Данная статья является продолжением статьи из предыдущего номера, и в ней мы будем рассматривать политики безопасности для сотрудников, работающих удаленно. Как уже говорилось в первой части статьи, это рабочие шаблоны политик безопасности, которые могут быть внедрены в компании с минимальными изменениями. Данный набор политик представляет собой готовую функциональную политику только в том случае, если стандартные корпоративные политики, описанные ранее, такие как политика рабочих станций, политика антивирусной защиты, политика электронной почты и т. д., уже есть. При отсутствии остальных первоочередных политик эта будет непригодна к использованию, так как она покрывает только разницу в рисках между корпоративной и дистанционной средой работы. Аудиторией для всех следующих политик будут сотрудники компании, работающие дистанционно.
Политики хранения информации и резервного копирования
Резервное копирование. Удаленные сотрудники должны самостоятельно выполнять резервное копирование своих систем по сети. Если сетевое резервное копирование недоступно, компания обязана обеспечить пользователей устройствами для локального резервирования. В случае локального резервирования сотрудник должен сохранять копии в безопасном месте вне своего рабочего компьютера как минимум две недели. Если резервные копии содержат конфиденциальную информацию, они должны быть зашифрованы с помощью программного решения, утвержденного отделом информационной безопасности.
Политика описывает необходимость резервного копирования даже в тех случаях, когда корпоративная сеть недоступна, и покрывает риски доступности и целостности информации в случае отказа основного устройства хранения (такого, как ноутбук). В лучшие практики входит хранение копий важной, и особенно конфиденциальной, информации вне своего места работы в надлежащем виде. Компания должна издать процедуры запроса на выдачу средств хранения информации, процедуры создания резервных копий, как через корпоративную сеть, так и без нее.
Маркировка и хранение конфиденциальной информации. Хранение конфиденциальной информации на магнитных, оптических и EEPROM-носителях должно маркироваться должным образом по максимальному уровню конфиденциальности. Такие носители, если данные на них не зашифрованы и сейчас не используются, должны храниться в закрытых сейфах. Смарт-карты и токены являются исключением из правил.
Логично, что для работы этой политики необходимо сначала классифицировать информацию и создать стандарты, которые четко оговаривают, какая информация является приватной, и какая — конфиденциальной. Кроме того, нужно указать, как именно конфиденциальная информация должна маркироваться на разных носителях.
Автоматическая синхронизация устройств. Системы, которые обмениваются информацией автоматически, например механизмы синхронизации файлов для мобильных компьютеров, не должны быть включены до осмотра и утверждения со стороны отдела информационной безопасности.
Эта политика защищает информацию от неавторизированного копирования и доступа. Должна быть разработана процедура подачи устройства на осмотр отделом ИБ.
Политики коммуникаций
Дата и время. Сотрудники, работающие удаленно, должны самостоятельно следить за правильными установками даты и времени.
Реализация этой политики уменьшает количество инцидентов, связанных с отказами в доступе; протоколы аутентификации, такие как Kerberos, крайне строги в отношении времени и поэтому не предоставят пользователю с неправильными настройками времени доступ к ресурсам. Еще одним важным аспектом является ведение журналов. При возникновении нештатной ситуации с точки зрения сетевой безопасности и при неправильных установках времени восстановить события по журналам регистрации событий с нескольких устройств не удастся.
Использование модемов. Сотрудники не должны оставлять без присмотра устройства с включенным модемом и активным приложением для удаленного подключения, если у них нет системы контроля доступа, утвержденной отделом информационной безопасности. Работники не должны устанавливать какие-либо системы коммуникаций, которые разрешают анонимный входной доступ.
Это короткая политика работы с модемами для защиты от внешних сетевых атак, а также неавторизированного доступа в корпоративную сеть под прикрытием профиля сотрудника. К политике прилагается процедура инициирования и разрыва модемного соединения.
