Предимствата да се работи от разстояние може да са много и очаквано хубави.
Например, ако пропадне Интернет връзката, може да си легнеш и да подремнеш.
Най-разпространено предимство е, че не ти се налага постоянно да се скатаваш от шефа.
Ако гледаме сериозно, трябва да се каже, че да се работи от разстояние понякога се налага.
Стандартът ISO/IEC 27001 обаче не се интересува от предимствата, а задава изискване този начин на работа да е сигурен, т.е. свързаните с него рискове да бъдат видяни и управлявани.
Целта е да има защита на информацията, която се достъпва, обработва или съхранява на отдалечените места при режими на работа от разстояние. Тези режими следва да са свързани
с изрично зададени условия и ограничения. Механизмът за контрол ISO/IEC 27001/А.6.2.2 изисква да бъде разработена политика и поддържащи я мерки. Отново може и тук да се каже, че политиката и мерките, за които става дума, може да са поставени в един общ документ, който съдържа разработени от нас, за всеки конкретен случай, изисквания.
с изрично зададени условия и ограничения. Механизмът за контрол ISO/IEC 27001/А.6.2.2 изисква да бъде разработена политика и поддържащи я мерки. Отново може и тук да се каже, че политиката и мерките, за които става дума, може да са поставени в един общ документ, който съдържа разработени от нас, за всеки конкретен случай, изисквания.
Какво може да бъде предвидено в такава политика и свързаните с нея мерки?
1. Може да не се допуска отдалечен режим на работа – изобщо или в определени случаи
2. Отдалечените места трябва да са физически добре защитени срещу проникване
3. Средата, в която се намират местата, следва да е сигурна (не се счита за криминогенна)
4. Комуникационният канал за отдалечен режим на работа да е защитен
5. Да не се ползва софуер и методи за отдалечен достъп от типа Teamwork или подобни
6. Да има защита срещу неоторизиран достъп от други лица, обитаващи мястото на работа
7. При работа да няма взаимодействие с други мрежи (вкл. безжични) намиращи се на мястото
8. При работа да не се засягат лични данни и друга чувствителна информация
9. Да не се нарушават лицензи и права, придобити от други страни
10. Може да има изисквания какви оборудване и протоколи да се ползват за работа
11. Може да са определени дни и часове, в които такава работа се допуска/не се допуска
12. Може да се посочва каква информация не може да бъде предмет на работа от разстояние
13. Може да има особености, свързани със сервизната поддръжка на ползваното оборудване
14. Може да се иска прилагане на процедури с изисквания за за backup и непрекъснатост
15. Може да се иска да бъде осигуряван достъп и условия за одити на мястото
16. Да има правила за връщане на активи и за спиране на работата от разстояние от мястото
В този дух може да се зададат и други изисквания - всяко друго смислено нещо в допъление, или вместо, горните 16 точки, ще е полезно. Стига да е постижимо, да произлиза от реално установени рискове, а не произволно измислено
Няма коментари:
Публикуване на коментар