Rambler's Top100
Статьи ИКС № 3 2020
Мурад МУСТАФАЕВ  25 мая 2020

Как обеспечить безопасность бизнеса на «удаленке»

В обычной офисной жизни сотрудникам несложно соблюдать корпоративные правила информационной безопасности, а ИТ-службе – создавать для этого необходимые технические условия и осуществлять контроль. Но при переходе на удаленную работу появляется много нюансов.

Когда сотрудники работают из дома, ИТ-служба не может настроить их личные компьютеры в соответствии с требованиями информационной безопасности компании; не все программное обеспечение, установленное на личном ноутбуке сотрудника, лицензионное; нет антивирусных программ, а если есть, то они, как правило, либо бесплатные с ограниченными возможностями, либо работают в ознакомительном режиме с ограниченным временем бесплатного использования. 
В этой статье я расскажу о том, какие правила нужно ввести для сотрудников на «удаленке», чтобы снизить риски нарушения конфиденциальности корпоративных данных.

Корпоративная безопасность vs удаленная работа

В нашей привычной бизнес-жизни действуют стандарты информационной безопасности ISO 27001, используются лучшие мировые практики для достижения целей ИБ по защите информационных систем компании. Эти своды правил являются универсальными. Но можем ли мы обеспечить их выполнение в режиме удаленной работы и защитить корпоративные и личные устройства?

Ответственность

В офисе мы работаем с корпоративных устройств, а служба информационной безопасности защищает всю рабочую сеть с помощь средств защиты. О нарушениях правил ИБ сотрудником становится известно практически сразу – это позволяет принять необходимые меры и обезопасить инфраструктуру компании от угроз.

В удаленном режиме не все сотрудники работают с корпоративных ноутбуков. Поэтому отслеживать нарушение регламентов безопасности сложнее. В случае, если сотрудник работает на личном ноутбуке, важно реализовать ряд защитных мер, чтобы корпоративные данные не ушли вовне.

Что делать. Необходимо напомнить сотрудникам требования ИБ и усилить контроль: более пристально следить за SIEM-системой, тщательнее контролировать спам-систему, отбивки ИС, обеспечить согласование заявок с более глубоким контролем.

Разрешите сотрудникам использовать в удаленном режиме свои рабочие ноутбуки или VDI. Так вы точно будете уверены, что все ИБ-требования компании выполняются. Работа с личных устройств не гарантирует 100%-й безопасности и соблюдения регламентов, поскольку эти устройства сложнее контролировать.

Управление активами

Компания – это живой организм, в котором ежедневно происходят изменения, данные о пользователях подвергаются постоянному анализу и актуализации. Это важно, так как пользователи должны следить за работоспособностью порученных им информационных активов, отвечать за соблюдение требований ИБ.

Что делать. У любого актива должен быть владелец, являющийся сотрудником организации. Сотрудник, ответственный за актив, может контролировать его как из офиса, так и удаленно. Главное – проверять уровень доступа. 

При удаленном режиме работы необходимо отнестись к правам с особенным вниманием. Пользователям нужно объяснить, что доступ к информационным активам выдается после согласования руководством. Если доступ к активу отсутствует, нужно обратиться к администратору системы или в службу поддержки. 

Классификация информации

Доступ к информации в зависимости от уровня ее конфиденциальности может быть общим или ограниченным. Есть конфиденциальная информация, доступ к которой разрешен только определенному кругу лиц в компании. Так должно быть в любой организации: если данные не относятся к общедоступным, доступ к ним необходимо категоризировать. 

Что делать. Доступ к данным, как при офисном режиме работы, так и при удаленном, должен осуществляться с помощью матрицы доступа. Удаленный доступ должен быть организован посредством шифрованного VPN-канала с разграничением прав доступа, что гарантирует соблюдение принципа «у каждого свой доступ к необходимой информации».

Работа с персоналом

К сожалению, до сих пор часто бывает, что сотрудник долго скрывает, что подключался к информационным системам компании без соблюдений требований ИБ, потерял ноутбук или конфиденциальную информацию. В этом случае компания не может вовремя отреагировать на возникшие риски.