Дозвон в сеть компании. Все входящие линии дозвона в сеть компании оснащены дополнительными системами безопасности, через которые должен пройти любой пользователь для предоставления авторизации. Дополнительная система защиты должна проводить аутентификацию на основе динамических технологий, которые утверждены отделом информационной безопасности.
Это снижение рисков неавторизированного доступа путем усиления контроля доступа динамическими средствами аутентификации.
Доступ в Интернет. Сотрудники не должны устанавливать свои межсетевые экраны, серверы доступа или маршрутизаторы на рабочем месте. Разрешенными являются только устройства, утвержденные и настроенные сотрудниками отдела информационной безопасности. Подключение к Интернету должно осуществляться только для подключения к устройствам компании и только с использованием технологии виртуальных частных сетей. Использование ресурсов Интернета должно осуществляться только через корпоративную систему безопасности с помощью утвержденного программного обеспечения.
Данная политика нейтрализует целый ряд рисков, среди которых: использование своих неавторизированных и не удовлетворяющих требованиям безопасности устройств, использование технологии split-tunneling, когда пользователь подключается туннелем к компании для получения доступа к корпоративным ресурсам, а доступ к ресурсам Интернета получает напрямую. В таком случае при успешной атаке из Интернета на компьютер сотрудника атаке подвергается и вся корпоративная сеть. Компьютер сотрудника является просто промежуточным звеном между атакующим и сетью компании.
Кабельные и DSL-модемы. Сотрудники не должны осуществлять подключения с помощью кабельных, DSL или других модемов с высокоскоростной технологией передачи данных без настроенного межсетевого экрана и программного обеспечения виртуальных частных сетей.
Политика защищает уязвимые места настроек по умолчанию на устройствах для удаленного доступа. К этой политике должны быть прикреплены стандарты для виртуальных частных сетей, процедуры настройки VPN и стандарт конфигурации межсетевого экрана.
Радиосети. Сотрудники не имеют права создавать какие-либо незашифрованные соединения для передачи данных с использованием технологий, основанных на электромагнитном излучении. Применение нестандартных протоколов передачи не заменяет шифрования.
Политика закрывает уязвимость физического уровня самой технологии беспроводных сетей. При незашифрованном соединении данные могут быть легко подслушаны и скопированы. Для работающих удаленно идеальным является использование IPsec, так как зоны бесплатного беспроводного доступа не предоставляют никакой защиты данных.
Другие каналы. Любые не указанные в документе соединения, в том числе типа точка-точка или к частным сетям, которые могут быть открыты с помощью мобильных устройств, являющихся собственностью компании или содержащих информацию компании, запрещены к использованию без соответствующего письменного разрешения отдела информационной безопасности.
Политика подытоживает все возможные способы использования сети и является аналогом правила implicit deny в настройках межсетевых экранов. Таким образом, все, что прямо не разрешено, — запрещено. Основной целью является запретить создание одноранговых сетей между коммуникаторами или ноутбуками. Таким образом предотвращается неавторизированный доступ и утечка информации путем копирования не только того, что необходимо.
Разговоры по телефону. Сотрудники должны избегать обсуждения конфиденциальной информации по телефону. В случае если такое обсуждение необходимо, сотрудник должен убедиться в безопасности окружения и передать только ту часть информации, которая необходима для выполнения работы. Конфиденциальная информация не должна передаваться с использованием режима громкоговорителя. В случае незашифрованного канала связи запрещено передавать конфиденциальную информацию, используя мобильные или беспроводные телефоны.
Эта политика направлена на усиление бдительности персонала при разговорах по телефону и снижение рисков утечки конфиденциальной информации с помощью атак методами социальной инженерии. Кроме того, политика оговаривает уязвимости незашифрованной беспроводной телефонии.
Голосовая почта. Запрещено оставлять сообщения, содержащие конфиденциальную информацию на серверах голосовой почты, которые не принадлежат компании.
Про голосовую почту как метод передачи и хранения информации очень часто вообще забывают. Для того чтобы эта политика работала, опять-таки необходимо, чтобы сотрудники четко понимали, какая информация является конфиденциальной, а какая нет.
