Вхід

Рекомендации от Комитета Технических средств Безопасности и Защиты Бизнеса

31.03.2020
В этой статье изложены рекомендации комитета.

1. Исключить возможность проникновения на территорию подконтрольных объектов (офис, производство, склад, ТРЦ и т.д.) людей, имеющих повышенную температуру путем использования инфракрасных бесконтактных градусников (пирометры) и/или в случае прохода большого количества людей, путем использования тепловизионных камер, с возможностью анализа температуры в потоке и одновременным контролем не менее 5 людей, с привязкой к фото фиксации и распознаванию лица из имеющейся базы.

2. Исключить или снизить до минимума использование контактных систем контроля и управления доступом, путем замены их на бесконтактные (по распознаванию лиц или венозных рисунков, без касания). В случае использования современных магнитных карт, запретить персоналу их физическое прикладывание к контролеру (стандартная дальность считывания до 5 см.), для уменьшения контакта с потенциально зараженной поверхностью. На время карантинных мероприятий СКУД, построенный на базе систем биометрии (с непосредственным прикладыванием пальцев или глаза) дополнить магнитными бесконтактными считывателями, в случае если это возможно.

3. Перейти на использование мобильных идентификаторов в системах контроля доступом. Это позволит свести к 0 физический контакт между людьми, связанных с администрированием выдачи пропусков (карт), а также предоставит возможность системам контроля доступа производить идентификацию сотрудников на расстоянии до 10 метров.

4. В случае использования систем OSINT*, в случае заражения или подозрения на заражения одного из сотрудников, используя системы «геолокации» (Bler, COVID19), видеонаблюдения и контроля доступа в офисе и на объектах, определить потенциальный круг контактов и сократить их пребывание на рабочих местах (максимальная изоляция).

Общие рекомендации по переходу на удаленную работу.

1. Определить сведения, которые нужно контролировать, для обеспечения информационной и технической безопасности. Закрепить регламентирующим документом «Перечень информации, составляющей коммерческую, финансовую тайну и иные». В дополнение к перечню информации, составляющей тайну, создать регламенты, регулирующие информационную безопасность, если их не было ранее.

2. Установить круг лиц, которые имеют допуск к финансовым или иным конфиденциальным сведениям. Определить кому из сотрудников компании для работы нужны эти данные. Выделить тех, кому требуется постоянный допуск, для остальных работников прописать порядок подачи запросов на предоставление информации.

3. В приказном порядке, определить круг сотрудников, имеющих корпоративную технику и определенные уровни доступов и запретить им перемещение по городу на общественном транспорте, в т.ч. такси. В случае отсутствия собственного транспорта – выделить корпоративный.

4. Довести до сведения рядовых сотрудников, работающих дистанционно, информацию о том, что использование личных средств мобильной связи (вместо заранее настроенных и подготовленных ноутбуков или корпоративных средств связи), для проведения конференц-звонков, а так же проведения совещаний из мест, для этого не предназначенных – подразумевает соблюдение определенного «телефонного этикета» и использования так называемого «птичьего языка»*, для донесения информации до собеседника, во избежание утечки конфиденциальной информации.

5. Довести до сведения сотрудников ТОП уровня, о возможности удаленного аудио и видео контроля помещений (в т.ч. личного кабинета), путем установки средств НСИ (несанкционированного съема информации) или использовании направленных микрофонов. С целью недопущения утечек конфиденциальной информации, провести (регулярно проводить) проверку помещений (в т.ч. автомобилей, яхт и т.д.) из которых осуществляется управление предприятием (-ями), с последующей обязательной дезинфекцией проверенного помещения. Разработать инструкции о противодействии и недопущении перехвата информации в «домашних» условиях и довести их до персонала под роспись.

