Пожалуй, универсального рецепта тут нет, нужно первоначально оценивать риски, которые стоят перед сотрудниками, работающими с чувствительной информацией, при организации удалённой работы. Расскажу пошагово, что стоит делать, чтобы организовать дистанционную работу, максимально учитывая риски по работе системы управления информационной безопасностью организации.
Понимаем масштаб бедствия
Что стоит делать первоначально? Первое – понять, к каким информационным системам необходим доступ сотрудникам и какая чувствительная информация там содержится. Чтобы уровень информационной безопасности при удалённой работе был не ниже, чем обычно, для дальнейшего планирования мероприятий нужно понять, каким образом безопасность систем обеспечена сейчас. Третий шаг – понять, какое оборудование и средства защиты имеются в компании, какие можно получить бесплатно, а какие необходимо покупать в оперативном режиме.
Группируем по типам доступа
Второй блок работ – это разбить автоматизированные рабочие места (АРМ) по типам доступа к информации. Есть станции, которым необходим доступ к файлам, корпоративной системе, электронной почте и другим повседневным инструментам работы. А есть АРМ бухгалтеров и работников кадровой службы, которые имеют доступ к чувствительной информации, в обращении с которой действуют стандарты и применяется требования законодательства РФ в области обеспечения безопасности информации.
Следующий шаг – это понять, какие типы рабочих мест есть. Что касается мобильных устройств (включая телефоны и планшеты), с ними нет проблем: если есть возможность выдать сотруднику ноутбук, все достаточно просто. Далее нужно выделить станции, где используются специализированные инструменты работы: электронная подпись, считыватели, кардридеры, инженерные программы и т.д. После этого необходимо планировать действия по организации удалённой работы в безопасном режиме.
Предоставляем доступ…
Самое простое – это организация VPN-соединения через криптошлюз. В зависимости от типа информации, к которой необходим доступ, криптошлюз может быть сертифицирован по требованиям к безопасности информации (использовать алгоритмы шифрования в соответствии с ГОСТ и быть сертифицированным ФСБ России), с общедоступными алгоритмами c возможностью реализации на свободно-распространяемом ПО.
Что касается предоставления доступа, тут тоже есть несколько моментов. Если пользователям необходим доступ к одному конкретному веб-приложению, проще будет реализовать защиту веб-приложения и его безопасную публикацию в Интернет (например, через внедрение WAF (Web Application firewall)). Если у пользователя множество информационных систем и специализированных инструментов работы, то проще всего предоставить доступ к окружению через RDP (терминальный доступ). У такого варианта есть и минусы с точки зрения безопасности, но в целом для конечного пользователя это будет максимально привычно.
…безопасный доступ
Что касается домашнего компьютера, через который подключается пользователь, то, конечно, необходимо установить антивирусную защиту, специализированные средства криптографической защиты информации, защиту от несанкционированного доступа, защиты веб-приложений от хакерских атак. И самое главное – объяснить: если в корпоративной среде мы самостоятельно контролируем соблюдение политик по информационной безопасности, то сделать это в отношении удалённой рабочей станции пользователя значительно сложнее, поэтому задача в большей степени ляжет на удаленного сотрудника. Необходимо провести информирование при помощи корпоративных инструментов (например, вебинары)/ при личном общении службы безопасности, а также составить памятку по соблюдению требований по информационной безопасности.