Прежде чем приступить к рассмотрению политик для мобильных устройств, давайте выясним, что же такое политики безопасности и зачем они нужны. Представим себе такую ситуацию. На работу в один отдел приняты три новых сотрудника. Один из них говорит, что, сколько он себя помнит, у него были права доступа уровня администратора, и он всегда все делал сам, другой работал в компании, где действовали жесткие правила разграничения доступа и он не мог ничего менять в настройках, а третий вообще еще нигде не работал и полагает, что будет поступать в зависимости от ситуации. Возникает вопрос, как они будут вместе работать, не имея каких-либо общих правил? Без единой системы правил управление и контроль группы таких сотрудников является нетривиальной задачей.
Политикой безопасности называется формальный документ, который определяет поведение персонала относительно имущества компании. Заметим, что понятие «имущество» включает много компонентов, начиная от мебели и заканчивая информацией. Главная цель политики безопасности — донести до персонала все правила, ограничения и требования с точки зрения безопасности, учитывая цели и стратегию компании. Обращаю ваше внимание на то, что политика пишется под конкретные цели компании, так как только в этом случае люди, которые попадут под действие этой политики, будут понимать смысл накладываемых на них ограничений. Написать политику безопасности — дело ответственное и сложное, но сделать так, чтобы она реально работала, намного сложнее. Кроме того, я часто сталкиваюсь с тем фактом, что политика безопасности пишется для того, чтобы она просто была, для отчета перед руководством, для аудиторов, для престижа, для чего угодно, но только не для ее реализации. Итак, давайте посмотрим, как создается политика безопасности.
Перед написанием политики
Для начала любая компания должна взять свод законов той страны, где она работает, и проанализировать законы, правила и ограничения. Если этого не сделать, могут быть серьезные проблемы как при взаимодействии компании с государственными органами, так и во внутренней жизни компании, так как сотрудники могут не знать, по каким правилам жить, если государственные законы и политика безопасности будут противоречить друг другу. После проработки законодательной базы, на основе стратегии и целей компании проводится аудит компании и оценка рисков. Ведь как мы можем написать правила и ограничения для защиты собственности компании, если мы не имеем представления, что входит в эту собственность, что из собственности критично для ведения бизнеса, а что нет? Любые методы защиты собственности, как материальной, так и нет, стоят денег, поэтому обеспечение защиты должно быть не стихийным (вся собственность от всех угроз), а соответственным для каждого объекта собственности. В итоге после проведения оценки рисков, мы должны получить ответы на три основных вопроса:
- что защищать;
- от чего защищать;
- как защищать.
Только после того, как мы получим ответы на эти вопросы, можно приступать к созданию «Программы информационной безопасности». Да, именно программы, а не политики, ведь сама политика, которая является частью программы, ничего не стоит, если взять ее обособленно.
Несколько слов о программе
Программа информационной безопасности состоит из четырех основных частей: политики и сопутствующая документация (на рисунке 1 показаны синим цветом), программа бдительности, план реагирования на инциденты и программа соответствия. Разберем вкратце все компоненты.
Первым компонентом в разделе политик безопасности является общая организационная политика. Это, как правило, небольшой документ, который описывает общие положения (например: социальное и религиозное равенство, общее положение о защите информации, принятие и выполнение законов государства и т. д.). Такие положения касаются каждого сотрудника и всей организации в целом.
Ступенькой ниже располагаются функциональные политики, их больше всего (по крайней мере, так должно быть); они адресованы определенным областям безопасности, например:
- безопасность электронной почты;
- безопасность рабочих станций;
- антивирусная безопасность;
- физическая безопасность;
- политики резервного копирования;
- политики паролей;
- политики для мобильных сотрудников.
В примере я привел лишь часть политик, которые могут быть включены в общий документ. На наполнение портфеля политик безопасности влияет много факторов: уровень безопасности в компании, сфера ее деятельности, как организована работа, какие услуги компания предоставляет сотрудникам и т. д. В этой статье будет детально разобрана функциональная политика для мобильных сотрудников.