Каждый сотрудник должен быть ознакомлен с документами, которые описывают его должностные обязанности, и понимать, как вести рабочую деятельность в соответствии с требованиями ИБ, принятыми в компании. Работодатель обязан предупреждать сотрудников о возможной административной или уголовной ответственности в случае нарушения регламентов и правил информационной безопасности компании. 

Что делать. При переводе сотрудников на удаленную работу стоит освежить в памяти основные аспекты информационной безопасности компании: разослать им требования ИБ и попросить относиться к корпоративным и конфиденциальным данным с особым вниманием, а также напомнить об ответственности. Возможно, стоит выпустить новые приказы и разъясняющие документы. В документах должна быть прописана ответственность сотрудника в случае нарушения требований ИБ в удаленном режиме.

При работе с важными документами и их распространении  ответственность за них несет сотрудник (даже если документы были взломаны злоумышленниками). О малейшем подозрении, что произошла потеря конфиденциальной информации, он должен незамедлительно сообщить сотрудникам службы ИБ.

Безопасность сети

Безопасность сетевой инфраструктуры напрямую зависит от обособленности сегментов сети. Часто в организациях нет сегментации сети, никто не может разобраться в информационных системах: какие ресурсы взаимодействуют между собой и по каким протоколам. При переводе сотрудников на удаленную работу начинаются проблемы с доступом, и компания простаивает.

Что делать. Для простого администрирования и контроля рекомендуется разделить сеть организации на несколько подсетей в соответствии с их особенностями (сеть управления, DMZ и т.д.) и ограничить взаимодействие между ними, разрешив только необходимый для работоспособности организации трафик. Сетевому специалисту следует вести журнал соответствия IP-адресов, открытых портов и используемых служб для каждого сетевого узла в инфраструктуре организации. 

Сегментация позволяет разграничить права определенных групп пользователей и взаимодействие сетей. Например, менеджеры компании находятся в одной сети с доступом к определенным информационным системам компании, а группа экспертов имеет расширенные права доступа для администрирования и поддержки бесперебойной работы ИТ-систем. Таким образом снижается риск взлома «менеджерской» сети и доступа к административным ресурсам компании. Также разделение сетей способствует разграничению прав доступа к VPN, что позволяет в кратчайшие сроки перейти на удаленный режим работы, сохраняя все права доступа сотрудников к информационным системам. 

Контроль доступа

Каждый сотрудник имеет права доступа к ресурсам, необходимым для выполнения должностных обязанностей. Сложность пароля, срок его годности, блокировка при бездействии, пересмотр прав доступа (при смене должности) – все это необходимо контролировать.

Что делать. Нужно организовать возможность сброса пароля сотрудника как из офиса, так и извне его. Доступ должен осуществляться исходя из матрицы доступа. Необходимо выработать политики блокировки доступа в случае обнаружения инцидента ИБ (аномального поведения системы, взлома, перебора пароля и т.д.). Во время удаленной работы контроль за инцидентами ИБ должен быть усилен.

Обмен информацией

В офисе мы общаемся с помощью корпоративной почты, рабочих телефонов, а иногда можем подойти к коллеге и переговорить с глазу на глаз. А как быть во время удаленной работы? Конечно, невозможно не пользоваться мессенджерами, которые всегда под рукой. Просто запретить это делать бесполезно.

Что делать. К использованию некорпоративных ресурсов нужно подойти с умом и помнить азбучные правила: не забывать, что простая установка VPN-клиента и его верная настройка имитирует ваше нахождение в офисе. Для коммуникаций можно задействовать мессенджеры, но никакой конфиденциальной информации при этом не передавать, вести диалоги с коллегами лишь о каких-то общих, неконфиденциальных вопросах. 

Обмениваться «щепетильной» информацией нужно через почтовый клиент и другие защищенные корпоративные ресурсы – они для этого и созданы. Если сотрудник использовал для отправки корпоративной информации незащищенный ресурс, любой сотрудник ИБ-службы вправе возбудить инцидент.

