Цирк уехал, клоуны остались. Эссе о трудовых отношениях, постпандемийном периоде и безопасности информации

BIS Journal №4(39)/2020

8 января, 2021

Цирк уехал, клоуны остались. Эссе о трудовых отношениях, постпандемийном периоде и безопасности информации

Прежде чем выйти из кабины лифта…

Убедитесь, есть ли земля!

 

Доктор Алешин (Максим Алешин)

 

ПАНДЕМИЯ И ТРУДОВОЙ КОДЕКС

Я не хотел бы, чтобы читатели воспринимали фразу, вынесенную в заголовок, в отрицательной коннотации. Давайте будем позитивными. Я вкладываю в неё примерно такой же смысл, как во фразу «дома новы, а проблемы стары».

А поговорить я хотел бы о нововведениях в Трудовой кодекс, толчком к которым послужила злополучная пандемия. Мы все выходим (и слава богу, успешно!) из этого испытания другими. И жизнь в постпандемийный период уже не будет такой, как раньше. Надо привыкать к новым реалиям. И одной из таких реалий является необходимость и возможность удалённой работы сотрудников. После пандемии экономические, социальные, деловые и прочие связи изменяются до неузнаваемости. Большинство из тех, кто уже принял новую модель работы, не захотят возвращаться к офисному варианту. Мнения об эффективности удалённой работы разные. Многие считают, что за счёт отвлекающих факторов и отсутствия самоконтроля эффективность «домашней» работы падает. Однако учёные Стэнфордского университета утверждают [1], что производительность труда в домашних условиях увеличилась на 13%. Но сейчас не об эффективности новой модели работы. Это удел хозяев бизнеса, которые, соизмерив KPI работников и экономию на аренде помещений и коммунальных услугах, будут оценивать эффективность удалёнки и необходимость перевода на неё своих сотрудников.

Сейчас вот о чём. На сегодня права работника в условиях удалённой работы не регулируются законодательством, в Трудовом кодексе фигурирует только понятие дистанционной работы. Авторы законопроекта, который внесли в парламент 16 июня, предлагают добавить понятия «временная дистанционная (удалённая) работа» и «комбинированная дистанционная (удалённая) работа». Это позволит работникам официально работать вне стационарного рабочего места, а переводить на такой режим сотрудников можно будет на основании как минимум трёх факторов — соглашения сторон, производственной необходимости или обстоятельств непредвиденного характера. Кроме того, для дистанционных работников предлагают, так же как и для обычных, закрепить режим труда. Они получат право не быть на связи с работодателем круглосуточно.

Предусмотрен и упрощённый порядок введения режима временной дистанционной (удалённой) работы, который должен предусматривать издание локального нормативного акта с установлением списков работников, переводимых с их согласия на временную дистанционную (удалённую) работу, а также порядок организации режима временной дистанционной (удалённой) работы. И при этом в этих локальных актах должны быть отражены в том числе и вопросы возмещения связанных с выполнением удалённой работы расходов: оплата электроэнергии, используемого программного обеспечения, включая антивирусную защиту, использование работником личного оборудования, программно-технических средств, средств защиты информации и других расходов. Ну, к этому чуть позже.

Проектом изменений в Трудовой кодекс также предусматривается право работодателя устанавливать дополнительное условие об обязанности дистанционного работника использовать при выполнении им своей трудовой функции оборудование, программно-технические средства, средства защиты информации и иные средства, предоставленные или рекомендованные работодателем. А это уже важно с точки зрения безопасности информации.

 

ОТНОШЕНИЯ НОВЫЕ – ПРОБЛЕМЫ СТАРЫЕ

Вот и получается, новые производственные отношения возникли, а проблемы безопасности информации – остались старые. Я уже, раскрывая концепцию доверенной среды, как-то писал о ситуации, когда сеть работодателя находится в защищённом сегменте, к которому предъявляются особые требования по безопасности информации. И он подконтролен администратору безопасности, который следит за тем, чтобы были соблюдены правила доступа пользователей, чтобы всё программное обеспечение было доверенное, чтобы, не дай бог, не пролез какой-нибудь троян. Но в ситуации, когда исчезает само понятие «периметр», администратор безопасности ничего проверить не может: территория и зона ответственности – не его, он сюда доступа не имеет. Но есть жёсткое требование бизнеса – работать удалённому пользователю. Даже если удалённый пользователь прошёл все установленные процедуры идентификации – аутентификации – авторизации и у администратора безопасности нет, кажется, оснований не допустить пользователя в закрытую сеть, он не может быть уверен, что все эти требования по обеспечению безопасности информации на удалённом рабочем месте выполнены.

 

О ДОВЕРЕННОЙ СРЕДЕ

Проще говоря, возвращаясь к теме, работодатель (или его доверенное лицо – администратор безопасности) должен иметь возможность контролировать, с помощью каких программно-технических средств и средств защиты информации сотрудник осуществляет свои трудовые функции. Мы должны быть уверены в лояльности всех элементов информационной системы, то есть доверять им. Если мы сможем быть уверенными в надёжности каждого элемента, в том числе удалённых рабочих мест, нам не обязательно изолировать их в замкнутой среде. Это и есть смысл концепции «доверенной среды».

