| Telefon: +36 22 501 632

Seacon Europe Kft. | 8000 Székesfehérvár, Móricz Zs. u. 14.

Biztonságos távmunka
Seacon Europe konzultációs felajánlás
Slider

Kapcsolattartási formák biztonságosan

Az informatikai rendszerek és a hozzájuk kapcsolódó adatvédelem ebben a helyzetben fokozottabb figyelmet érdemel, mint a megszokott munkamenetben. Milyen csatornán kommunikáljunk? Milyen felületen osszuk meg a dokumentumainkat? Hogy kapcsolódjunk a vállalat belső hálózatához?

Sok cégnél ez egy új terület, és gyakorlat hiányában ezt hideg fejjel átgondolni és megfelelő döntést hozni nehéz, ezért KKV-k számára felajánljuk a szakmai tudásunkat, tapasztalatunkat és támogatásunkat, hogy megkönnyítsük nekik a digitális csatornák, az elektronikus kapcsolattartási formák olyan kiválasztását, hogy döntésük adatbiztonsági és  adatvédelmi szempontokból is megalapozott, és védhető legyen.

Az alábbiakban az ISO27002 szabvány vonatkozó pontjai kivonataként összefoglaltuk a legfontosabb tudnivalókat. Amennyiben további kérdések merülnek föl, segítség szükséges, akkor a konzultációs felajánlásunkra a  e-mail címen lehet jelentkezni.
A jelentkezésekre (erőforrás függvényében) e-mailben - -, vagy skype-on keresztüli 15-20 perces, díj mentes konzultáció keretében tudunk reagálni.

Amiket érdemes figyelembe venni:

  • kiterjed általában a távmunkával kapcsolatos összes lehetséges körülményre, lehetőségre,
  • ezek sokszor nem csak információbiztonságról szólnak, megfontolásuk, használatuk az alapfolyamatok kialakítása során is hasznos lehet,
  • az anyag az ISO/IEC 27000-s információbiztonság irányítási rendszer szabvány család alapján készült,
  • továbbá használata feltételezi, hogy azt megelőzi egyfajta kockázat elemzés, felmérés, ami azért szükséges, hogy csak a szükséges és elégséges lépések, intézkedések és invesztíciók történjenek meg. 

Távelérés, távmunka[1]

A távoli hozzáférés, távmunka a szervezetek információs rendszereihez való hozzáférést jelenti, amelyhez a külső hálózatokon (például az interneten) keresztül kommunikáló felhasználók (vagy a felhasználók nevében eljáró folyamatok) férnek hozzá. A távoli elérési módszerek között szerepel például a tárcsázás, a szélessávú és a vezeték nélküli kapcsolat. A szervezetek gyakran titkosított virtuális magánhálózatokat (VPN) alkalmaznak a távoli kapcsolatok bizalmasságának és integritásának fokozása érdekében. A titkosított VPN-ek használata nem teszi a hozzáférést távolivá; azonban a VPN-ek használata, ha megfelelő biztonsági ellenőrzésekkel látják el őket (például megfelelő titkosítási technikákat alkalmaznak a titoktartás és az integritás védelme érdekében), biztosíthatják a szervezetet abban, hogy hatékonyan képes kezelni az ilyen kapcsolatokat belső hálózatokként. Ennek ellenére a VPN kapcsolatok áthaladnak a külső hálózatokon, és a titkosított VPN nem javítja a távoli kapcsolatok elérhetőségét. Ezenkívül a titkosított csatornákkal rendelkező VPN-ek befolyásolhatják a szervezeti képességeket a hálózati kommunikációs forgalom megfelelő nyomon követésére a rosszindulatú kódok miatt. A távoli elérés kontrollja az információs rendszerekre vonatkozik, kivéve a nyilvános webszervereket vagy a nyilvános hozzáférésre tervezett rendszereket. Ez a kontroll a távoli hozzáférés engedélyezését megelőzően az engedélyezéssel foglalkozik, anélkül, hogy meghatározná az ilyen engedély formátumát.

A távmunka az irodán kívüli munka minden formájára vonatkozik, ideértve a nem hagyományos munkakörnyezeteket is, mint például „távmunka”, „rugalmas munkahely”, „távoli munka” és „virtuális munka” környezetek.

Kontroll

Szabályozást és biztonsági eljárásokat kell kidolgozni az információk kezelésére és tárolására a távmunka során.

Végrehajtási útmutató

A távmunkát lehetővé tevő szervezeteknek olyan irányelveket kell kiadniuk, amelyek meghatározza a távmunka használatának feltételeit és korlátozásait. Ha ezek alkalmazhatónak és a törvények megengedik, a következő kérdéseket kell figyelembe venni:

  1. a távmunka helyének meglévő fizikai biztonsága, figyelembe véve az épület fizikai biztonságát és a helyi környezetet;
  2. a javasolt távmunka fizikai környezete;
  3. a kommunikáció biztonsági követelményei, figyelembe véve a szervezet belső rendszereihez való távoli hozzáférés szükségességét, a kommunikációs összeköttetésen keresztül hozzáférhető és továbbítandó információk érzékenységét és a belső rendszer érzékenységét;
  4. virtuális asztali hozzáférés biztosítása, amely megakadályozza az adatok feldolgozását és tárolását a magántulajdonban lévő készülékeken;
  5. a szálláshelyet használó más személyek információkhoz vagy azok forrásához való jogosulatlan hozzáférés veszélye, pl. család és barátok;
  6. otthoni hálózatok használata és a vezeték nélküli hálózati szolgáltatások konfigurálására vonatkozó követelmények vagy korlátozások;
  7. szabályok és eljárások a magántulajdonban lévő készülékeken kifejlesztett szellemi tulajdonjogokkal kapcsolatos viták megelőzésére;
  8. hozzáférés a magántulajdonban lévő berendezésekhez (a gép biztonságának ellenőrzése vagy a nyomozás során), amelyet jogszabályok akadályozhatnak meg;
  9. a szoftverlicenc-megállapodások, amelyek olyanok, hogy a szervezetek felelőssé válhatnak az alkalmazottak vagy külső felek felhasználóinak magántulajdonban lévő munkaállomásokon lévő ügyfélszoftverek licencéért;
  10. malware védelem és tűzfal követelmények.

