ISO/EIC 17799:2000
9.8 Мобильные компьютеры и средства удаленной работы
Цель: Гарантировать безопасность информации при использовании мобильных компьютеров и средств удаленной работы.
Вводимые меры безопасности должны соответствовать рискам, связанным с этими методами работы. При использовании мобильных компьютеров необходимо учесть риск, связанный с работой в незащищенной среде, и принять соответствующие защитные меры. При использовании средств удаленной работы в организации необходимо создать защиту места удаленной работы и обеспечить наличие соответствующих мер для данного вида работы.
9.8.1 Мобильные компьютеры
При использовании мобильных вычислительных средств (например, ноутбуков, карманных компьютеров и мобильных телефонов) необходимо соблюдать особые меры предосторожности, чтобы не допустить компрометирования информации, принадлежащей организации. Необходимо принять официальную политику, учитывающую риск, связанный с использованием мобильных компьютеров, и в частности с работой в незащищенной среде. К примеру, такая политика должна включать требования к физической защите, контролю доступа, криптографическим методам, резервному копированию и защите от вирусов. Кроме того, эта политика также должна включать в себя правила подключения мобильных устройств к сетям и рекомендации по использованию этих устройств в общественных местах.
При использовании мобильных вычислительных средств в общественных местах, переговорных комнатах и других незащищенных помещениях за пределами территории организации необходимо соблюдать осторожность. Подобные устройства должны быть защищены от несанкционированного доступа и раскрытия хранящейся и обрабатываемой ими информации, например, с помощью криптографических средств (см. раздел 10.3).
При использовании подобных устройств в общественных местах надо следить за тем, чтобы посторонние не смогли подсмотреть важную информацию. Необходимо установить средства защиты от злонамеренных программ и своевременно обновлять их (см. раздел 8.3). Следует обзавестись оборудованием для быстрого и простого резервного копирования информации. Резервные копии должны иметь адекватную защиту, в частности, от кражи и потери информации.
Необходимо обеспечить должный уровень защиты при использовании мобильных устройств, подключенных к сетям. Удаленный доступ к информации организации через общественную сеть с помощью мобильных вычислительных устройств должен осуществляться только после успешной идентификации и аутентификации и при наличии соответствующих механизмов контроля доступа (см. раздел 9.4).
Кроме того, мобильные вычислительные средства должны быть физически защищены от кражи, в особенности в том случае, если их оставляют в автомобилях и других транспортных средствах, номерах гостиниц, конференц-залах и переговорных комнатах. Устройства, содержащие критичную и/или конфиденциальную информацию, не должны оставаться без присмотра. По возможности их следует хранить в запертом помещении или защищать с помощью специальных замков. Дополнительную информацию о физической защите мобильного оборудования можно найти в разделе 7.2.5.
Необходимо провести обучение сотрудников, использующих мобильные вычислительные средства, чтобы привлечь их внимание к дополнительным рискам, связанным с этими методами работы, и необходимым мерам.
9.8.2 Средства удаленной работы
В средствах удаленной работы используются технологии связи, позволяющие отдельным
66 |
© ISO/EIC 2000 |
|
© Перевод компании Информзащита 2004 |
ISO/EIC 17799:2000
сотрудникам работать удаленно, находясь в фиксированном месте за пределами организации. Территория, где происходит удаленная работа, должна иметь необходимую защиту – в частности, от кражи оборудования и информации, несанкционированного раскрытия информации, несанкционированного удаленного доступа к внутренним системам организации и неправомерного использования технических средств. Применение средств удаленной работы должно санкционироваться и контролироваться руководством. Данный метод работы должен обеспечиваться соответствующими мерами.
Организации рекомендуется разработать политику, правила и стандарты для управления удаленной работой. Использование средств удаленной работы должно разрешаться только в том случае, если эти средства обладают необходимыми функциями для обеспечения безопасности и соответствуют принятой в организации политике безопасности. Рекомендуется рассмотреть следующее:
a)нынешняя физическая безопасность места, где будет происходить удаленная работа, в том числе физическая безопасность здания и ближайшего окружения;
b)предполагаемые средства удаленной работы;
c)требования к безопасности связи с учетом необходимости удаленного доступа к внутренним системам организации, конфиденциальности информации, которая будет использоваться в работе и передаваться по каналу связи, а также конфиденциальности внутренней системы;
d)угроза несанкционированного доступа других людей, находящихся в том же помещении (например, родственников и друзей), к информации или ресурсам.
Ниже перечислены условия и меры, о которых необходимо позаботиться:
a)наличие необходимого оборудования и мебели для хранения средств удаленной работы;
b)определение разрешенных работ, рабочих часов, классификации информации, которая может использоваться, и внутренних систем и сервисов, право доступа к которым имеет удаленный работник;
c)наличие необходимого коммуникационного оборудования и методов защиты удаленного доступа;
d)физическая безопасность;
e)нормы и правила, касающиеся доступа родственников и посетителей к оборудованию и информации;
f)поддержка и обслуживание оборудования и программного обеспечения;
g)процедуры резервного копирования и обеспечения непрерывности бизнеса;
h)аудит и мониторинг безопасности;
i)отзыв полномочий, аннулирование прав доступа и возврат оборудования по окончании удаленной работы.
© ISO/EIC 2000, |
67 |
© Перевод компании Информзащита 2004 |
|