В данной статье рассматриваются основы информационной безопасности сотрудников, которые осуществляют свою трудовую деятельность на удаленной работе.Показаны основные уязвимости и угрозы, характерные для удаленной работы и безопасности удаленного доступа, и сформулированы стратегии смягчения этих угроз. Рассмотрены наиболее часто используемые методы удаленного доступа и предложены рекомендации для смягчения последствий угроз.
Ключевые слова: дистанционная работа сотрудников, удаленная работа, информационная безопасность, электронная подпись, защита информации.
This article discusses the basics of information security of employees who carry out their work remotely. The main vulnerabilities and threats characteristic of remote work and remote access security are shown, and strategies for mitigating these threats are formulated. The most frequently used methods of remote access are considered and recommendations for mitigating the consequences of threats are proposed.
Keywords: remote work of employees, remote work, information security, electronic signature, information protection.
В 2019 году распространение вируса повлекло за собой системные изменения в различных трудовых отраслях не только в России, но и во всем мире.
Многие организации были вынуждены перевести своих сотрудников на дистанционный формат работы, и с этого момента развитие удаленной работы стало играть одну из главенствующих ролей трудоустройства. Соответственно возникла объективная необходимость в модернизации нормативно-правовой базы.
Дистанционная работа предполагает, что сотрудник будет осуществлять свою работу удаленно, осуществляя ее через интернет либо по телефону или иным видам связи. При этом, стоит отметить, что само понятие дистанционной удаленной работы уже было введено в нормы Трудового кодекса РФ еще в 2013 году, закрепив понятие, что дистанционно работой является работа, которую сотрудник выполняет вне места нахождения работодателя, его филиала, представительства с использованием сети «Интернет».
К сожалению, пандемия затронула тот спектр услуг, в котором предусмотрен и обязателен непосредственный контакт между людьми. Поход в кинотеатр, в ресторан или в другое место массового скопления людей представляет особую опасность заразиться неизвестным вирусом.
Но пандемия, нанесла самый тяжелый удар по бизнесу и сфере государственных услуг. На удаленную работу также были переведены и часть сотрудников системы МВД РФ.
Правительство всех регионов издавало нормативные акты, устанавливающие режим повышенной готовности, в котором прописывался ряд правил и запретов на посещение различных мест наибольшего скопления людей.
Но все же этот период был скачком к развитию удаленной работы и закрепления его на законодательном уровне, как обыкновенный процесс. До сих пор многие компании уделяю акцент на удаленную работу, ведь высококлассные специалисты смогу осуществлять свою деятельность из любой точки мира, главное, чтобы был интернет и ноутбук.
В современном мире информационные технологии развиваются в ускоренном темпе, существует множество программ дающие возможность работать из дома.
Работники на «удаленке» используют различные устройства для осуществления своей деятельности,
Помимо персональных компьютеров, работать можно, как и на планшете, так и на смартфоне. Но, к сожалению, пользователь данных устройств может потерять доступ к ним, либо потерять логин и пароль и все его деятельность и информация может утечь сторонним лицам. Соответственно, роль информации в наш век технологии постоянно растет.
В настоящее время понятие информационной безопасности и ее угрозе, закреплено в Указе Президента № 646 от 2016 года «Об утверждении Доктрины информационной безопасности Российской Федерации». Информационная безопасность представляет собой состояние, при которых защищены личность, общество и государство, от угроз информационного характера, как от внутренних, так и внешних, при которых происходит обеспечение реализации конституционного права и свободы человека и гражданина, реализуется достойное качество и уровень жизни, территориальная целостность, а также устойчивое социально-экономическое развитие страны, оборона и безопасность государства. Угрозы информационной безопасности — это совокупность действий и факторов, которые создают опасность нанести ущерб национальным интересам в информационной сфере [7].
