Советы подготовлены в стиле «Инструкции по выживанию бизнеса на удаленке» — ничего лишнего, только практические, проверенные жизнью рекомендации.

Прежде всего материал будет полезен работодателям!

Общая ситуация в нескольких строках


По всему миру в хоум-офис переехали бухгалтеры, отделы продаж, маркетологи, юристы. Туроператоры перевели почти всех сотрудников на дистанционную работу. Отделы продаж автомобильных центров перешли на дежурный режим работы, консультируя своих клиентов исключительно по телефону, а фронт-офисы в эти дни прекратили работу.

Из-за коронавируса на удаленный режим работы перешли и государственные учреждения (школы и университеты, Почта России, военкоматы), министерства и даже международные организации, например, ООН.

Прелюдия…




Март 2020 года охарактеризовался взрывным вводом режима «WFH» — work from home, в переводе на русский — «работаем удаленно из дома». ИТ-гигант — компания Microsoft отправила работать из дома более 80% сотрудников. Amazon, Facebook, Google, Uber не стали исключением: до 76% их работников стали трудиться удаленно. 12 тысяч подчиненных штаб-квартиры Apple в Калифорнии перешли на дистанционную работу.

Российский бизнес — это другая планета. По аналитическим данным Forbes только 25% отечественных компаний до самоизоляции работали с фрилансерами (разработчики, дизайнеры, менеджеры по продажам, рекрутеры). В США, для сравнения, эта цифра составляет 43%.
Поэтому в текущей ситуации пандемии и принудительным #оставайтесьдома переход на удаленную работу особенно «мучителен». Компании просто не были готовы к организации и быстрому выстраиванию бизнес-процессов дистанционной работы.

Но если все-таки бизнес-процессы в компании удалось наладить, то следующий шаг – обеспечить безопасность информации. Предлагаем вашему вниманию сводку требований ФСТЭК и Агентства Европейского Союза по кибербезопасности (ENISA), соблюдение которых позволит снизить вероятность негативных последствий для вашей компании при удаленной работе.

ТРЕБОВАНИЯ ПО КИБЕРБЕЗОПАСНОСТИ ДЛЯ РАБОТАЮЩИХ В УДАЛЕННОМ РЕЖИМЕ


Требования к работодателям
EU Agency for Cybersecurity* ФСТЭК России**
Обеспечить наличие достаточных ИТ-ресурсов для поддержки персонала в случае возникновения технических проблем Проведение инструктажа работников субъектов критической информационной инфраструктуры, осуществляющих удаленный доступ к объектам критической информационной инфраструктуры, о правилах безопасного удаленного взаимодействия с такими объектами
Предоставлять работникам соответствующую информацию, например о контактных лицах
Обеспечить на устройствах доступа современное программное обеспечение безопасности и обновления, а также регулярно напоминать пользователям о необходимости проверки обновлений. Желательно также предусмотреть схему замены вышедших из строя устройств
Предоставлять, где это возможно, корпоративные компьютеры/устройства работникам для удаленной работы Определение перечня средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники (ноутбуков, планшетных компьютеров, мобильных устройств), которые будут предоставлены работникам для удаленной работы
Определение перечня информации и информационных ресурсов (программ, томов, каталогов, файлов), расположенных на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удаленный доступ
Назначение минимально необходимых прав и привилегий пользователям при удаленной работе
Идентификация удаленных СВТ по физическим адресам (МАС-адресам) на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удаленный доступ, предоставление им доступа к информационным ресурсам объектов критической информационной инфраструктуры методом "белого списка&quot
Выделение в отдельный домен работников, управление которым должно осуществляться с серверов субъекта критической информационной инфраструктуры, и присвоение каждому удаленному СВТ сетевого (доменного) имени
Доступ к порталам приложений должен быть защищен с помощью механизмов многофакторной аутентификации Обеспечение двухфакторной аутентификации работников удаленных СВТ, при этом один из факторов обеспечивается устройством, отделенным от объекта критической информационной инфраструктуры, к которому осуществляется доступ
Предпочтительна взаимная аутентификация (например, от клиента к серверу и от сервера к клиенту)
Все корпоративные бизнес-приложения должны быть доступны только через зашифрованные каналы связи (SSL VPN, IPSec VPN). Убедитесь, что корпоративное VPN-решение масштабируется и способно поддерживать большое количество одновременных соединений Организация защищенного доступа с удаленного СВТ к серверам объектов критической информационной инфраструктуры с применением средств криптографической защиты информации (VPN)
Антивирус/AntiMalware ПО должно быть установлено и полностью обновлено Применение на удаленных СВТ средств антивирусной защиты информации, обеспечение актуальности баз данных признаков вредоносных компьютерных программ (вирусов) на удаленных СВТ путём их ежедневного обновления
BYOD устройства, должны быть проверены с точки зрения безопасности с использованием платформ, обеспечивающих контроль политик безопасности на устройстве Исключение возможности установки работником программного обеспечения на удаленное СВТ, кроме программного обеспечения, установка и эксплуатация которого определена служебной необходимостью, реализуемое штатными средствами операционной системы удаленного СВТ или средствами защиты информации от несанкционированного доступа
Обеспечение мониторинга безопасности объектов критической информационной инфраструктуры, в том числе ведения журналов регистрации действий работников удаленных СВТ и их анализа
Блокирование экрана, если вы работаете в общем пространстве Блокирование сеанса удаленного доступа пользователя при неактивности, более установленного субъектом критической информационной инфраструктуры времени
Обеспечить наличие политик реагирования на инциденты, связанные с безопасностью и утечкой личных данных, и надлежащее информирование о них работников Обеспечение возможности оперативного реагирования и принятия мер защиты информации при возникновении компьютерных инцидентов
Обеспечение безопасных видеоконференций для корпоративных клиентов (как аудио/видео возможности)
Обеспечить, чтобы любая обработка работодателем данных о персонале в контексте телеработы (например, учет рабочего времени) соответствовала правовым рамкам ЕС в области защиты данных
Требования к работникам
Исключение возможности эксплуатации удаленных СВТ посторонними лицами.
Используйте корпоративные (а не персональные) компьютеры там, где это возможно Не рекомендуется использование личных средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники.
Подключайтесь к Интернету через защищенные сети; избегайте открытых сетей.
Избегайте обмена конфиденциальной корпоративной информацией (например, по электронной почте) через небезопасные соединения.
Используйте корпоративные интранет-ресурсы для обмена рабочими файлами
Будьте осторожны с любыми электронными письмами, в которых упоминается о коронавирусе, поскольку это могут быть попытки фишинга или мошенничество
Данные, находящиеся на локальных носителях, должны быть зашифрованы
Не публикуйте URL виртуальной встречи в социальных сетях или других общественных каналах.

** РЕКОМЕНДАЦИИ ФСТЭК России по обеспечению безопасности объектов критической информационной ин-фраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры (Письмо ФСТЭК России от 20 марта 2020 г. N 240/84/389)

* EU4Digital
Tips for cybersecurity when working from home
The EU Agency for Cybersecurity shares its top tips for teleworking in times of Covid-19
Published on March 24, 2020