Последним компонентом из самих политик безопасности являются специализированные политики. Их действие распространяется на конкретные системы или отделы (например, выдача прав конкретному отделу на использование определенного ресурса). Таких политик должно быть чем меньше, тем лучше, они используются либо для создания исключений из правил, заданных функциональными политиками, либо для усиления контроля за важными системами. Этим документация, которая определяется политиками безопасности, исчерпывается, но существует еще несколько типов обязательных документов, которые дополняют политики.
Дополнительная обязательная документация
Baseline, я намеренно не перевожу этот термин, — это документ, который указывает на минимальные требования к уровню безопасности. Например, пароли в организации должны быть не короче десяти знаков и каждый должен содержать минимум один символ в верхнем регистре, одну цифру и один спецсимвол. Baselines могут применяться для указания минимальных требований к рабочему месту сотрудника, аппаратной части рабочей станции и т. д.
Standards — корпоративные стандарты, они являются более жесткими, чем baseline. Эти стандарты оговаривают однозначные решения, которые не изменяются. Например, в случае с паролями, если мы уберем слово «минимум», то получим стандарт паролей. Стандарты обычно указывают на используемые сетевые протоколы, пакеты программного обеспечения и аппаратные решения.
Guidelines — документы рекомендательного характера, их выполнять не обязательно, но желательно. Обычно используются для некритичных систем.
Procedures — процедуры, пошаговые инструкции. Такая документация используется для стандартизации процедур настройки, резервного копирования и вообще для всех часто повторяющихся задач.
Все четыре типа документов дополняют политики и конкретизируют их.
Средства усиления и внедрения политик
Программа бдительности, или Security Awareness, направлена на доставку контента политик безопасности, лучших практик в сфере безопасности, а также на повышение уровня компетентности всех сотрудников компании в отношении безопасности. Программа может быть осуществлена как формальное очное обучение, онлайн-обучение или любым другим доступным методом.
План реагирования на инциденты закрывает все «дыры», которые оставила политика и, по сути, указывает на процедуры реагирования в случаях нарушения политик безопасности с серьезными последствиями либо в тех случаях, когда политика бессильна.
Программа соответствия отслеживает политики безопасности. Она всячески рекламирует соблюдение политик и направлена на формирование лояльного отношения к политикам со стороны сотрудников.
Мобильные и удаленно работающие сотрудники
Теперь рассмотрим изменения, которые произошли в последние годы в связи с развитием мобильных технологий. Активное использование портативных устройств стимулирует появление стандартов беспроводной связи, которые предлагают скорости передачи, сравнимые со стационарной проводной сетью. Кроме того, основными преимуществами беспроводных мобильных технологий являются удобство переноса устройств и возможность работать где угодно, если есть доступ к беспроводной сети. В последние годы, в связи с экономическими изменениями и не только, появились два класса «работающих удаленно»: работающие дома и мобильные сотрудники. И те и другие работают вне офисов компании. Работающие дома сотрудники выгодны компаниям, так как на них можно сэкономить (офисное пространство, электроэнергия), а мобильные сотрудники необходимы для ведения бизнеса. Примером могут служить специалисты по продажам, которые постоянно ездят на встречи и могут отправлять важную информацию из аэропорта, автомобиля или ресторана. Понятно, что дом или тем более аэропорт или ресторан не являются настолько защищенными, как помещения компании, физическая защита вообще практически отсутствует, недоступны службы резервного копирования — список достаточно большой. Естественно, все это плохо сказывается на уровне безопасности компании и требует создания отдельного свода правил или отдельной политики безопасности, которая покрывала бы связанные с этим риски. Кстати, о рисках. Давайте проанализируем:
- Удаленное рабочее место не соответствует стандарту и нормам безопасности рабочего места на территории компании.