В государственных структурах информация так же имеет свою защиту. Специфика информационного взаимодействия органов государственной власти, органов местного самоуправления состоит в том, что в их информационных системах накапливается и обрабатывается информация, которая в соответствии с действующим законодательством (указ Президента РФ № 188 от 06 марта 1997) классифицируется как конфиденциальная [10].
Так же существует и закон о персональных данных, который устанавливает, что необходимо использовать шифровальные (криптографические средства) для того, чтобы защитить персональные данные при осуществлении их обработки [2].
Также ст. 16 ФЗ «Об информации, информационных технологиях и о защите информации» устанавливает, что обладатель информации обязан предотвратить к ней несанкционированный допуск, своевременно обнаружить такой допуск, контролировать защищенность информации и т. д. [3].
При подключении информационных систем к сети общего пользования (к Интернету) или использование незащищенных коммуникаций может привести к возникновению целого ряда реальных угроз безопасности.
Законодательство по защите информации и созданию и эксплуатации информационных систем требуют организаций:
– защиты конституционных прав и свобод граждан на сохранение личной тайны и конфиденциальности персональных данных, которые имеются в информационных системах;
– перекрывать каналы утечки информации персональных данных;
– обеспечивать защиту от уничтожения персональных данных;
– предотвращения возможности искажения, подделки и обработки посторонними информации.
Осуществляя деятельность по защите информации, организации, в том числе должны руководствоваться Указом Президента РФ «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации». Данный закон запрещает использовать по работе с персональными данными не сертифицированные программы [11].
Мероприятия по защите информации, передаваемой по каналам связи должны обеспечивать защиту от несанкционированного доступа, просмотра и модификации информации, передаваемой по внешним каналам, посредством использования цифровых сертификатов и протоколов строгой аутентификации для взаимной аутентификации сторон при установлении сетевого соединения и криптографических алгоритмов для обеспечения конфиденциальности и целостности передаваемой информации.
Для того, чтобы наилучшим образом обеспечить безопасность информации в государственный органах, возможно, обратится к западному методу защиты информации. В настоящее время, более прогрессивные государственные ведомства начинают свою ориентацию на концептуальный подход к защите информации, который основывается на разработке системного подхода к обеспечению информационной безопасности. Такой подход включает в себя предварительное проектирование системы, анализ рисков, а также последующую оценку эффективности всех применяемых мер.
Ввиду того, что сотрудники МВД РФ перестали в период пандемии осуществлять личный прием граждан, все заявления граждане имели возможность подать через почтовые отделения либо в электронной форме. При этом, такие заявления возможно было подать и через сайт Госуслуг. Подавая такое заявление, лицо обязано иметь электронную подпись на основании ФЗ «Об электронной подписи» [4].
Электронная подпись (ЭП или ЭЦП) указывает на то, что документ подписан именно вами. Электронная подпись бывает нескольких видов: простая электронная подпись и усиленная. При этом последняя имеет также свое подразделение на квалифицированную и неквалифицированную. Главным отличием данных видов подписей является их защита и статус. Усиленная квалифицированная подпись требуется в том случае, если требуется поставить подпасть с печатью. Также усиленная подпись дает гарантию о том, что в документ не были внесены изменения после его подписания. При этом, обычные граждане обладают обычной электронной подписью.
Осуществляя свою работу, сотрудники, как удаленной работы, так и нет, постоянно имеют доступ к различной информации. Информация может находиться в открытом доступе, либо может быть засекречена. Таким образом, информация имеет два подразделения: доступная и засекреченная. Также имеется и еще один вид информации, доступ к которой является ограниченным и узнать такую возможно только при наличии определенных условий, например при наличии допуска. Обладатель информации обязан предотвратить к ней несанкционированный допуск, своевременно обнаружить такой допуск, контролировать защищенность информации.
