Standard sigurnosti rada na daljinu

14. decembra 2011.

Svrha

Ovaj standard utvrđuje minimalne sigurnosne zahtjeve za rad na daljinu od strane državnih službenika, izvođača radova, volontera i pripravnika.

Pregled

Mnoge državne agencije pružaju osoblju mogućnost rada s alternativnog radnog mjesta, uključujući i njihov dom. Sigurnosni rizik povezan s neupravljanim dogovorima o radu na daljinu može biti skup i utjecati na sposobnost pružanja osnovnih javnih usluga. Agencije moraju razumjeti rizik povezan s radom na daljinu i provesti mjere za ublažavanje tih rizika.

Ključ za uspostavljanje sigurnog dogovora o radu na daljinu je rješavanje sigurnosti informacija uz istovremeno:

• U mirovanju: Podaci pohranjeni na uređaju za rad na daljinu kao što su laptop, desktop ili prenosivi uređaj za pohranu podataka.
• U tranzitu: Podaci koji putuju između agencije i lokacije rada na daljinu;
• i U upotrebi: Podaci koje koristi zaposlenik koji radi na daljinu.

Oprema i informacije agencije za rad na daljinu moraju imati istu ili veću zaštitu od one koja se primjenjuje na glavnoj lokaciji agencije.

Opseg

Ovaj standard postavlja minimalne zahtjeve za siguran rad na daljinu. Ovaj standard se primjenjuje na sve agencije kako je definirano u Poglavlju 8A, Odjeljku 101 Zakona o Iowi. Agencije koje ne sudjeluju se potiču da slijede smjernice u ovoj i drugim politikama, standardima, smjernicama, procesima i procedurama na nivou preduzeća.

Definicije

• Aplikacije zasnovane na oblaku : Aplikacije koje se isporučuju putem interneta, kao što su Google dokumenti, umjesto da se instaliraju na korisnikovom računaru.

• Višedomna veza : Računar povezan na dvije ili više mreža ili koji ima dvije ili više mrežnih adresa. Na primjer, računar može biti povezan na serijsku liniju i LAN mrežu ili na više LAN mreža.
• Peer-to-peer (P2P) : Dijeljenje datoteka putem mreže peer-to-peer (P2P) (npr. BitTorrent) omogućava korisnicima dijeljenje datoteka online putem neformalne mreže računara koji koriste isti softver. Nepravilna konfiguracija dijeljenja datoteka može olakšati curenje podataka.
• Udaljena veza : Povezivanje informacionog sredstva na lokaciji koja nije u vlasništvu agencije sa informacionim sredstvom na mreži agencije.
• Podijeljeno tuneliranje : Proces kojim se udaljenom VPN korisniku omogućava pristup javnoj mreži, najčešće internetu, istovremeno kada je korisniku dozvoljen pristup resursima na VPN-u. Nedostatak ove metode je što VPN čini ranjivim na napade jer mu se može pristupiti putem javne, nezaštićene mreže.
• Rad na daljinu : Aranžman odobren od strane uprave, pokriven ugovorom o radu na daljinu, u kojem zaposlenik redovno obavlja službeno dodijeljene dužnosti na radnom mjestu koje nije u agenciji, uključujući rad od kuće.

Ažuriranja

Ovaj standard će se preispitivati ​​najmanje svake dvije godine i ažurirati po potrebi.

Standard sigurnosti rada na daljinu za preduzeća

Sljedeći elementi primjenjuju se na rad na daljinu:

1. Politika : Agencije će razviti sigurnosnu politiku za rad na daljinu i podijeliti je sa osobljem.
2. Udaljene veze : Sljedeće se primjenjuje na veze za rad na daljinu:
   1. Veze moraju biti šifrirane.
   2. Veze moraju koristiti dvofaktorsku autentifikaciju. Oblici dvofaktorske autentifikacije uključuju:
      1. Korisnički ID i lozinka + certifikat
      2. Korisnički ID i lozinka + generator tokena
      3. Korisnički ID i lozinka + Generator tokena + Certifikat
   3. Korisnik rada na daljinu ne smije inicirati dvije istovremene veze s različitim mrežama (tj. bez podijeljenog tuneliranja i bez višestrukih veza).
3. Korisnički računi:

• Korisnički računi za rad na daljinu imat će ograničene privilegije. Administrativne privilegije dodjeljivat će se samo osoblju kojem je takav pristup potreban iz poslovnih razloga.
• Lozinke za račune za rad na daljinu ne smiju se pohranjivati ​​s uređajem/opremom.