- Повреждение или утеря данных или устройств. Мобильная работа — серьезный вызов физической безопасности как материальных, так и нематериальных средств компании. Последствия наличия мобильных сотрудников с ноутбуками и коммуникаторами — это первое место в мире по кражам именно этих устройств из всего оборудования. Причем самые «хлебные» для похитителей места — аэропорты.
- Неправильное хранение и использование приватной или конфиденциальной информации. Я нахожусь дома, мое начальство далеко, я чувствую себя в полной безопасности. Поэтому я забываю про конфиденциальность при разговорах по телефону или в чате с друзьями, могу положить конфиденциальные документы просто на столе на глазах у членов семьи или друзей, которые зашли вечером.
- Использование своих устройств и программного обеспечения. Свое купленное аппаратное обеспечение может не соответствовать требованиям компании, особенно это касается сетевого оборудования. Сейчас производители решений для домашних офисов ставят в приоритет доступность, а не безопасность. Купил, пришел домой, включил — и все уже работает. Но как работает? Какие там настройки? Сотрудник, не работающий в отделе информационных технологий, себе эти вопросы, скорее всего, не задаст.
- Резервное копирование. Передача данных для резервирования в офис компании может быть затруднена: например, нет сигнала беспроводной сети или у провайдера проблемы с линией; такие ситуации связаны с дополнительным риском для целостности информации.
Понятно, что это далеко не все риски, связанные с мобильными устройствами. На рисунке 2 приведена схема доменов безопасности, на которые влияют эти риски.
Расскажу коротко о каждом домене безопасности.
- Политики доступа к ресурсам. Доступ к ресурсам осуществляется не из локальной, хорошо защищенной и изолированной сети, а из внешней сети с нулевым уровнем доверия. Необходимо пересмотреть все правила и минимизировать доступ.
- Политики управления персоналом. Домен описывает общие положения о дистанционной работе и другие вопросы организационного характера.
- Политики обучения. Короткий раздел, посвященный теме обучения персонала для дистанционной работы.
- Политика доступа к ресурсам. Жесткие правила для доступа к системам, которые находятся вне территории компании.
- Политики хранения информации и резервного копирования. Все изменения, необходимые для поддержания целостности и доступности информации для удаленно работающих сотрудников, описаны здесь.
- Политика коммуникаций описывает все требования ко всем возможным типам коммуникаций для мобильных сотрудников.
- Политики системного управления. Основой этого раздела являются политики, оговаривающие настройку аппаратных и программных средств компании для дистанционных сотрудников.
- Политики путешествий. Небольшой раздел, посвященный физической безопасности во время транспортировки компьютерного оборудования и информации.
- Политики физической безопасности. Темы: безопасность при переездах сотрудников с одного рабочего места на другое, хранение и уничтожение информации.
Перед тем как начать рассматривать политики для дистанционных сотрудников, я вкратце опишу структуру самой политики (см. таблицу).
Нумерация политик может идти по шаблону: глава (или общий номер функциональной политики), номер конкретной политики, текущая версия этой политики. Время жизни политики — около 5 лет.
Название отражает смысл политики. Текст политики полностью раскрывает его. Заметим, что в примере политики не указывается, каким именно образом беспроводной канал должен быть зашифрован. Аудитория оговаривает необходимость знания этой политики группами сотрудников. Обычно используется три группы: все сотрудники, ИТ-подразделения и менеджмент.
В ссылках указывается вся дополнительная документация, которая касается этой политики. В примере я указал стандарт шифрования для беспроводных каналов. Именно в этом документе и будет сказано, каким методом должно осуществляться шифрование, какие будут использованы алгоритмы шифрования, какая длина ключей и т. д. Кроме стандарта шифрования можно, например, указать стандарт беспроводного оборудования, стандарт конфигурации и процедуру настройки точек доступа, а также процедуру настройки шифрования на клиентских устройствах.