Таким образом, можно говорить о том, что информация, вне зависимости от ее происхождения и вида должна быть защищена и подлежит охране. В качестве основных угроз при работе дистанционно являются прямые угрозы информационной безопасности, среди которых следует выделить:
– конфиденциальность — гарантия того, что работа при удаленном доступе и сохраненные данные не могут быть прочитаны злоумышленниками;
– целостность — возможность обнаружения любых преднамеренных или непреднамеренных изменений к удаленному доступу сотрудника;
– доступность и открытость — гарантия того, что работники могут получать доступ к любому виду информации и необходимых программ для осуществления своей деятельности.
Главной задачей сотрудника на удаленной работе является защита полученных и передаваемых данных, в том числе личных данных, конфиденциальных и секретных данных. С приходом пандемии и перевод многих сотрудников на удаленную работу, привело к тому, что стали усиливаться различные кибератаки на различные виды информации. Примерами таких кибератак возможно назвать рассылку на электронную почту вложений, имеющие вредоносную программу или ссылку, предложения об установке различных программ, посещение фейковых порталов и так далее.
Чтобы достичь главную цель удаленной работы — защиту информации, необходимо подобрать тот спектр программ и персональных устройств, которые смогут обезопасить удаленную работу и снизить риски потери информации до минимума [8].
В первую очередь, необходимо провести разграничение доступа к домашнему компьютеру, при этом, по возможности не дать домашним работать на том компьютере, либо в пользователе, где осуществляется работа, использовать защищенную корпоративную почту, наличие антивируса, использование только лицензионных программ, наличие системы резервного копирования, электронную подпись и так далее. Наиболее важным считается обучение и информирование пользователей о фишинг-угрозах и контрмерах при удаленном трудовом процессе, особенно при проведении рабочих видеоконференций.
Интернет повсюду, поэтому любой сотрудник, находящийся на удаленной работе, может работать, как дома, так и в любом общественном месте. Устройства, с которых работает сотрудник, находятся вне контроля организации. Автономность и не защищенность этих устройств повышает риск их потери или кражи, что в дальнейшем может привести к потери всех персональных и иных находящихся на данном устройстве данных.
С целью предотвращения данной проблемы, организации просто необходимо шифровать информацию, устанавливать ограничения использования сторонних ПО и устройств, а также разрешать доступ к информации только к определенному кругу лиц, т. е. ограничивать передачу информации иным пользователям, не имеющих доступ.
Стоит также обратить внимание на нормы закона, устанавливающие правопорядок дистанционной работы.
Статья 312.3. Трудового кодекса Российской Федерации устанавливает, что порядок взаимодействия работодателя и дистанционного работника, в том числе правила передачи результатов работы и отчетов о выполненной работе по запросам работодателя, устанавливается коллективным договором, локальным нормативным актом, трудовым договором или дополнительным соглашением к трудовому договору.
По моему мнению, просто необходимо внести в Трудовой кодекс Российской Федерации нормы, устанавливающие ответственность дистанционного работника за использование для передачи информации о результатах работы мессенджеров и иных коммуникационных систем, не предусмотренных локальными нормативными актами или трудовым договором.
Предлагается внести изменения по аналогии со ст. 192 Трудового кодекса Российской Федерации «Дисциплинарные взыскания» и установить, что работодатель имеет право применить дисциплинарные взыскания в виде замечания, выговора за нарушение дистанционным работникам установленного порядка коммуникаций с работодателем.
Также представляется целесообразным внести соответствующие изменения в главу 49.1 Трудового кодекса Российской Федерации: ст. 312.1 дополнить пунктом, регулирующим порядок уведомления работником, выполняющим свои функции в удаленном режиме, о своем фактическом месте нахождения. В случае систематического нарушения данной нормы представляется целесообразным предусмотреть возможность расторжения трудового договора с дистанционным работником.
Но это не означает, что работодатель, в любом удобном для него случае может применить дисциплинарную ответственность к работнику осуществляющую свою деятельность дистанционно.
