2020 год задал тенденцию на перевод сотрудников на дистанционный формат исполнения служебных обязанностей. Практика показала, что далеко не все организации были готовы перевести своих сотрудников на удаленный режим. Одна из причин — отсутствие средств защиты для обеспечения безопасности инфраструктуры.
Принудительной дистанционки в связи с ковидом уже нет, но для многих удаленный формат останется нормой. Статистика Garther показывает, что процент людей, работающих из дома, будет расти. Необходимо быть готовым осуществить данный перевод сотрудников.
При переводе сотрудника на дистанционный режим работы важным является не только технический аспект, но также и законодательный. В ситуации, когда сотрудник, работая удаленно, обращается к информации ограниченного доступа, обязательно должен выполняться правовой аспект информационной безопасности. По этой причине при выборе решения заказчику необходимо обращать внимание на соответствие требованиям регуляторов.
Требования к защите информации во время дистанционной работы
Дистанционная работа реализуется с помощью удаленного доступа. Начнем с самого определения:
Удаленный доступ — процесс получения доступа к средствам вычислительной техники посредством сети с использованием другого средства вычислительной техники (ГОСТ Р 57429-2017).
Данный процесс не так прост, как может показаться с первого взгляда. Первоочередная задача удаленного доступа — безопасность.
На сегодняшний день вопросы защиты информации при удаленной работе регулируются следующими нормативными актами:
Рекомендации по защите информации в период изоляции и удаленного режима работы от ФСТЭК и НКЦКИ
Письмо ФСТЭК России от 20 марта 2020 г. N 240/84/389:
- Назначение минимально необходимых прав и привилегий пользователям при удаленной работе;
- Идентификация удаленных СВТ по физическим адресам (МАС-адресам) на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удаленный доступ, предоставление им доступа к информационным ресурсам объектов критической информационной инфраструктуры методом «белого списка»;
- Обеспечение двухфакторной аутентификации работников удаленных СВТ, при этом один из факторов обеспечивается устройством, отделенным от объекта критической информационной инфраструктуры, к которому осуществляется доступ;
- Организация защищенного доступа с удаленного СВТ к серверам объектов критической информационной инфраструктуры с применением средств криптографической защиты информации (VPN-клиент);
- Применение на удаленных СВТ-средствах антивирусной защиты информации, обеспечение актуальности баз данных признаков вредоносных компьютерных программ (вирусов) на удаленных СВТ путем их ежедневного обновления;
- Исключение возможности установки работником программного обеспечения на удаленное СВТ (кроме программного обеспечения), установка и эксплуатация которого определена служебной необходимостью, реализуемое штатными средствами операционной системы удаленного СВТ или средствами защиты информации от несанкционированного доступа и др.
Рекомендации НКЦКИ по обеспечению информационной безопасности при удаленном режиме работы:
- Применение функционирующих средств антивирусной защиты и межсетевого экранирования;
- Обновленные сервисы и устройства, которые используются для удаленного доступа;
- Использование двухфакторной аутентификации;
- Использование терминального удаленного доступа в сеть к виртуальному рабочему месту;
- Осуществление мониторинга безопасности систем и др.
Также ФСТЭК разрабатывает требования к средствам обеспечения безопасной дистанционной работы (Требования по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах) и планируется внесение изменений в «Требования о защите информации … в государственных информационных системах» и «Меры по защите информации в ГИС»:
В следующей статье расскажем о решении проблемы соблюдения требований безопасности при удалённой работе.
☑️ Подписывайтесь, чтобы не пропустить.
#it #информационная безопасность #информационные технологии #сетевые технологии #it-технологии