Политики системного управления
Устройства, выданные компанией. Сотрудники, которые работают вне территории компании, должны использовать только компьютерные и сетевые устройства, принадлежащие компании. Исключения возможны только при условии утверждения такого оборудования ИТ-службой и отделом информационной безопасности.
Эта политика нейтрализует все возможные ситуации аппаратной несовместимости и несоответствие требованиям программного обеспечения. Кроме того, политика гарантирует использование только проверенных и защищенных в соответствии с требованиями стандартов систем. Ссылки на стандарты, естественно, должны быть включены в документ.
Системы контроля доступа. Сотрудники, работающие удаленно, не должны использовать оборудование, на которое не установлены и/или на котором не настроены системы контроля доступа компании, утвержденные отделом информационной безопасности.
Это очевидное ограничение для защиты от неавторизованного доступа.
Системы для дистанционной работы. Дистанционные сотрудники могут использовать для работы только аппаратное, программное обеспечение и сетевое оборудование, предоставленное компанией. Исключения возможны только при условии утверждения таких систем ИТ-службой и отделом информационной безопасности. Сотрудники также не должны приносить собственные устройства на территорию компании без соответствующего разрешения.
Политика реализует меры против использования неизвестного программного обеспечения, которое может дестабилизировать работу системы, создать конфликты с другими приложениями и содержать опасный код. В остальном она дополняет политику относительно устройств, выданных компанией. Отдельным утверждением запрещается вносить на территорию компании потенциально опасные (например, инфицированные) устройства, которые принадлежат сотрудникам.
Изменения в настройках операционной системы и программного обеспечения. Сотрудники не имеют права изменять системные параметры операционной системы или устанавливать новое программное обеспечение на оборудование, выданное компанией. Если такие изменения необходимы, их должен осуществлять персонал ИТ-службы, используя инструменты удаленного доступа.
Эта политика поддерживает целостность системы. Для ее работы необходимы стандарты конфигураций рабочих станций, смартфонов или любых других клиентских компьютерных устройств.
Изменение аппаратного обеспечения. Сотрудникам запрещено заменять или добавлять аппаратные компоненты в компьютерных системах без ведома и авторизации службы Help Desk.
Модернизацией и починкой компьютерной техники должны заниматься особые специалисты. В противном случае может возникнуть ситуация, когда ремонтировать уже поздно, остается только менять.
Загрузка программного обеспечения. Сотрудникам запрещено без соответствующего разрешения загружать какое-либо программное обеспечение из любого источника, кроме ресурсов компании, на системы, которые содержат информацию компании.
Политика устанавливает запрет на загрузку и установку авторизованного стандартом программного обеспечения из внешних источников. Такое программное обеспечение может содержать вредоносный код, да и версии программного обеспечения, которые находятся в эталонных образах на серверах компании и в Интернете или других источниках, могут отличаться. Тогда поддержание единой системы управления конфигурациями и изменениями (а это лучшие практики от ITIL) будет усложнено.
Обладание и владение. Если компания предоставила дистанционному сотруднику аппаратные и программные средства, мебель, информацию или любые другие материалы для выполнения своих обязанностей, все права на это имущество принадлежат компании. В таком случае обладание этим имуществом дистанционным сотрудником не является владением. Все имущество должно быть возвращено для использования компанией при уходе сотрудника или по распоряжению прямого начальства.
Общими фразами эта политика говорит, что все, что дается сотруднику, дается ему на время, таким образом можно избежать недоразумений при изымании имущества компании при увольнении сотрудника.
Ответственность за собственность компании. Выдавая сотруднику аппаратные и программные средства, мебель, информацию или любые другие материалы для дистанционной работы, компания принимает все риски касательно утраты или повреждения этой собственности, кроме случаев утраты или повреждения из-за халатности сотрудника. Компания полностью принимает все риски поломки, связанные с нормальным использованием собственности.