6. Довести до сведения всех сотрудников, о возможности использования против них мошеннических систем «deepfake» - методика синтеза изображения, основанная на искусственном интеллекте (аналог – «Джокер», использования клона мобильных телефонных карт), с целью создания видео/аудио роликов с лицами и/или голосами собственников и передачи ложной команды на выполнение тех или иных действий противоправного характера. С целью недопущения реализации данной схемы, разработать и утвердить на уровне руководства СБ контрольные вопросы или знаки, которые позволят визуализировать и «офизичить»* лицо, с которым происходит беседа.

7. Для возможности физического контроля удаленной работы, в случае необходимости использовать платформу для централизованного управления инфраструктурой ключей (сертификатов). Использование данной платформы позволяет исключить ряд угроз для информационной безопасности организации, будь то локальный доступ к информации или удаленный, путем использования комплекса решений по строгой аутентификации и шифровании транзакций между рабочими станциями сотрудников или для связи с центральным сервером. Данная платформа использует уникальную запатентованную технологию аппаратного шифрования канала обмена данными между сервером и чипом смарт-карты, что обеспечивает максимальный уровень безопасности при выдаче и управлением сертификатами, OTP-ключами* и др., а также исключает хранение сотрудниками паролей в открытом виде. Использование такого рода зашифрованного соединения исключает любую возможность перехвата или подмены сертификатов, OTP-ключей, цифровых подписей и пр. злоумышленниками.

8. Для работы с конфиденциальными документами (в том числе финансовыми, клиент-банк, и т.д.) высокого уровня значимости, использовать специальное антихакерское оборудование (защищенные ноутбуки), с минимальной возможностью перехвата данных и инфицированием системы.

9. Для переписки в мессенджерах, использовать закрытые корпоративные мессенджеры, без возможности извлечения переписки и с возможностью использования собственной клавиатуры мессенджера (для исключения «логирования»), с возможностью мгновенного удаления переписки без восстановления на вашем устройстве, даже имея пароль и логин доступа.

10. Довести до сведения сотрудников, о появлении большого количества ложных (фейковых) мошеннических сервисов, которые могут быть замаскированы под платформы для проведения конференций, онлайн обучения, сервисов по доставке еды, аптек, товаров первой необходимости и т.д. В том числе, довести информацию о появлении (появилось) большого количества «фейковых» информационных сайтов, о COVID19 и волонтерских организациях, собирающих деньги на помощь в борьбе с вирусом. В связи с этим, на уровне приказа по предприятию, запретить использование сторонних (несогласованных) сервисов для проведения переговоров и презентаций и в рекомендательном порядке (в случае использования корпоративной техники, приказном) запретить использования любых сервисов с пересылкой форм с личными и\или корпоративными данными, в т.ч. любой платежной информации, до согласования с администратором сети, департаментом ИТ и ИТ безопасности или представителями СБ предприятия

11. Вне зависимости от принадлежности техники (корпоративная или личная) определить необходимый минимум приложений, обеспечивающих достаточный уровень безопасности содержимого. В зависимости от обстоятельств стоит рассмотреть подключения к терминальным серверам без права копирования информации.

12. Вся передаваемая информация на носителях, должна быть зашифрована корпоративным ключом с использованием как программных, так и аппаратных средств шифрования. В случае невозможности использовать сторонние продукты, рекомендуется использование полнодискового шифрования.

В случае, если корпоративные правила допускают, возможно, использование DLP* систем, систем оперативного перехвата и анализа информации с компьютера сотрудника (контроль за ключевыми словами, почтовыми адресами, перехват разговоров в скайпе, перехват входящих и исходящих файлов и сообщений и т.д.), с целью предотвращения утечки конфиденциальной информации. В том числе, данные системы позволят проконтролировать реальное время, проведенное сотрудником за компьютером (СКУД). О данной возможности сотрудник может оповещен, либо возможно использование скрытого агента.

13. В обязательном порядке использовать VPN* для подключения сотрудников к корпоративной сети.

14. Использовать многофакторную аутентификацию (MFA), которая предоставляет доступ к облачным ресурсам и другим системам только для авторизованных пользователей, без возможности использования каналов передачи данных в открытом, незашифрованном виде (например СМС).