A figyelembe veendő iránymutatásoknak és rendelkezéseknek tartalmazniuk kell:

  1. megfelelő felszerelés és tároló bútor biztosítása a távmunka tevékenységeihez, amennyiben a magántulajdonban lévő eszközök használata nem engedélyezett a szervezet ellenőrzése alatt;
  2. a megengedett munka meghatározása, a munkaidő, a megőrzendő információk besorolása, valamint a belső rendszerek és szolgáltatások, amelyekhez a távmunkás hozzáféréssel rendelkezik;
  3. megfelelő kommunikációs eszközök biztosítása, ideértve a távoli hozzáférés biztosításának módszereit is;
  4. fizikai biztonság;
  5. szabályok és útmutatások a család és a látogatók eszközökhöz és információkhoz való hozzáféréséről;
  6. hardver és szoftver támogatása és karbantartása;
  7. biztosítás nyújtása;
  8. biztonsági mentés és az üzleti folyamatosság folyamatai;
  9. audit és biztonsági monitorozás;
  10. a jogosultság és a hozzáférési jogok visszavonása, valamint a berendezések visszaszolgáltatása a távmunka tevékenységeinek befejezésekor.

Hálózati kontrollok

Kontroll

A hálózatokat menedzselni és ellenőrizni kell a rendszerekben és az alkalmazásokban szereplő információk védelme érdekében.

Végrehajtási útmutató

Ellenőrzéseket kell végrehajtani a hálózatokban szereplő információk biztonságának és a kapcsolódó szolgáltatásoknak az illetéktelen hozzáférés elleni védelme érdekében. Különösen a következő tételeket kell figyelembe venni:

  1. meg kell határozni a hálózati eszközök kezelésével kapcsolatos felelősségeket és eljárásokat;
  2. a hálózatokkal kapcsolatos operatív felelősséget el kell különíteni a számítógépes műveletektől;
  3. külön ellenőrzéseket kell létrehozni a nyilvános vagy vezeték nélküli hálózatokon átmenő adatok bizalmas jellegének és integritásának védelme, valamint a csatlakoztatott rendszerek és alkalmazások védelme érdekében; speciális kontrollra  is szükség lehet a hálózati szolgáltatások és a csatlakoztatott számítógépek rendelkezésre állásának fenntartásához;
  4. megfelelő naplózást és monitorozást kell alkalmazni az információbiztonságot befolyásoló, vagy releváns tevékenységek rögzítésének és észlelésének lehetővé tétele érdekében;
  5. a vezetési tevékenységeket szorosan össze kell hangolni a szervezet számára nyújtott szolgáltatás optimalizálása és annak biztosítása érdekében, hogy az ellenőrzéseket következetesen alkalmazzák az információfeldolgozási infrastruktúrán;
  6. a hálózati rendszereket hitelesíteni kell;
  7. a rendszerek hálózathoz való csatlakozását korlátozni kell.

Adattovábbítási szabályok és eljárások

Kontroll

Hatályos adattovábbítási szabályoknak, eljárásoknak és ellenőrzéseknek kell érvényben lenniük az információk továbbításának minden típusú kommunikációs eszköz használatával történő védelme érdekében.

Végrehajtási útmutató

Az információcsere kommunikációs lehetőségeinek használatakor követendő eljárásoknak és ellenőrzéseknek a következőket kell figyelembe venniük:

  1. eljárások a továbbított információk védelmére a lehallgatás, másolás, módosítás, téves irányítás és megsemmisítés ellen;
  2. az elektronikus hírközlés útján átvihető rosszindulatú programok felismerésére és az azokkal szembeni védelemre vonatkozó eljárások;
  3. mellékletként elektronikus formában tárolt, érzékeny elektronikus információk védelmére vonatkozó eljárások;
  4. a kommunikációs eszközök elfogadható használatát felvázoló szabályzat vagy iránymutatások;
  5. alkalmazottak, a külső felek és bármely más felhasználó felelőssége, hogy ne veszélyeztesse a szervezetet, pl. rágalmazás, zaklatás, megszemélyesítés, lánclevelek továbbítása, jogosulatlan vásárlás stb. révén;
  6. kriptográfiai technikák alkalmazás, pl. az információk titkosságának, integritásának és hitelességének védelme;
  7. az üzleti levelezés, ideértve az üzeneteket is, megőrzési és megsemmisítési iránymutatásai, a vonatkozó nemzeti és helyi jogszabályokkal és rendeletekkel összhangban;
  8. a kommunikációs eszközök használatával kapcsolatos ellenőrzések és korlátozások, pl. az elektronikus levelek automatikus továbbítása a külső e-mail címekre;

Egyéb információk

Az információátvitel számos különféle típusú kommunikációs eszköz, például elektronikus levél, hang, fax és videó használatával történhet, amiket jól kiegészítenek az egyre elterjedtebb online kommunikációs platform eszközök (Skype, Zoom, …).
A szoftverek továbbítása számos különféle eszközön keresztül megvalósulhat, ideértve az internetről való letöltést és a kész termékeket árusító szállítóktól történő beszerzést.