Эта политика, в отличие от всех остальных, защищает не компанию от сотрудников, а сотрудников от компании. В нашей стране руководство, не связанное с информационными технологиями, полагает, что если сотруднику купили компьютер, то этот компьютер должен работать до скончания века. Мне самому часто приходилось объяснять менеджерам, что гарантировать стопроцентную работоспособность активного оборудования на заданный период времени нельзя, и часто приходилось видеть, как рядовому сотруднику говорили, что именно он сломал устройство, хотя доказательств не было. После несправедливого обвинения, а тем более штрафных санкций со стороны компании, у сотрудника пропадает всякое доверие к начальству.
Электромагнитная совместимость. В некоторых случаях использования оборудования генерируется электромагнитное излучение, которое может интерферировать с другим рабочим оборудованием. Если оборудование компании попадает под влияние или является возможной причиной интерференции, оно должно быть выключено до момента выяснения причин и появления решения для нормальной работы.
Данную политику можно не включать в общий список, это просто выражение гуманности к окружающим беспроводным сетям. Вопрос: как сотрудник узнает, что он работает в зоне интерференции? Для этого необходимо пройти соответствующее обучение.
Политики путешествий
Вынос информации. Конфиденциальная информация в любой форме записи не должна выноситься с территории компании без предварительного уведомления и разрешения владельца. Исключением является резервное копирование для передачи на хранение за пределами компании в зашифрованном виде.
Это базовое правило для обращения с конфиденциальной информацией, повышающее физическую безопасность информации.
Путешествия с конфиденциальной информацией. Сотрудники должны избегать перевозок конфиденциальной информации общественным транспортом, кроме случаев, когда информация зашифрована и на это дано разрешение непосредственного начальства.
Публичные обсуждения. Конфиденциальная информация не должна обсуждаться в ресторанах, аэропортах, транспорте или любом другом общественном месте.
Очередная мера физической безопасности. Для работы этой политики сотрудники не должны забывать про безопасность, где бы и с кем они ни находились; достичь этого крайне сложно. Введения в эксплуатацию этой политики будет недостаточно для поддержания бдительности сотрудников, помочь могут, например, специальные плакаты, которые будут развешаны в офисе компании. Отличным примером такой практики были советские плакаты «Не болтай!», можно их и взять за основу, несколько изменив в корпоративном стиле.
Конфиденциальность и багаж. При перевозке мобильных устройств, содержащих конфиденциальную информацию, сотрудники не должны сдавать их в багаж: такие устройства следует брать с собой в салон как ручную кладь.
Для аэропортов (особенно в странах СНГ) это золотое правило.
Конфиденциальная информация в твердой копии. В случае выноса конфиденциальной информации в твердой копии за территорию компании она должна сберегаться в сейфе и переноситься в кейсе с замком. Конфиденциальную информацию в твердой копии запрещено оставлять без присмотра в машине или нерабочем помещении вне компании, даже если машина или помещение закрываются.
За последние пять лет разразилось несколько скандалов в связи с кражей конфиденциальной информации из машин, и, кстати, жертвами стали аудиторы безопасности крупнейших мировых компаний, предлагающих услуги в этой области. Эти люди должны были знать такие правила, как эта политика, назубок, а оказалось, что профессионалов грабили из-за их некомпетентности.
Отправка конфиденциальной информации по факсу. В случае когда конфиденциальная информация должна быть отправлена по факсу, сотрудник, который будет принимать факс, должен быть предупрежден заранее. Устройство, которое будет принимать факс, не должно быть оставлено без присмотра во время приема. Исключением является случай, когда помещение, в котором стоит устройство, закрывается на замок, и неавторизованный работник просто не сможет туда попасть, или доступ к факсу осуществляется вводом пароля. Запрещается принимать или отправлять факсы, содержащие конфиденциальную информацию, в гостиницах, интернет-кафе и других общественных местах.