Последний абзац ст. 192 Трудового кодекса Российской Федерации нужно изложить в следующей редакции:
«При наложении дисциплинарного взыскания должны учитываться тяжесть совершенного проступка и обстоятельства, при которых он был совершен. При нарушении работником правил осуществления дистанционной работы и иных обязанностей, предусмотренных настоящим кодексом, работодатель обязан учитывать степень вины работника и принятые работником меры по предотвращению выявленных нарушений». Данная поправка позволит работнику обезопасить себя от злоупотребления работодателем правом, предусмотренным ст. 192 Трудового кодекса Российской Федерации [1].
Особо стоит уделить внимание отсутствию на удаленной работе безопасного подключения к сетям Wi-Fi.
Злоумышленник, имеющий логин и пароль и позволяющий активировать доступ к устройству, подключенному через Wi-Fi, может установить на устройство вредоносное ПО или просто заразить его вирусами для дальнейшего осуществления сбора данных с него, а также из открытых сетей, к которым оно подключается или было подключено. В дальнейшем, данное вредоносное ПО может заразить все персональные устройства, как пользователя, так и всей организации.
Для того, чтобы обезопасить сотрудников достаточно предоставить сотрудникам антивирусные программы. Перед каждым началом работы необходимо запускать проверку на наличие вирусов, и только после получения отчета об отсутствии вирусов и иных неблагоприятных программ, можно приступать к работе. В дополнение к этому организациям необходимо провести работу по осуществлению контроля доступа к сети Интернет, в том числе осуществлять проверку безопасности клиентского устройства, прежде чем он приступит к выполнению своих прямых обязанностей [9].
Соответственно представляется целесообразным внести в Трудовой кодекс российской Федерации норму, устанавливающую ответственность дистанционного сотрудника за использование не защищенных антивирусными программами сетей.
Также стоит отметить, что каждая форма удаленного доступа, которая может быть использована для доступа к внутреннему ресурсу, увеличивает риск того, что этот ресурс будет скомпрометирован.
Организациям, которые позволяют осуществлять работу сотрудникам из дома следует обратить особое внимание на ту работу, которую осуществляет их сотрудник. Если сотрудник — оператор и в его обязанности входят только звонки клиентам, то удаленная работа не несет никаких рисков. Но следует понимать, что, если сотрудник, к примеру, имеет доступ к корпоративной или финансовой тайне, не стоит переводить его на удаленную работу или на период удаленной работы системно ограничить доступ сотруднику к данной «тайной информации».
Подводя итог всего вышесказанного, хочется подчеркнуть, что обеспечение сотрудников и работников, находящихся на удаленном рабочем месте, необходимым набором антивирусных программ, а также проведение разъяснительной работы по осуществлению безопасной информационной работы в таких условиях, является для организации жизненно важной задачей, позволяющей минимизировать существующие риски.
Литература:
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (ред. от 19.12.2022, с изм. от 11.04.2023) (с изм. и доп., вступ. в силу с 01.03.2023) (дата обращения 10.05.2023).
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) «О персональных данных» (дата обращения 10.05.2023).
- Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 29.12.2022) «Об информации, информационных технологиях и о защите информации» (дата обращения 10.05.2023).
- Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 28.12.2022) «Об электронной подписи» (дата обращения 10.05.2023).
- Указ Президента РФ от 03.04.1995 N 334 (ред. от 25.07.2000) «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (дата обращения 10.05.2023)
- Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера» (дата обращения 10.05.2023)
- Указ Президента РФ от 05.12.2016 N 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» (дата обращения 10.05.2023)
- Афанасьева Д. В. Информационная безопасность при удаленной работе / Известия Тульского государственного университета. Технические науки, 2021. № 5. С. 289–292. — Текст: непосредственный.
- Попов И. О. Вирусы и антивирусные программы в информационной безопасности / Научные записки молодых исследователей, 2020. № 4. С. 74–80.
- Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера» (дата обращения 10.05.2023)
- Указ Президента РФ от 03.04.1995 N 334 (ред. от 25.07.2000) «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (дата обращения 10.05.2023)
