6.2.2 Дистанционная работа
Мера обеспечения ИБ
Должна быть определена политика и реализованы поддерживающие меры безопасности для защиты информации, доступ к которой, обработку или хранение осуществляют в местах дистанционной работы.
Руководство по применению
В организациях, предусматривающих возможность дистанционной работы, должна издаваться политика, определяющая условия и ограничения для дистанционной работы. В тех случаях, когда это применимо и разрешено законом, следует рассмотреть следующие вопросы:
- a) существующая физическая защита удаленного места работы с учетом физической безопасности здания и местности;
- b) предлагаемая физическая среда дистанционной работы;
- c) требования к безопасности связи с учетом необходимости удаленного доступа к внутренним системам организации, чувствительности этих систем, а также с учетом информации ограниченного доступа, к которой будут осуществлять доступ и которую будут передавать по линиям связи;
- d) предоставление доступа к виртуальному рабочему столу, который предотвращает обработку и хранение информации на личном оборудовании;
- e) угроза несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в этом же помещении, например членов семьи или друзей;
- f) использование домашних сетей и установление требований или ограничений на конфигурацию сервисов беспроводных сетей;
- g) политики и процедуры для предотвращения споров, касающихся прав на интеллектуальную собственность, разработанную на личном оборудовании;
- h) доступ к личному оборудованию (для проверки его безопасности или в ходе расследования) может быть запрещен законодательством;
- i) лицензионные соглашения на программное обеспечение, в соответствии с которыми организация может нести ответственность за лицензирование клиентского программного обеспечения на личных рабочих станциях работников или внешних пользователей;
- j) требования к защите от вредоносных программ и межсетевым экранам.
Руководящие принципы и меры, которые следует учитывать, должны включать в себя:
- a) предоставление подходящего оборудования для дистанционной работы и устройств хранения в тех случаях, когда использование личного оборудования, не находящегося под контролем организации, не допускается;
- b) определение разрешенных работ, часов работы, категорий информации, которую можно обрабатывать, а также определение внутренних систем и сервисов, к которым разрешен доступ дистанционному работнику;
- c) предоставление соответствующего коммуникационного оборудования, включая способы обеспечения безопасного удаленного доступа;
- d) физическую безопасность;
- e) правила и рекомендации по доступу членов семьи и посетителей к оборудованию и информации;
- f) предоставление технической и программной поддержки и обслуживания;
- g) страхование;
- h) процедуры резервного копирования и обеспечения непрерывности бизнеса;
- i) аудит и мониторинг безопасности;
- j) аннулирование полномочий и прав доступа, а также возврат оборудования по окончании дистанционной работы;
- k) предоставление доступа к корпоративной информации.
Дополнительная информация
К термину "дистанционная работа" относятся все формы работы вне офиса, в том числе нетрадиционная рабочая среда, такая как "работа на дому", "гибкое рабочее место" и "виртуальное рабочее место".