Здесь появляется проблема оценки доверия к тому устройству, на котором пользователь проводит процедуру идентификации – аутентификации – авторизации. Чтобы минимизировать риски и обеспечить доверенную среду обработки информации, необходимо обеспечить постоянный мониторинг состояния удалённых рабочих мест. Администратор безопасности должен иметь инструмент, позволяющий в момент подключения рабочего места к информационной системе и в течение всего сеанса взаимодействия контролировать состав аппаратного и программного обеспечения удалённых рабочих мест, определять тип и состав зарегистрированных USB-устройств, проверять запущенные в операционной системе процессы и доступность сетевых сред, работу антивирусных средств, уметь регистрировать любые события, влияющие на безопасность рабочего места и, в частности, регистрировать любые изменения в аппаратной и программной среде, нарушения правил информационной безопасности. Такой инструмент должен позволять указать строгий перечень разрешённых к использованию удалёнными сотрудниками устройств и программного обеспечения и проводить отслеживание нежелательных изменений в реальном времени. Другими словами, оберегать удалённых сотрудников от небезопасных действий.

 

О РАСХОДАХ

А теперь о проблеме возмещения связанных с выполнением удалённой работы расходов. Сразу же соглашусь с оппонентами, которые могут сказать, что эта проблема не имеет отношения к безопасности информации. Да, это так. Но с другой стороны, Трудовой кодекс требует от работодателя для учёта расходов контролировать использование работником программного обеспечения, включая антивирусную защиту, личное оборудование, программно-технические средства, средства защиты информации. То есть работодатель должен иметь возможность контролировать, чем занимается работник на удалёнке. С технической точки зрения эта задача полностью аналогична задаче контроля доверенной среды на удалённом рабочем месте. А если это так, то зачем выдумывать велосипед? Почему же нельзя средства мониторинга доверенной среды использовать и для целей контроля затрат на выполнение удалённой работы? Это, прямо как Head & Shoulders, два в одном.

 

ВЫХОД ЕСТЬ!

В заключение хочу сказать, что сейчас на рынке имеются средства мониторинга состояния безопасности информации. Но это, как правило, достаточно большие и дорогие комплексы, имеющие очень большой и зачастую избыточный перечень функций. Да и не всегда они «заточены» под решение озвученных проблем. Для их настройки и эксплуатации требуются высококвалифицированные специалисты и постоянное обращение к специализированным мониторинговым фирмам, способным правильно выработать правила обнаружения инцидентов безопасности информации. Это не всегда по карману бизнесу, особенно если он входит в SMB-сегмент. Но есть на рынке и недорогие, простые в обслуживании и не требующие специально обученных людей системы, которые имеют гибкую настройку параметров контроля и создания правил контроля для каждого компьютера, позволяют визуализировать динамику результатов мониторинга.

Примером недорогой, но эффективной системы, позволяющей решить проблемы обеспечения доверенной среды обработки защищаемой информации в распределённых информационных системах,может служить программный комплекс «САКУРА» (Система Активного Контроля Удалённой Работы АРМ).

В чём отличие комплекса «САКУРА» от SIEM-систем? Любая SIEM-система  является внешней по отношению к информационной системе. Это элемент апостериорной защиты. Её можно сравнить с томографом, который позволяет определить «болевые» точки в информационной системе и выработать тактику устранения проблем. В отличие от SIEM, комплекс «САКУРА» является неотъемлемой частью самой информационной системы, он находится внутри неё. Это своеобразный нерв информационной системы, который моментально реагирует на любые отклонения от установленных параметров и при необходимости блокирует проблемный участок информационной системы.

Комплекс «САКУРА» выполняет роль элемента априорной защиты, он позволяет получать актуальную информацию и историю изменения рабочих мест, контролирует все действия на удалённом устройстве, проверяет, какие антивирусы и программное обеспечение установлены на рабочем месте, наличие обновлений операционных систем, анализирует «поведенческую модель» сотрудника, проводит аудит доступа к компьютеру, запрещает использование нежелательных программ и уведомляет о возможных рисках. «САКУРА» может автоматически отключить удалённого сотрудника от корпоративных ресурсов при выявлении нарушений, которые могут привести к краже конфиденциальной информации.

Комплекс «САКУРА» обеспечивает выполнение мер обеспечения безопасности информации, предусмотренных ГОСТ Р 57580.1 (БФО), Положением Банка России № 382-П (НПС), Приказом ФСТЭК России № 17 (ГИС), Приказом ФСТЭК России № 239 (КИИ).

Комплекс «САКУРА» имеет программную реализацию и построен на клиент-серверной технологии. При этом АРМ могут быть развёрнуты на операционных системах как Windows, так и Linux.

Узнайте подробнее о решении «САКУРА» и получите консультацию экспертов по информационной безопасности по телефону: +7(499) 450 2886 или на сайте компании «ИТ-Экспертиза».

 

[1] https://zen.yandex.ru/media/cfo/kak-koronavirus-meniaet-otnoshenie-kompanii-k-udalennoi-rabote-5e8342248274cd4de920c1ca

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.10.2022
Главный тренд ИБ — проекты по внедрению российских решений
06.10.2022
«Белые шляпы» почистят «Госуслуги» от уязвимостей
06.10.2022
Центробанк предупреждает о новой волне мошенничества
06.10.2022
ЦБ РФ до конца года не будет наказывать банки за отсутствие идентификации через ЕБС
06.10.2022
Евросоюз запрещает обслуживание криптокошельков граждан РФ
06.10.2022
ФБР и CISA — о том, насколько успешными бывают атаки на электоральную систему
05.10.2022
Финляндия ожидает начало вредоносной киберактивности со стороны России
05.10.2022
Главный риск, что компании останутся на зарубежных продуктах
05.10.2022
Открытие киберполигона МТУСИ на базе решений ГК «ИнфоТеКС»
05.10.2022
Турция предложит россиянам карты своей платёжной системы. Вместо «Мира»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных