Риски удаленной работы

Оценка рисков для системы информационной безопасности — процесс непрерывный, требующий рассмотрение внутреннего и внешнего контекста. Сейчас контекст стремительно меняется: сотрудники вынуждены работать из дома. Соответственно, изменились и риски. Рассмотрим подробнее, как стандарт ISO 27001 помогает ими управлять.

Что входит в область управления стандарта

Стандарт ISO 27001 предназначен для обеспечения конфиденциальности, целостности и доступности информации компании (трех принципов управления информацией), а также направлен на соблюдение требований законодательства. Меры, предусмотренные стандартом, призваны защитить ваши данные от киберпреступлений, от неправомерного использования, кражи и других угроз.

• Конфиденциальность. Примером обеспечения конфиденциальности может быть онлайн-транзакция, проводимая с использованием безопасных методов, таких как использование шифрования, при котором информация защищается с помощью протокола HTTPS.
• Доступность. Например, портал онлайн-банкинга позволит клиентам банка получать доступ к своим счетам в любое время суток.
• Целостность. Примером может служить достоверность и полнота информации о финансовом счете клиента, например, банковского счета и личных данных, необходимых для совершения банковских операций.

Стандарт ISO 27001 охватывает эти три компонента.

Информационные активы компании

В выявлении рисков, которые могут повлиять на конфиденциальность, целостность и доступность информации, поможет список информационных активов. По оценкам специалистов, которые проводят аудиты систем управления информационной безопасностью, в среднем учитывается лишь 30-50% активов. Актив — это все, что может представлять ценность для организации и поэтому требует защиты. Для идентификации активов, нужно иметь в виду, что информационная система состоит не только из аппаратного и программного обеспечения. Например люди, работающие в компании, рассматриваются в стандарте как актив. Виды активов в рамках системы управления информационной безопасностью:

• инфраструктура (IT/оборудование)
• люди
• организация
• процессы
• информация
• приложения, программы

Что угрожает активам?

Угроза может нанести вред этим активам, например, нарушить информационные процессы и системы и, следовательно, причинить ущерб организации в целом. Угрозы могут быть естественного или человеческого происхождения и могут быть случайными или преднамеренными. Все случайные и преднамеренные источники угрозы должны быть идентифицированы. Угроза может возникнуть внутри или снаружи организации. Примеры угроз: кража, поломки, неправильное использование. Например, угрозы, связанные с использованием ноутбука:

• Кража
• Пролив воды
• Попадание частиц пищи во внутренние части ноутбука
• Падение
• Утеря
• Риск оставить в самолете
• Скачки электричества

Кроме того, следует учитывать уязвимости системы управления данными. Так, для компании в целом уязвимостью могут являться пробелы в политике управления данными. А применительно к устройству — ноутбуку — уязвимости следующие: предмет представляет интерес для воров; принадлежность предмета определенному лицу, например, генеральному директору. Некоторые угрозы могут затрагивать более одного актива. В таких случаях они могут оказывать различное влияние в зависимости от того, какие активы затронуты.

Оценка рисков с точки зрения возможных последствий.

Должны быть разработаны критерии оценки риска для информационной безопасности организации с учетом следующих моментов:

• стратегическая ценность деловой информации;
• критичность задействованных информационных активов;
• эксплуатационная и коммерческая важность доступности, конфиденциальности и целостности информации;
• ожидания и восприятие заинтересованных сторон;
• репутационные потери в связи инцидентами.

Оценку рисков следует проводить с учетом вероятности наступления риска и степени влияния возможных негативных последствий. Например, можно составить таблицу с параметрами: низкий, средний, высокий. Шкалу для оценки рисков каждая компания выбирает сама, исходя из потребностей. Более подробно об оценке рисков можно прочитать в нашей статье Риск-ориентированное мышление в стандартах ISO.

Особенности удаленной работы

В стандарте ISO 27001 есть раздел A.6.2.2 «Мобильные устройства и дистанционная работа» (Mobile devices and teleworking). В нем прописаны требования к управлению безопасностью процессов удаленной работы, начиная от политики, программы удаленной работы и заканчивая измерениями этих процессов.

Для удаленной работы существует три сценария:

• Люди работают из дома или из места, которое не является их домом или организацией (например, кафе, гостиницы, самолеты и т. д.)
• Люди используют стационарные или мобильные устройства (например, ПК, ноутбуки, планшеты, смартфоны и т. д.)
• Люди используют публичные или частные сети связи (например, интернет и экстранет).

Знание этих сценариев имеет решающее значение для выявления наиболее вероятных ситуаций, которые могут поставить вашу информацию под угрозу. В связи с переходом многих сотрудников на удаленную работу на первый план выходят угрозы, связанные с:

• хранением и управлением данных в облачных хранилищах;
• утечкой и кражей данных;
• несанкционированным доступом к информационным системам;
• устаревшими устройствами веб-защиты;
• устаревшими механизмами удаленного доступа.

Необходимо рассматривать риски с точки зрения появления новых сценариев и проводить переоценку рисков в связи с увеличением вероятности событий.

Так, если в компании отсутствует электронный документооборот или применяется от случая к случаю, могут возникнуть риски не получить своевременно доступ к информации, например, к договорам с клиентами, операционным планам и записям, которые хранятся в виде бумажных документов в офисе.