Мониторинг

Конечно, за соблюдением требований, описанных выше, необходимо следить. Возбуждать инциденты ИБ и проводить расследования для привлечения сотрудников к ответственности. Такие меры служат не для наказания, а для повышения уровня безопасности компании и защиты корпоративных ресурсов от внешних атак. 

Осуществлять мониторинг информационных систем компании, когда сотрудники находятся в офисе в одной сети, сложно. Но еще сложнее, когда они работают удаленно, особенно если нет настроенного мониторинга ИБ и потому затруднительно определить, исходит ли трафик от сотрудника и является легитимным или же это работа злоумышленника.

Что делать. Необходимо настроить мониторинг удаленных рабочих мест и следить за соблюдением требований информационной безопасности компании. В случае обнаружения угроз сразу же возбуждать инциденты и проводить расследования.

Инструменты безопасности

Для реализации предложенных мер обеспечения корпоративной безопасности можно порекомендовать целый ряд инструментов.
  • Аутентификация. Верно настроенные групповые политики в Active Directory для централизованного управления учетными записями пользователей. Использование двухфакторной авторизации путем использования сертификатов, токенов (физических/программных) и т.д. 
  • Защита информационных ресурсов. Комплексы WAF (Web Applicatoin Firewall) для защиты веб-ресурсов компании от несанкционированных атак. Межсетевые экраны, сканирующие сетевой трафик веб-приложений и блокирующие нелегитимный трафик. Даже использование стандартных профилей (OWASP TOP 10) позволит уже неплохо обезопасить ваши ресурсы. Конечно, на первых этапах эти инструменты требуют к себе большего внимания для тонкой настройки, но это отличный продукт для защиты веб-ресурсов компании. Сканирование Ис компании с целью выявления уязвимостей помогает вовремя обнаружить «дыры» в инфраструктуре и закрыть их. Совет: сканирование стоит проводить в нерабочее время, чтобы избежать повышения нагрузки на сеть.
  • Доступ к информации. VPN (Virtual Private Network) служит для доступа к корпоративным сервисам из внешней сети. Использование VPN обеспечивает доступ к ресурсам, не подключенным к сети интернет. Интегрированный VPN с Active Directory дополнительно обезопасит ваши соединения. Не стоит забывать, что контролировать одно узкое горлышко всегда проще, чем открывать доступ в интернет всем системам компании.
  • Защита рабочих мест. Антивирусное программное обеспечение для обнаружения и профилактики заражения вирусами файловой или операционной системы. DLP-системы (Data Leak Prevention), предотвращающие утечки информации из внутреннего периметра компании. Пригодны и для контроля рабочих мест вне офиса. Управление и контроль можно осуществлять централизованно. VDI (Virtual Desktop Infrastructure), виртуальные рабочие столы. Служат для доступа к полноценному рабочему месту, для контролируемого доступа ко всем необходимым корпоративным ресурсам. Использование VDI в сочетании с двухфакторной аутентификацией – одно из самых безопасных решений для удаленной работы в корпоративной сети.
  • Мониторинг. Система SIEM (Security Information and Event Management) служит для сбора событий со всех информационных ресурсов компании. С помощью заданных правил SIEM-система умеет определять инциденты информационной безопасности. Позволяет осуществлять контроль в автоматическом режиме. Однако развертывание этого решения обходится достаточно дорого и в финансовом плане, и в плане трудозатрат: потребуются покупка самого решения, внедрение и настройка, работа специалистов отдела информационной безопасности.
При функционировании бизнеса в удаленном режиме (да и не только в удаленном), сотрудникам ИТ-службы не стоит надеяться на авось. Важно заранее продумать защиту и безопасный доступ к инфраструктуре компании. Не следует выстраивать систему безопасности, которая будет затруднять сотрудникам жизнь. Необходимо использовать проверенные и качественные решения. Верно настроенные системы и внимательное отношение сотрудников к правилам безопасности – это 70% успеха в защите инфраструктуры компании от угроз информационной безопасности.

Мурад Мустафаев, руководитель службы информационной безопасности, «Онланта» (ГК ЛАНИТ)
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!