ГОСТ Р ИСО/МЭК 17799—2005
использованием мобильных средств вычислительной техники следует осуществлять только после
успешнойидентификации иаутентификации, атакже при наличии соответствующих механизмов управ
ления доступом (9.4).
Оборудование, накоторомхранится важная и/иликритическая коммерческаяинформация, несле
дует оставлять без присмотра и по возможности необходимо физически изолировать его в надежное
место или использовать специальные защитные устройства на самом оборудовании, чтобы исключить
его неавторизованное использование. Переносныеустройства необходимотакжефизическизащищать
от краж, особенно когда ихоставляют без присмотра, забывают в автомобилях или других видах транс
порта. гостиничных номерах, конференц-залах и других местах встреч (7.2.5).
Необходимоинформироватьсотрудников, использующихпереносныеустройства, о дополнитель
ных рисках и необходимых мероприятиях обеспечения информационной безопасности, связанных с
этим способом работы.
9.8.2 Работа в дистанционном режиме
При работе в дистанционном режиме, а также для обеспечения работы сотрудников вне своей
организации, в конкретном удаленном месте применяются коммуникационные технологии. При этом
следуетобеспечиватьзащиту мест дистанционной работы какот кражоборудования иинформации, так и
от неавторизованного раскрытия информации, неавторизованного удаленногодоступа к внутренним
системам организации или неправильного использования оборудования. Важно, чтобы при работе в
дистанционном режиме были выполнены требования как поавторизации, так и по контролю со стороны
руководства, а также был обеспечен соответствующий уровень информационной безопасности этого
способа работы.
Организациям необходимопредусматривать разработку политики, процедуры испособы контроля
за действиями, связанными с работой в дистанционном режиме. Организациям следует авторизовы
ватьвозможность работыв дистанционном режиметольковслучаеуверенности, чтоприменяютсясоот
ветствующие меры информационной безопасности, которые согласуются с политикой безопасности
организации. Необходимо принимать во внимание:
- существующуюфизическуюбезопасностьместа работы вдистанционном режиме, сточки зрения
безопасности здания и окружающей среды;
- предлагаемое оборудование мест дистанционной работы;
- требованиякбезопасности коммуникаций, исходя из потребностивудаленномдоступе квнутрен
ним системам организации, важности информации, к которой будет осуществляться доступ и которая
будет передаваться по каналам связи, а также важность самих внутренних систем организации;
- угрозу неавторизованногодоступа кинформации или ресурсам со стороныдругихлиц, имеющих
доступ к месту дистанционной работы, например, членов семьи и друзей.
Мероприятияпообеспечению информационнойбезопасностив этихусловияхдолжны включать:
- обеспечение подходящим оборудованием и мебелью места дистанционной работы;
- определение видов разрешенной работы, времени работы, классификацию информации, кото
рая может храниться, а также определение внутренних систем и услуг, доступ к которым авторизован
лицу, работающему в дистанционном режиме;
- обеспечение подходящим телекоммуникационным оборудованием, в том числе средствами
обеспечения безопасности удаленного доступа.
- физическую безопасность;
- правила ируководства в отношении доступа членов семьи идрузей к оборудованию иинформа
ции;
- обеспечение поддержки и обслуживания оборудования и программного обеспечения;
- процедуры в отношении резервирования данных и обеспечения непрерывности деятельности;
- аудит и мониторинг безопасности;
- аннулирование полномочий, отменуправдоступа ивозвращениеоборудования вслучае прекра
щения работы в дистанционном режиме.
10 Разработка и обслуживание систем
10.1 Требования к безопасности систем
Цель: обеспечение учета требований безопасности при разработке информационных систем.
Эти требования касаются инфраструктуры, бизнес-приложений, атакже приложений, разработан
ных пользователями. Процессы проектирования и внедрения бизнес-приложения или сервиса могут