Массовый переход на системы для онлайн-конференций выявили их уязвимости — а именно отсутствие должной защиты конфиденциальных данных, что может представлять угрозу для организаций. Конфиденциальность также подвержена новым рискам: ведь данные, с которыми работают сотрудники в домашних условиях, с большей вероятностью могут быть раскрыты посторонним лицам.

Может нарушиться и целостность информации — она может быть повреждена и изменена из-за незнания сотрудниками новых инструментов, с которыми им пришлось работать вне офиса.

Если к переходу на удаленную работу организация не обеспечила достаточный ресурс для обеспечения средств хранения информации (серверов, облачной среды), а также не внедрила меры по защите хранящейся информации, не провела обучение сотрудников, могут возникнуть риски для:

• целостности информации (она может быть по ошибке изменена)
• конфиденциальности (такая система не обеспечивает защиту от несанкционированного доступа)
• доступности (сотрудники не могут получить доступ к нужным документам удаленно).

Таким образом, изменение контекста и процессов компании при переходе на удаленную работу требует пересмотра рисков, связанных с информационной безопасностью.

Понравилась эта статья? Интересуют стандарты ISO и системы менеджмента? Подпишитесь на нашу рассылку и регулярно получайте полезную информацию об изменениях в стандартах, разъяснения от аудиторов SGS и примеры лучших практик.

О КОМПАНИИ SGS

Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 94 000 сотрудников.

Сегодня огромное количество компаний практикуют привлечение удаленного персонала. Благодаря развитию технологий в процессе взаимодействия с сотрудником на расстоянии, как правило, трудностей не возникает. Общение ведется с помощью обычной телефонной связи или IP-телефонии, в формате переписки, звонков и видео-конференций при помощи всевозможных мессенджеров, таких как Skype, Viber, MSLync и других.

Результат выполнения задач принимается посредством электронной почты и иных Интернет-ресурсов. Для работы удаленно подходят практически все специальности, выполняющие свои функции с помощью компьютера, это программисты, аналитики, пиарщики, редакторы, верстальщики, дизайнеры, маркетологи, журналисты и многие другие специальности.

В то время как удаленная работа имеет свои несомненные преимущества для обеих сторон, работодатель при этом может столкнуться с некоторыми трудностями и рисками.

Например:

·осуществление контроля и координации рабочего процесса на расстоянии;

·контроль соблюдения сроков выполнения работы или, в зависимости от специфики работы, присутствие сотрудника в установленное время на своем рабочем месте;

·учет количества трудозатрат на выполнение поставленных задач;

·риски, связанные с нарушением информационной безопасности и многие другие.

Проблемы удаленной работы становятся актуальны и для офисных сотрудников, когда те уезжают в длительные командировки.

Для решения перечисленных задач и превращения сотрудничества удаленного формата в плодотворное, созданы специальные технические решения: системы постановки задач, инструменты для удаленной работы, программы для контроля времени и обеспечения информационной безопасности.

Разработки SearchInform— «Контур информационной безопасности» и «Worktime Monitor» — позволяют контролировать работников вне зависимости от физического расположения их рабочих мест.

КИБ SearchInform выполняет комплексный контроль и анализ всех потоков информации, а также производит мониторинг активности пользователей. Продукт SearchInform «WorkTime Monitor» специализируется на учете рабочего времени. По сути, используя эти или подобные им инструменты, сможет получать информацию обо всем, что происходит на ПК работников, находящихся в корпоративной сети или за ее пределами.

Работодателю необходимо видеть эффективность труда персонала и оградить компанию от рисков, связанных с утечкой конфиденциальной информации. Если сотрудников в офисе можно в некоторой степени контролировать лично — проводить разъяснительные беседы, налаживать личные доверительные отношения, с целью профилактики появления инсайдеров, то с удаленными сотрудниками такая работа не возможна. Здесь необходим жесткий контроль. К примеру, можно делать скриншоты с экрана ПК сотрудника, выполнять запись ведущихся разговоров или подключение к ним в режиме реального времени, отслеживать передачу информации и все используемые приложения и т.д. Важно, осуществлять контроль незаметно для пользователя, не отвлекая и не демотивируя его.

В продуктах SearchInform есть скрытый режим агента, который дает возможность осуществлять контроль, не отвлекая работника. При этом, все модули систем SearchInform способны работать удаленно без каких-либо потерь в функциональности. В таком случае агент используемой системы собирает информацию на ПК или ноутбуке и сохраняет ее на локальном диске. Собранные данные передаются на сервер с помощью защищенного соединения. Если же связь отсутствует, информация станет доступной, как только компьютер будет подключен к сети.

Для контроля работы удаленных сотрудников важна возможность гибких настроек выбранного ПО. К примеру, агентов перехвата SearchInform можно заранее настроить на определенные условия: запись только разговоров сотрудника или конкретных каналов обмена информацией, задать график контроля, выполнять мониторинг при работе в определенных приложениях или только при активности рабочей локальной записи пользователя и мн. др. Создание уникальных условий для каждого отдельно взятого сотрудника существенно повышает эффективность контроля.

Благодаря современным технологиям, удаленная работа на сегодняшний день может быть практически приравнена к офисной. Это позволяет работодателю полноценно использовать все плюсы данного формата сотрудничества, не переживать за информационную безопасность компании и своевременный положительный результат. Учитывая все вышеперечисленные факторы, можно предположить, что в будущем рассматриваемый формат трудовых отношений может превратиться из «опции» в основную их форму.