Итак, мы подошли непосредственно к рассмотрению политик безопасности для удаленно работающих сотрудников. Как уже говорилось, ниже представлены рабочие шаблоны политик безопасности, которые могут быть внедрены в компании с минимальными изменениями. Этот набор политик представляет собой полную готовую функциональную политику только в том случае, если стандартные корпоративные политики, такие как политика рабочих станций, политика антивирусной защиты, политика электронной почты и т. д., уже есть. При отсутствии остальных первоочередных политик эта будет непригодна для использования, так как покрывает только разницу в рисках между корпоративной и дистанционной средой работы. Аудиторией для всех следующих политик будут все сотрудники компании, работающие дистанционно. Для написания рабочего документа политики информационной безопасности на основе политик, приведенных ниже, описание, которое я привожу после каждой политики, необходимо опустить. Список дополнительных документов никак не претендует на полноту, их должно быть намного больше, а примеры даются для ознакомления.
Политики управления персоналом
Привилегия удаленной работы (telecommuting). Прерогатива работы дома или в других местах вне компании является исключительно решением руководства. Разрешение на такой способ работы сотрудник получает от непосредственного начальника. Перед тем как сотрудник приступит к удаленной работе, его начальник должен убедиться, что работа подчиненного может эффективно выполняться вне офисов компании и что подчиненный обладает соответствующими личностными и профессиональными качествами для выполнения работы в таком режиме. Дистанционное место работы должно соответствовать требованиям компании и выполняемой работе. Основными положениями для дистанционного рабочего места является физическая и информационная безопасность собственности компании, а также комфортные условия для работы. Руководство должно быть уверено в реалистичных показателях производительности, а также в адекватных возможностях контакта с другими сотрудниками компании.
Эта политика является полностью организационной и не закрывает никакие риски. Основная ее задача — внушить сотрудникам, что абсолютно все не могут работать дома, не все просьбы будут удовлетворены и решение принимает начальство. Дополнительным документом к этой политике может быть baseline дистанционного рабочего места.
Периодический пересмотр привилегий. Все привилегии доступа к ресурсам компании, в том числе через дистанционное присутствие и удаленный доступ, должны пересматриваться руководством каждые полгода. Следование всем политикам в этом документе является важным фактором в решении о продолжении работы в удаленном режиме.
Пересмотр любых привилегий доступа должен осуществляться регулярно, а для дистанционных сотрудников он должен быть более тщательным. Иначе сотрудник, переходя с должности на должность, из отдела в отдел, при изменении полномочий каждый раз будет получать новые привилегии доступа, а старые будут оставаться. Основной риск состоит в том, что один сотрудник может впоследствии получить монополию на какой-то вид деятельности или информации, то есть у него будет полный доступ ко всем компонентам какой-то системы и при желании он сможет уничтожить либо использовать в своих целях всю систему. В роли связанных документов выступает целый раздел, который называется «Контроль доступа».
Инспекция рабочего места. Компания имеет право без предупреждения проводить инспекцию рабочего места сотрудников, которые трудятся удаленно. Компания также имеет право проводить аудит любого устройства, на котором содержится или может содержаться информация, относящаяся к компании, даже если это собственность дистанционного сотрудника, консультанта или специалиста, работающего по контракту. Компания также имеет право просмотра информации и конфигурации на устройствах работающих удаленно сотрудников через средства удаленного администрирования.
Риски, которые частично покрываются этой политикой, — это конфиденциальность информации компании, а также соответствие рабочего места и оборудования стандартам компании. Список стандартов должен прилагаться.
Соответствующий уровень безопасности. Информация компании должна быть защищена должным образом вне зависимости от того, в каком виде она хранится, какие системы и процессы задействованы в ее обработке и использовании, какие люди имеют к ней доступ. Это означает, что сотрудники обязаны защищать информацию в соответствии с ее критичностью и уровнем конфиденциальности вне зависимости от местоположения их рабочего места, и уровень защиты должен быть не ниже, чем при работе в офисе.
Даная политика выдвигает общие требования к защите информации вне зависимости от места работы сотрудника компании. Сотрудник должен всегда помнить о защите информации и защищать ее должным образом в зависимости от ситуации. В подкрепление к этой политике могут идти другие общие политики по защите собственности и информации.
