КРАТКОЕ РУКОВОДСТВО ПО БЕЗОПАСНОМУ РАБОТУ ПО ТЕЛЕФОНУ
Из-за состояния тревоги, вызванного коронавирусом, многие администрации и государственные органы продвигают удаленную работу, чтобы обеспечить непрерывность своих функций и услуг. Однако удаленная работа может создавать риски для кибербезопасности, если она не запланирована вовремя, персонал должным образом обучен, а оборудование и соединения надежно настроены. Учитывая текущую ситуацию, во многих случаях все это могло оказаться невозможным; по этой причине мы предлагаем вам один выбор основных основных мер защиты, которые необходимо учитывать которые могут помочь вам работать удаленно, сводя к минимуму риски безопасности при обработке информации вашей организации.
Имейте в виду, что нынешняя ситуация очень привлекательна для киберпреступников, которые могут украсть пароли и перехватить конфиденциальную информацию в обмен на выкуп. Случаи этого типа произошли в последние месяцы в государственных административных органах с серьезным экономическим и репутационным ущербом.
Этот выбор был сделан с целью облегчить Практическое и исполнительное руководство, предназначенное для неспециалистов в средних и малых государственных администрациях, у которых нет ресурсов для реализации полного и продвинутого плана безопасности. Мы хотим избежать чрезмерного количества информации и давать нежизнеспособные рекомендации в тех обстоятельствах, в которых мы находимся. Для пользователей, которые хотят углубиться в эту тему, мы предоставляем дополнительные ссылки в конце руководства.
Эти рекомендации носят общий характер. Если у вашей организации есть собственное руководство по кибербезопасности, обратите на него внимание.
1. Организационные аспекты
Соблюдайте инструкции по технике безопасности технический менеджер вашей организации.
Используйте инструменты и приложения, авторизованные вашей организацией. Если вам нужно использовать другие решения, будьте осторожны и используйте только проверенные приложения.
А также…
Убедитесь, что созданы резервные копии корпоративных документов, с которыми вы будете работать из дома.
Узнайте, по какому каналу можно сообщать об инцидентах и разрешать сомнения.
Немедленно уведомляйте менеджера по технологиям вашей организации о любых инцидентах, связанных с кибербезопасностью.
2. Рабочая команда
Убедитесь, что система и приложения обновлены до последних версий и это автоматическое обновление версии включено.
Убедитесь, что на вашем компьютере есть системаактивный антивирус и антивирус.
- Для Windows: активно Защитник Microsoft Defender Anti-Malware
- Для MAC: установите рыночное решение с бесплатной версией: Kaspersky, Avast, AVG, Bitdefender и т. Д.
Применить автоматическая блокировка экрана через десять минут.
А также…
Создайте отдельную учетную запись для семьи и работы на дому в своей операционной системе. Следует избегать любого несанкционированного доступа к конфиденциальной информации.
Включите брандмауэр на вашем компьютере.
3. Подключение к Интернету и удаленный доступ.
Избегайте использования незнакомых и надежных общедоступных сетей Wi-Fi для удаленного доступа к службам вашей организации.
А также…
При необходимости используйте службы удаленного доступа VPN (виртуальная частная сеть), рекомендованные вашей организацией для доступа к корпоративным информационным системам.
Убедитесь, что Интернет-маршрутизатор не использует заводской пароль по умолчанию. Вы найдете множество руководств в Интернете и на YouTube. Вы можете использовать процедура, рекомендованная организацией потребителей и пользователей.
Настройте пароль маршрутизатора с помощью безопасных систем шифрования: WPA3 (желательно) или WPA2.
4. Резервные копии
Создавайте резервные копии локально созданных документов с помощью одного из следующих механизмов:
- USB-накопители: вы должны предварительно очистить или отформатировать их, чтобы быть в безопасности.
- Внешний жесткий диск
- Сервис облачного хранилища, авторизованный организацией
5. Пароли и аутентификация
По возможности используйте доступ к цифровым сертифицированным информационным системам (предпочтительно T-CAT P) или системам двухфакторной аутентификации, чтобы предотвратить кражу вашего пароля. (Двухфакторные системы основаны на одноразовых кодах, которые отправляются через SMS или приложение)
Используйте сложные пароли: комбинацию специальных символов, прописных и строчных цифр и букв.
Не записывайте нигде свои корпоративные пароли.
Si установить цифровые сертификаты в программное обеспечение на свой персональный компьютер (TCAT-P, сертификат idCAT) использует опцию «Введите пароль для закрытого ключа»: таким образом цифровой сертификат может использоваться только в том случае, если пароль известен.
А также…
Если вам нужно использовать несколько учетных записей с разными пользователями и паролями, используйте приложение для безопасного управления разными паролями. Есть несколько решений, которые предлагают бесплатную версию (Lastpass, Dashlane и т. Д.). Apple - устройства iOS имеют менеджер паролей, интегрированный с операционной системой.
А также…
Веб-браузеры компьютеров должны быть обновлены и настроены с использованием последней версии и программных исправлений.