4. Zaštitni zid : Na lokaciji rada na daljinu treba implementirati zaštitni zid koji omogućava filtriranje dolaznih i odlaznih signala.
5. Dijeljenje dokumenata:

• Korištenje aplikacija zasnovanih na oblaku mora odobriti uprava agencije.
• Povjerljivi podaci o stanju moraju biti šifrirani tokom prenosa i u stanju mirovanja prilikom korištenja aplikacija zasnovanih na oblaku.
• Aplikacije za dijeljenje datoteka između korisnika ne smiju se instalirati na računarima agencije.

6. Lični e-mail nalozi : Povjerljive informacije agencije ne smiju se prenositi korištenjem ličnih e-mail računa.
7. Oprema : Sljedeće se odnosi na opremu koja se koristi za rad na daljinu:
   1. Lični računari, prenosivi mediji i drugi uređaji ne smiju se koristiti za rad na daljinu
   2. Oprema agencije za rad na daljinu ne smije se koristiti za lične aktivnosti.
   3. Elektronska oprema koja sadrži povjerljive informacije mora biti osigurana kada se ne koristi.
   4. Računala za rad na daljinu koja pohranjuju povjerljive informacije moraju biti šifrirana.
   5. Nekorištene aplikacije deinstaliraju se s uređaja za rad na daljinu.
   6. Nefunkcionalna elektronska oprema mora se vratiti agenciji na odlaganje.
   7. Oprema za rad na daljinu će se revidirati kvartalno kako bi se osiguralo da sigurnosne postavke nisu onemogućene/promijenjene.
   8. Na svim laptopima i desktop računarima za rad na daljinu mora se primijeniti vremensko ograničenje neaktivnosti od 15 minuta.
   9. Na agencijsku opremu smije se instalirati samo softver koji je odobrila agencija.
8. Sigurnosne kopije : Elektronske informacije korištene na lokaciji za rad na daljinu moraju se sigurnosno kopirati u glavnu mrežnu pohranu agencije.
9. Sigurnosna ažuriranja : Laptopi, desktop računari i drugi mobilni uređaji koji se koriste za rad na daljinu moraju imati kritična sigurnosna ažuriranja za aktivne ranjivosti instalirana u roku od 5 dana od objavljivanja.
10. Informacije u štampanom obliku:

• Papirni dokumenti koji sadrže povjerljive informacije agencije moraju biti osigurani kada se ne koriste (tj. moraju se smjestiti u zaključani sto ili ormar).
• Papirni dokumenti s povjerljivim informacijama moraju se usitniti pomoću mikrorezača ako se odlažu na lokaciji rada na daljinu.
• Agencije će pratiti uklanjanje i vraćanje povjerljivih materijala, kao što su kadrovski dosijei, na lokacije za rad na daljinu.

11. Obuka : Zaposleni u Agenciji, izvođači radova, pripravnici i volonteri moraju proći obuku o sigurnim praksama rada na daljinu prije početka rada na daljinu.
12. Praćenje : Sav udaljeni pristup putem rada na daljinu mora biti evidentiran i nadziran. Datoteke dnevnika moraju sadržavati dovoljno detalja kako bi se omogućila virtualna rekonstrukcija mrežne sesije.
13. Prijavljivanje : Osoblje je dužno prijaviti svaki sigurnosni incident koji uključuje krađu/gubitak opreme ili neovlašteno otkrivanje informacija nadređenom zaposlenika u roku od 24 sata.
14. Bežično : Bežični uređaji za rad na daljinu moraju biti konfigurirani tako da ne pokušavaju automatski da se pridruže bežičnim mrežama koje otkriju.

Datum stupanja na snagu  

Ovaj standard stupa na snagu 14. decembra 2011. godine.
Provođenje

Ovaj standard će se provoditi u skladu s Administrativnim zakonikom Iowe 11—25.11(8A).

Varijanca

Član 11 - 25.11(2) Administrativnog zakona Iowe predviđa odstupanja od sigurnosnih standarda. Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi glavnom službeniku za sigurnost informacija prije implementacije.