Права на интеллектуальную собственность. Вся интеллектуальная собственность, созданная во время работы сотрудника как на территории компании, так и вне ее, является эксклюзивной собственностью компании. Она включает в себя патенты, авторские права, торговые марки, а также любую другую информацию, изложенную в директивах, записках, планах, стратегиях, продуктах, компьютерных программах, документации и других материалах компании.
Это фундаментальная политика, которая решает вопрос о собственности информации. Тема интеллектуальной собственности особенно актуальна в нашей стране, где не хватает законов об информации. Когда новый сотрудник нанят на работу, очень важно, чтобы он ознакомился с политиками безопасности и особенно с этой, после чего он должен подписать свое согласие с политиками безопасности.
Уведомление об утере или повреждении. Сотрудники, работающие удаленно, должны немедленно докладывать непосредственному начальству об утере или повреждении доверенных им устройств, программного обеспечения или конфиденциальной информации.
Это очень важная политика. Натура человека такова, что он всячески старается избегать проблем. Цель политики — уменьшить непродуктивность работы путем быстрой замены поломанного или утерянного оборудования и снизить риски, анализируя объем информации, который был украден или утерян. Вместе с этой политикой должна быть опубликована ссылка на процедуру уведомления об утрате или поломке.
Политики обучения
Сотрудники компании должны пройти обязательное обучение по темам безопасности, связанным с работой вне территории компании. Только после успешного прохождения теста таким сотрудникам должен предоставляться удаленный доступ к ресурсам компании.
Эта политика форсирует программу бдительности. Любой сотрудник должен пройти обучение, которое позволит ему адекватно реагировать на угрозы, которым он подвергает информацию вне территории компании. Кроме того, обучение должно включать и техническую подготовку сотрудника, ведь в аэропорту не получится при первой же поломке вызвать специалиста из отдела ИТ, который все сделает за пять минут. Дополнительным документом для данной политики будет стандарт знаний для удаленно работающих сотрудников, где будут перечислены все процедуры, которыми должен владеть дистанционный работник.
Политики доступа к ресурсам
Шифрование и защита при загрузке. Все мобильные компьютерные устройства, включая смартфоны, ноутбуки, карманные компьютеры и другие портативные устройства, содержащие конфиденциальную информацию, должны иметь системы шифрования и двухфакторную систему аутентификации для загрузки. Эти две системы контроля могут быть осуществлены как программное и/или аппаратное решение, которое должно пройти проверку и быть утверждено отделом информационной безопасности компании. Портативные устройства типа карманных компьютеров и смартфонов не должны содержать конфиденциальной информации без соответствующего разрешения со стороны отдела информационной безопасности. Исключение составляют личные организаторы времени, телефонные и адресные книги.
Эта политика существенно снижает риски утечки конфиденциальной информации. Дополнить ее могут стандарты программного и аппаратного обеспечения для шифрования, а также стандарты аутентификации при загрузке систем.
Совместное использование устройств и систем. Работающие удаленно сотрудники не имеют права одалживать смарт-карты, токены, фиксированные пароли или любые другие устройства или параметры доступа кому-либо без предварительного согласования с отделом информационной безопасности. Это означает, что мобильные компьютеры должны использоваться только конкретным сотрудником компании. Члены семьи и друзья не должны иметь доступ к этим устройствам. Дистанционный сотрудник не имеет права никому одалживать устройства, которые содержат информацию о деятельности компании.
Цель политики — защита конфиденциальной информации и защита от неавторизированного доступа к ресурсам компании с использованием авторизированных аппаратных средств. Подкрепляющими политиками являются: политика о правах на интеллектуальную собственность и политика о соответствующем уровне безопасности, которые разбирались ранее.
Алексей Зайончковский (zedcenter@gmail.com) — инструктор академии «БМС-Консалтинг»; директор учебного центра Z-Center при факультете информатики Киевского политехнического института. Имеет сертификат CCNA