Периодически удаляйте историю просмотров, файлы cookie, запомненные пароли и другие временные файлы. Таким образом вы избежите потенциальных шпионских программ.
7. Безопасная видеоконференцсвязь.
Организуйте встречу безопасно. Разрешить присоединяться к сеансу видеоконференцсвязи только пользователям, которые знают данные собрания. в сделать так:
- Crea встреча к которому могут присоединиться только люди гости.
- Envи по приглашению через личную электронную почту ДЕЛЬЗ участники o быть через из платформа или канал seвылечил.
- Сделать lлюди, для которых это имеетГИС гость по электронной почте hagin d 'авторизоваться через d'это мсъел адрес или,
- использует sсистема двухфакторной аутентификации, Например генерирование ссылка на встречу (или идентификатор встречи, в случае Zoom) и требуютnt а слау Объединять.
- Зал ожидания это также очень полезная функция для организаторов, позволяющая контролировать, кто входит, а кто покидает собрание.
- Не делитесь ссылкой, чтобы присоединиться к встрече, через социальные сети или другие общественные форумы. ЛЮБОЙ, у кого есть ссылка, может присоединиться к сессия.
Управляйте участниками.
- Заранее настройте, кто сможет делиться экраном или отправлять файлы через чат во время встречи.
- В случае больших встреч помните, что хозяин может заставить замолчать отдельных участниковния или все сразу, чтобы избежать эха, фонового шума и параллельных отвлекающих факторов или разговоров.
- При необходимости оцените bЛокехаr встреча, когда уже все участники присутствуют, чтобы новые участники не могли присоединиться нежелательные.
А также…
Познакомиться ранее с настройками и функциями инструмента видеоконференцсвязи, который используетатлас для сабля как защитить виртуальное пространство, где будет проходить встреча.
В конце сеанса убедитесь, что виртуальное пространство, где проходила встреча закрыто o доступной только для участники встречи, поскольку там могут быть заметки, личные файлы и информация.
8. Фишинг
Не переходите по ссылкам и не загружайте вложения из подозрительных писем. Подозрение на электронные письма с просьбой о необычных действиях по обновлению паролей. Проверьте адрес отправителя (а не псевдоним) на наличие, казалось бы, законных писем.
А также…
При подключении через Интернет проверьте в строке браузера правильность целевого веб-адреса. Киберпреступники могут полностью скопировать веб-сайт и украсть ваш пароль.
9. По окончании работы
Закрывает все подключения к информационным системам и корпоративным сайтам.
Создайте резервную копию локальных документов, над которыми вы работали, но не покрытых корпоративной резервной копией.
А также…
Удалите историю просмотров, файлы cookie, запомненные пароли и другие временные файлы.
10. Дополнительная информация
- Руководство по кибербезопасности для местных советов и организаций
Каталонская ассоциация муниципалитетов - Правила кибербезопасности при оказании услуг в режиме удаленной работы
Агентство кибербезопасности Каталонии - Таблетка «Кибербезопасность и защита данных»
Школа государственного управления Каталонии - Руководство по безопасности удаленной работы
Центр безопасности ИКТ Валенсийского сообщества - Рекомендации по защите персональных данных в ситуациях мобильности и удаленной работы
Испанское агентство по защите данных - Как безопасно работать удаленно, не подвергая опасности пользователей и организации
Национальный криптологический центр - Руководство по удаленной работе: передовой опыт, примеры политик и кибербезопасность
Университет Северной Каролины, Школа государственного управления - Краткое справочное руководство по дистанционной работе
Центр интеграции кибербезопасности Калифорнии - CCN-CERT BP / 18 Рекомендации по безопасности при удаленной работе и усилении наблюдения
Национальный криптологический центр (расширенный контент) - Как реализовать политику безопасного удаленного доступа
Национальный криптологический центр (расширенный контент) - Руководство по корпоративной удаленной работе и безопасности удаленного доступа
Национальный институт стандартов и технологий (расширенный контент)
Благодарности
Этот набор рекомендаций был разработан на основе собственных ресурсов AOC, директив Агентства кибербезопасности Каталонии, Каталонской ассоциации инженеров электросвязи (Telecos.cat), консультантов Дженис Маргарит Контель и Кристины Рибас Касадемонт. , а также документы в разделе «Дополнительная информация».
От AOC мы хотели бы поблагодарить все самоотверженные и активные вклады, которые мы получили и которые очень полезны и ценны на данный момент для обеспечения безопасности информационных систем государственного сектора.
Заметки
-
Это руководство открыто для предложений, предложений по улучшению и исправлений. Ваши комментарии приветствуются: вы можете отправить их по адресу Innovacio@aoc.cat.
-
Мы попросили две организации сообщества свободного программного обеспечения и четырех пользователей дать нам критические отзывы, чтобы помочь нам дополнить это руководство конкретными рекомендациями для операционных систем на базе Linux. Пока мы не получили никакого ответа.