Skip to main content

6.7 Praca zdalna

Kontrola

Podczas pracy zdalnej należy wdrożyć środki bezpieczeństwa w celu ochrony informacji, do których personel uzyskuje dostęp, które przetwarza lub przechowuje poza siedzibą organizacji.

Cel

Zapewnienie bezpieczeństwa informacji w przypadku pracy zdalnej.

Wytyczne

Praca zdalna obejmuje wszelkie sytuacje, w których personel organizacji wykonuje obowiązki zawodowe poza siedzibą firmy, uzyskując dostęp do informacji zarówno w formie papierowej, jak i elektronicznej za pomocą sprzętu ICT. Środowiska pracy zdalnej obejmują „telepracę”, „praca zdalna”, „elastyczne miejsce pracy”, „wirtualne środowiska pracy” oraz „zdalne utrzymanie systemów”.

Organizacje umożliwiające pracę zdalną powinny wdrożyć politykę szczegółową dotyczącą tego zagadnienia, określającą warunki oraz ograniczenia. W miarę potrzeb należy uwzględnić następujące aspekty:

  • a) poziom istniejącego lub planowanego zabezpieczenia fizycznego lokalizacji pracy zdalnej, uwzględniając bezpieczeństwo fizyczne miejsca oraz środowisko lokalne, w tym różne jurysdykcje, w których znajdują się pracownicy;
  • b) zasady i mechanizmy bezpieczeństwa w środowisku pracy zdalnej, takie jak zamykane szafki na dokumenty, bezpieczny transport między lokalizacjami, zasady dotyczące dostępu zdalnego, czystego biurka, drukowania i niszczenia informacji, a także zgłaszania incydentów związanych z bezpieczeństwem informacji (zob. 6.8);
  • c) oczekiwane fizyczne środowisko pracy zdalnej;
  • d) wymagania dotyczące bezpieczeństwa komunikacji, uwzględniając konieczność dostępu zdalnego do systemów organizacji, poziom wrażliwości informacji przesyłanych przez sieć oraz bezpieczeństwo aplikacji i systemów;
  • e) korzystanie z dostępu zdalnego, np. pulpitu wirtualnego, który umożliwia przetwarzanie i przechowywanie informacji na prywatnym sprzęcie;
  • f) ryzyko nieautoryzowanego dostępu do informacji przez osoby postronne w miejscu pracy zdalnej (np. członków rodziny, znajomych);
  • g) ryzyko nieautoryzowanego dostępu do informacji w miejscach publicznych;
  • h) wykorzystanie sieci domowych i publicznych oraz wymagania i ograniczenia dotyczące konfiguracji sieci bezprzewodowych;
  • i) zastosowanie środków zabezpieczeń, takich jak zapory sieciowe (firewall) oraz ochrona przed złośliwym oprogramowaniem;
  • j) bezpieczne mechanizmy wdrażania i inicjalizacji systemów zdalnie;
  • k) bezpieczne mechanizmy uwierzytelniania i zarządzania uprawnieniami dostępu, z uwzględnieniem podatności mechanizmów jednopoziomowego uwierzytelniania w przypadku zdalnego dostępu do sieci organizacji.

Zalecenia i środki do wdrożenia powinny obejmować:

  • a) zapewnienie odpowiedniego sprzętu i mebli do przechowywania materiałów związanych z pracą zdalną, gdy użycie prywatnych urządzeń nie jest dozwolone;
  • b) określenie dozwolonych zadań, poziomu klasyfikacji informacji, które mogą być przechowywane, oraz systemów i usług dostępnych dla pracownika zdalnego;
  • c) szkolenia dla osób pracujących zdalnie oraz ich wsparcia technicznego w zakresie prowadzenia bezpiecznej pracy;
  • d) zapewnienie odpowiedniego sprzętu komunikacyjnego, w tym metod zabezpieczania dostępu zdalnego, takich jak blokowanie ekranu po okresie bezczynności, śledzenie lokalizacji urządzenia, zdalne usuwanie danych;
  • e) środki bezpieczeństwa fizycznego;
  • f) zasady i wytyczne dotyczące dostępu do sprzętu i informacji przez członków rodziny oraz odwiedzających;
  • g) wsparcie techniczne dla sprzętu i oprogramowania;
  • h) zapewnienie ubezpieczenia;
  • i) procedury tworzenia kopii zapasowych oraz ciągłości działania;
  • j) audyt i monitorowanie bezpieczeństwa;
  • k) cofnięcie uprawnień dostępu i zwrot sprzętu po zakończeniu pracy zdalnej.