четвъртък, 18 януари 2018 г.

ISO/IEC 27001/A.6.2.2 - Да работиш от разстояние - предимства и ... още нещо

Предимствата да се работи от разстояние може да са много и очаквано хубави. 
Например, ако пропадне Интернет връзката, може да си легнеш и да подремнеш.
Най-разпространено предимство е, че не ти се налага постоянно да се скатаваш от шефа.

Ако гледаме сериозно, трябва да се каже, че да се работи от разстояние понякога се налага.
Стандартът ISO/IEC 27001 обаче не се интересува от предимствата, а задава изискване този начин на работа да е сигурен, т.е. свързаните с него рискове да бъдат видяни и управлявани. 

Целта е да има защита на информацията, която се достъпва, обработва или съхранява на отдалечените места при режими на работа от разстояние. Тези режими следва да са свързани
с изрично зададени условия и ограничения. Механизмът за контрол ISO/IEC 27001/А.6.2.2 изисква да бъде разработена политика и поддържащи я мерки. Отново може и тук да се каже, че политиката и мерките, за които става дума, може да са поставени в един общ документ, който съдържа разработени от нас, за всеки конкретен случай, изисквания.

Какво може да бъде предвидено в такава политика и свързаните с нея мерки?

1. Може да не се допуска отдалечен режим на работа – изобщо или в определени случаи
2. Отдалечените места трябва да са физически добре защитени срещу проникване
3. Средата, в която се намират местата, следва да е сигурна (не се счита за криминогенна)
4. Комуникационният канал за отдалечен режим на работа да е защитен
5. Да не се ползва софуер и методи за отдалечен достъп от типа Teamwork или подобни
6. Да има защита срещу неоторизиран достъп от други лица, обитаващи мястото на работа
7. При работа да няма взаимодействие с други мрежи (вкл. безжични) намиращи се на мястото
8. При работа да не се засягат лични данни и друга чувствителна информация
9. Да не се нарушават лицензи и права, придобити от други страни
10. Може да има изисквания какви оборудване и протоколи да се ползват за работа
11. Може да са определени дни и часове, в които такава работа се допуска/не се допуска
12. Може да се посочва каква информация не може да бъде предмет на работа от разстояние
13. Може да има особености, свързани със сервизната поддръжка на ползваното оборудване
14. Може да се иска прилагане на процедури с изисквания за за backup и непрекъснатост
15. Може да се иска да бъде осигуряван достъп и условия за одити на мястото
16. Да има правила за връщане на активи и за спиране на работата от разстояние от мястото

В този дух може да се зададат и други изисквания - всяко друго смислено нещо в допъление, или вместо, горните 16 точки, ще е полезно. Стига да е постижимо, да произлиза от реално установени рискове, а не произволно измислено

петък, 12 януари 2018 г.

ISO/IEC 27001/A.6.2.1 - Mobilis in mobili



"Mobilis in mobili" (Подвижен в подвижното) беше девизът на капитан Немо с неговата подводница "Наутилус". Като че ли същия девиз, но в друг контекст, приляга отлично на сигурността, която изисква стандарта в Приложение А/А.6.2.1 при мобилните устройства.

Да оставим настрана въпроса, че няма официална дефиниция за "мобилно устройство"

Мобилните устройства, когато се ползват за нуждите на бизнеса, може винаги да се считат като източник на заплахи за сигурността на информацията. Тенденцията при тези устройства – те да стават все по-разнообразни, взе по-функционални и все повече разпространени - заостря вниманието ни към рисковете, свързани с тяхното ползване.

Най-добро решение за бизнеса е системата за сигурност на информацията да забрани ползване на всякакви мобилни устройства. Не само служебни, но и лични, докато сте на работа. Това става като в политиката за ползване на мобилни устройства се запише забрана. Най-добрата защита на информацията е да се премахват източниците на заплахи.

За съжаление, не всеки бизнес може да вземе това решение и се налага мислене за сигурност  при мобилните устройства, така че да се определят подходящи за случая мерки за защита.
Да не забравяме и това, че ползването на мобилни устройства носи доста ползи и предимства, някои от които са недостъпни за стационарните.

Мерките за сигурност следва да бъдат адекватни на очакваните рискове (като вид и като стойност, получена при оценяване) и определени от самата организация, например ...
  • да има подбор за ползване на подходящ вид мобилни устройства – такива, които имат добре развити собствени функции за защита;
  • горното ще наложи да се състави списък на разрешени за ползване марки и типове и, вероятно, ще следва опис на въведени за ползване устройства и техните ползователи;
  • изискванията за подбор, разпределението и ползването на устройствата могат да станат предмет на инспекции, проверки и одити.

 Тези мерки причисляваме към организационните, които лесно и бързо се създават, но, както знаем, още по-лесно се нарушават. Това ангажира с по-честото им наглеждане. Ясно е – няма как да се мине без мерки за защита с технически, физически, логически, административен или друг характер...

При осигуряване на защити, за да не се изпада в перфектизъм (излишни усилия и разходи), е добре да вникнем в изискванията на стандарта ISO/IEC 27001/Приложение А.1/А.6.2.1 и в указанията на ISO/IEC 27002/точка А.6.2.1.

ISO/IEC 27001/Приложение А.1/ А.6.2.1 не ни дава много – разбираме, че се иска само политика и мерки за сигурност, които да я подкрепят, когато се ползват мобилни устройства.
Тук може да се досетим, че едно ефективно решение ще е политика и мерки да се комбинират и слеят в един документ. (Да отбележим, че А.6.2.1 не изисква политиката да се документира.)

ISO/IEC 27002/точка А.6.2.1 помага да насочим вниманието си по-практично, защото там става дума за „рискове при ползване на мобилни устройства в незащитена среда“. Налага се да си зададем въпрос „Какво е незащитена среда?“ за нормалните условия на бизнеса ни. И втори въпрос – „Конкретен тип незащитена среда какви заплахи генерира?“. Така ще имаме данните, които са ни необходими за оценяване, което ще ни даде рисковете (вероятност и последици).

От отговорите на въпросите и от оценката ще зависи колко и какви мерки ще търсим. Ще се наложи да си помогнем с указанията на ISO/IEC 27002/точка А.6.2.1, но помним, че те не ни задължават с нищо. В сегашното си издание ISO/IEC 27001 ни дава предимството ние само да си „измислим“ най-подходящите за нас, включително с отчитане на нужния ресурс, защити.
Тривиално решение е да се забрани ползването на мобилни устройства в незащитена среда.

Но, ако търсим защити, очаквано ще е да преценим като подходящи някои от тези решения:
  • биометрична автентикация - многокомпонентна, ако е особено важно;
  • криптиране на съдържание;
  • отделен достъп за мобилните устройства при влизане в Интернет среда;
  • ползване на софтуер, предотвратяващ/разкриващ проникване;
  • антивирусен софтуер;
  • блокиране или ограничено внимателно ползване на Bluetooth;
  • ползване на пароли за достъп;
  • отдалечено изтриване – пълно или частично;
  • забрани –

o   забрана или филтър при сваляне и инсталиране на приложения;
o   забрана, ограничение или отделен трафик за устройства, включвани в мрежа;
o   забрана за запис на пароли, ключове за активиране и чувствителни данни;
o   забрана за включване към чуждо зарядно или зарядно на публични места;

На последно място може да приемем, колкото и да е неприятна, мярката за административни наказания по повод на нарушения на политиката и мерките за защита, които я подкрепят