленной работе, и классификация обрабатывающейся информации;
— предоставление приемлемого коммуникационного оборудования, в том числе безопасного удаленного доступа;
— физическую безопасность;
— роли и директивы семейного и гостевого доступа к оборудованию и информации;
— обслуживание и поддержку аппаратного и программного обеспечения;
— предоставление страховки;
— процедуры резервного копирования и непрерывности бизнеса;
— аудит и мониторинг безопасности;
— аннулирование пользователя, его прав доступа и возврат оборудования после завершения удаленной работы.
3. Безопасность, связанная с персоналом
Безопасность, связанную с персоналом, обеспечивают мероприятия:
— перед приемом на работу;
— во время работы;
— при увольнении или изменении должности.
3.1. Перед приемом на работу
Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и подходят для должностей, на которые они рассматриваются.
Перед приемом на работу проводятся следующие мероприятия:
— проверка благонадежности;
— трудовой договор.
Проверка благонадежности
Меры и средства
Тщательная проверка всех кандидатов на работу должна проводиться согласно соответствующим законам, инструкциям и правилам этики в соответствии с требованиями бизнеса, классификацией информации, к которой будет осуществляться доступ, и предполагаемыми рисками.
Рекомендации по реализации
Проверка благонадежности должна осуществляться с учетом конфиденциальности, защиты персональных данных и трудового законодательства и включать, по возможности, следующее:
— независимую проверку подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа);
— проверку подлинности документов об образовании и профессиональной квалификации;
— проверку биографии кандидата (на предмет полноты и точности);
— наличие положительных рекомендаций, в частности, в отношении деловых и личных качеств претендента;
— более детальную проверку, например, кредитоспособности или наличия судимости.
Если кандидат претендует на специальную роль в сфере ИБ, организация должна удостовериться в том, что он имеет необходимую:
— компетенцию для выполнения роли;
— степень доверия, если роль критична для организации.
Если предполагаемая работа предоставляет доступ к средствам обработки информации, особенно, конфиденциальной, например, финансовой, организация должна провести дальнейшую, более детальную проверку кандидата.
Организация для процедур проверки должна определить критерии и ограничения, например, кто имеет право проверки, кто, когда и почему проводит проверку.
Процесс отбора должен также применяться и для подрядчиков. Соглашение между организацией и подрядчиком должно содержать ответственность за проведение отбора и процедуры уведомления о том, что отбор не закончен или его результаты дали повод для сомнений или опасений.
Информация обо всех кандидатах на должности в организации должна быть собрана и обработана в соответствии с действующим законодательством в этой юрисдикции. В зависимости от применяемого законодательства кандидаты должны быть заблаговременно уведомлены о действиях по отбору.
Трудовой договор
Меры и средства
Трудовой договор должен устанавливать ответственность сотрудника и подрядчика и организации в сфере ИБ.
Рекомендации по реализации
Условия работы сотрудников и подрядчиков должны отражать политику ИБ и, кроме того, разъяснять и устанавливать:
— необходимость подписания соглашения о конфиденциальности или неразглашении прежде, чем им будет предоставлен доступ к конфиденциальной информации;
— правовую ответственность и права, например в части законодательства о защите персональных данных или авторском праве;
— обязанности по классификации информации и управлению активами, связанными с информацией, средствами обработки информации и информационными сервисами;
— ответственность за обработку информации, получаемой от других фирм и сторонних организаций;
— действия, которые должны быть предприняты в случае несоблюдения требований ИБ.
Роли и ответственности в сфере ИБ должны быть доведены до кандидатов до их приема на работу.
Организация должна удостовериться, что сотрудники и подрядчики согласны с условиями ИБ в отношении вида и уровня получаемого доступа к активам, связанным с ИС и сервисами.
При необходимости ответственность, возлагаемая на сотрудника по условиям работы, должна сохраняться сотрудником в течение определенного периода времени и после увольнения из организации.
Организация в соответсвии со своим имиджем и репутацией может разработать кодекс поведения сотрудника и подрядчика, устанавливающий его обязанности в сфере ИБ в отношении конфиденциальности, защиты персональных данных, этики, допустимого использования оборудования и устройств организации.
3.2. Во время работы
Цель: Гарантировать, что все сотрудники и подрядчики осведомлены о своей ответственности и корректно выполняют свои обязанности в сфере ИБ.
Во время работы ИБ обеспечивают следующие составляющие:
— ответственность руководства;
— осведомленность в сфере ИБ;
— дисциплинарный процесс.
Ответственность руководства
Меры и средства
Руководство должно требовать от всех сотрудников и подрядчиков соблюдения правил ИБ в соответствии с установленными политиками и процедурами организации.
Рекомендации по реализации
Руководство обязано обеспечить уверенность в том, что сотрудники и подрядчики:
— осведомлены о своих ролях и обязанностях в сфере ИБ прежде, чем получили доступ к конфиденциальной информации или ИС;
— обеспечены рекомендациями по формулированию их предполагаемых ролей в сфере ИБ в рамках организации;
— заинтересованы следовать политике ИБ организации;
— достигли уровня осведомленности в сфере ИБ, соответствующего их ролям и обязанностям в организации;
— следуют условиям работы, которые включают политику ИБ организации и соответствующие методы работы;
— продолжают поддерживать соответствующие навыки и квалификацию и обучаются на регулярной основе;
— осведомлены о необходимости информирования любым способом о нарушениях политик и процедур ИБ.
Руководство должно демонстрировать поддержку политик, процедур и мер ИБ и быть образцом для подражания.
Осведомленность персонала
Меры и средства
Все сотрудники организации и, по возможности, подрядчики должны проходить соответствующее обучение и быть в курсе актуальных организационных политик и процедур, применимых к их функциям.
Рекомендации по реализации
Программа обучения должна преследовать цель осведомленности сотрудников и, по возможности, подрядчиков о своих обязанностях в сфере ИБ и мерах по их выполнению.
Программа обучения разрабатывается в соответствии с политиками и процедурами ИБ для изучения информации, которую надо защищать, и мер, которые ее должны защищать. Программа должна содержать ряд таких учебно-воспитательных мер, как акция (например, «День ИБ») и издание информационных буклетов и бюллетеней.
Программа должна планироваться, исходя из ролей сотрудников организации и, по возможности, желаемой в организации осведомленности подрядчиков. Все меры программы должны быть распланированы по времени, желательно регулярно, таким образом, чтобы они повторялись и охватывали новых сотрудников и подрядчиков. Программа должна также регулярно обновляться в соответствии с организационными политиками ипроцедурами и строиться с учетом извлечения уроков из инцидентов ИБ.
Обучение должно проходить в соответствии с программой. При обучении можно использовать разные способы и средства, включая аудиторные и дистанционные, веб-сайты, самостоятельные и другие.
Обучение в сфере ИБ должно также охватывать такие аспекты, как:
— утверждение приверженности руководства ИБ во всей организации;
— необходимость ознакомления с применяемыми правилами и обязательствами ИБ и их выполнения в соответствиис политиками, стандартами, законами, нормативами, контрактами и соглашениями;