Это политика для обеспечения физической пересылки конфиденциальной информации по факсу. Сотрудники отдела безопасности очень часто забывают о существовании такой технологии передачи информации и не создают соответствующие правила использования.
Политики физической безопасности
Сходство в подходе. На рабочей территории вне компании должны быть приняты меры для защиты собственности компании от повреждения, кражи или некорректного использования.
Это общее положение о безопасности имущества компании. Естественно, сотрудник не может проанализировать абсолютно все риски, просчитать все ситуации и уберечь собственность компании от всех возможных угроз, но не забывать об осторожности обязан, так как, доверяя работающим удаленно сотрудникам свое имущество, компания частично перекладывает на них ответственность за его сохранность.
Сейфы. Работающие удаленно сотрудники, которые имеют дело с конфиденциальной информацией, обязаны хранить такую информацию в сейфах. При необходимости компания обязана предоставить их.
Хранение конфиденциальной информации в сейфах — это обязательное условие физической безопасности. Лучшие практики рекомендуют хранить в сейфах не только записи личных паролей, но и картотеку контактов, ежедневники и другую информацию приватного характера.
Шредеры. Все удаленно работающие сотрудники должны иметь шредеры для уничтожения конфиденциальной информации в печатной форме. Разрешенными являются только шредеры, которые режут бумагу на мелкие части. Компания при необходимости обязана предоставить шредер. В дороге сотрудники не должны выбрасывать носители, содержащие конфиденциальную информацию, в общественные урны, такие носители должны быть сохранены и уничтожены авторизованным методом.
Эта политика становится в ряд с другими политиками для грамотного уничтожения конфиденциальной информации. В компании должен быть разработан стандарт для уничтожения информации разных типов конфиденциальности и на разных носителях.
Перенос собственности. Внос на территорию компании информационных систем, которые не принадлежат компании, и вынос систем, которые принадлежат компании, запрещен. Информационные системы, находящиеся на рабочих местах вне территории компании, не могут быть перенесены на другое рабочее место без разрешения начальства.
Это политика, отвечающая за пропускной контроль при переносе компьютерного оборудования.
Переезд на другое место работы. Если дистанционный сотрудник хочет переехать на другое рабочее место, он должен получить разрешение у своего начальства и осуществить переезд, следуя инструкциям отдела безопасности. Новое место работы должно отвечать всем требованиям дистанционного рабочего места.
Эта политика вводится для контроля сохранности всех объектов собственности компании при переезде. Отдел безопасности создает процедуру, выполнение которой минимизирует риски утери или кражи информации или какой-либо материальной собственности компании.
Позиционирование экрана. Экраны дисплеев всех систем, которые используются для обработки конфиденциальной информации, должны позиционироваться таким образом, чтобы с них нельзя было прочитать информацию, подглядывая через плечо, в окно или другим подобным способом.
Подсматривание — один из самых простых и эффективных методов взлома нетехническими методами. Зачем тратить время на обучение технологиям, методикам взлома сети, на подготовку атаки ради сомнительного результата? Жертва может сама показать всю необходимую информацию. Имея хорошее оборудование, можно незаметно сфотографировать экран ноутбука, просто проходя мимо. Для противодействия угрозам такого типа можно пользоваться защитными экранами, которые прикладываются к основному, при этом угол обзора экрана становится очень маленьким; кроме того, следует не провоцировать людей на такие поступки и не работать, например, в аэропорту с ноутбуком, сидя спиной к большому числу людей.
Итак, мы разобрали функциональную политику для удаленно работающих сотрудников. В заключение хочу еще раз сделать акцент на обучении. Написать и утвердить политики безопасности — это только четверть дела; заставить их работать — вот основная задача, и нет лучшего метода для ее решения, чем доходчиво объяснить персоналу, почему им ВЫГОДНО придерживаться политик безопасности.
Алексей Зайончковский (zedcenter@gmail.com) — инструктор академии «БМС-Консалтинг»; директор учебного центра Z-Center при факультете информатики Киевского политехнического института. Имеет сертификат CCNA