Цирк уехал, клоуны остались. Эссе о трудовых отношениях, постпандемийном периоде и безопасности информации
Прежде чем выйти из кабины лифта…
Убедитесь, есть ли земля!
Доктор Алешин (Максим Алешин)
ПАНДЕМИЯ И ТРУДОВОЙ КОДЕКС
Я не хотел бы, чтобы читатели воспринимали фразу, вынесенную в заголовок, в отрицательной коннотации. Давайте будем позитивными. Я вкладываю в неё примерно такой же смысл, как во фразу «дома новы, а проблемы стары».
А поговорить я хотел бы о нововведениях в Трудовой кодекс, толчком к которым послужила злополучная пандемия. Мы все выходим (и слава богу, успешно!) из этого испытания другими. И жизнь в постпандемийный период уже не будет такой, как раньше. Надо привыкать к новым реалиям. И одной из таких реалий является необходимость и возможность удалённой работы сотрудников. После пандемии экономические, социальные, деловые и прочие связи изменяются до неузнаваемости. Большинство из тех, кто уже принял новую модель работы, не захотят возвращаться к офисному варианту. Мнения об эффективности удалённой работы разные. Многие считают, что за счёт отвлекающих факторов и отсутствия самоконтроля эффективность «домашней» работы падает. Однако учёные Стэнфордского университета утверждают [1], что производительность труда в домашних условиях увеличилась на 13%. Но сейчас не об эффективности новой модели работы. Это удел хозяев бизнеса, которые, соизмерив KPI работников и экономию на аренде помещений и коммунальных услугах, будут оценивать эффективность удалёнки и необходимость перевода на неё своих сотрудников.
Сейчас вот о чём. На сегодня права работника в условиях удалённой работы не регулируются законодательством, в Трудовом кодексе фигурирует только понятие дистанционной работы. Авторы законопроекта, который внесли в парламент 16 июня, предлагают добавить понятия «временная дистанционная (удалённая) работа» и «комбинированная дистанционная (удалённая) работа». Это позволит работникам официально работать вне стационарного рабочего места, а переводить на такой режим сотрудников можно будет на основании как минимум трёх факторов — соглашения сторон, производственной необходимости или обстоятельств непредвиденного характера. Кроме того, для дистанционных работников предлагают, так же как и для обычных, закрепить режим труда. Они получат право не быть на связи с работодателем круглосуточно.
Предусмотрен и упрощённый порядок введения режима временной дистанционной (удалённой) работы, который должен предусматривать издание локального нормативного акта с установлением списков работников, переводимых с их согласия на временную дистанционную (удалённую) работу, а также порядок организации режима временной дистанционной (удалённой) работы. И при этом в этих локальных актах должны быть отражены в том числе и вопросы возмещения связанных с выполнением удалённой работы расходов: оплата электроэнергии, используемого программного обеспечения, включая антивирусную защиту, использование работником личного оборудования, программно-технических средств, средств защиты информации и других расходов. Ну, к этому чуть позже.
Проектом изменений в Трудовой кодекс также предусматривается право работодателя устанавливать дополнительное условие об обязанности дистанционного работника использовать при выполнении им своей трудовой функции оборудование, программно-технические средства, средства защиты информации и иные средства, предоставленные или рекомендованные работодателем. А это уже важно с точки зрения безопасности информации.
ОТНОШЕНИЯ НОВЫЕ – ПРОБЛЕМЫ СТАРЫЕ
Вот и получается, новые производственные отношения возникли, а проблемы безопасности информации – остались старые. Я уже, раскрывая концепцию доверенной среды, как-то писал о ситуации, когда сеть работодателя находится в защищённом сегменте, к которому предъявляются особые требования по безопасности информации. И он подконтролен администратору безопасности, который следит за тем, чтобы были соблюдены правила доступа пользователей, чтобы всё программное обеспечение было доверенное, чтобы, не дай бог, не пролез какой-нибудь троян. Но в ситуации, когда исчезает само понятие «периметр», администратор безопасности ничего проверить не может: территория и зона ответственности – не его, он сюда доступа не имеет. Но есть жёсткое требование бизнеса – работать удалённому пользователю. Даже если удалённый пользователь прошёл все установленные процедуры идентификации – аутентификации – авторизации и у администратора безопасности нет, кажется, оснований не допустить пользователя в закрытую сеть, он не может быть уверен, что все эти требования по обеспечению безопасности информации на удалённом рабочем месте выполнены.
О ДОВЕРЕННОЙ СРЕДЕ
Проще говоря, возвращаясь к теме, работодатель (или его доверенное лицо – администратор безопасности) должен иметь возможность контролировать, с помощью каких программно-технических средств и средств защиты информации сотрудник осуществляет свои трудовые функции. Мы должны быть уверены в лояльности всех элементов информационной системы, то есть доверять им. Если мы сможем быть уверенными в надёжности каждого элемента, в том числе удалённых рабочих мест, нам не обязательно изолировать их в замкнутой среде. Это и есть смысл концепции «доверенной среды».
Здесь появляется проблема оценки доверия к тому устройству, на котором пользователь проводит процедуру идентификации – аутентификации – авторизации. Чтобы минимизировать риски и обеспечить доверенную среду обработки информации, необходимо обеспечить постоянный мониторинг состояния удалённых рабочих мест. Администратор безопасности должен иметь инструмент, позволяющий в момент подключения рабочего места к информационной системе и в течение всего сеанса взаимодействия контролировать состав аппаратного и программного обеспечения удалённых рабочих мест, определять тип и состав зарегистрированных USB-устройств, проверять запущенные в операционной системе процессы и доступность сетевых сред, работу антивирусных средств, уметь регистрировать любые события, влияющие на безопасность рабочего места и, в частности, регистрировать любые изменения в аппаратной и программной среде, нарушения правил информационной безопасности. Такой инструмент должен позволять указать строгий перечень разрешённых к использованию удалёнными сотрудниками устройств и программного обеспечения и проводить отслеживание нежелательных изменений в реальном времени. Другими словами, оберегать удалённых сотрудников от небезопасных действий.
О РАСХОДАХ
А теперь о проблеме возмещения связанных с выполнением удалённой работы расходов. Сразу же соглашусь с оппонентами, которые могут сказать, что эта проблема не имеет отношения к безопасности информации. Да, это так. Но с другой стороны, Трудовой кодекс требует от работодателя для учёта расходов контролировать использование работником программного обеспечения, включая антивирусную защиту, личное оборудование, программно-технические средства, средства защиты информации. То есть работодатель должен иметь возможность контролировать, чем занимается работник на удалёнке. С технической точки зрения эта задача полностью аналогична задаче контроля доверенной среды на удалённом рабочем месте. А если это так, то зачем выдумывать велосипед? Почему же нельзя средства мониторинга доверенной среды использовать и для целей контроля затрат на выполнение удалённой работы? Это, прямо как Head & Shoulders, два в одном.
ВЫХОД ЕСТЬ!
В заключение хочу сказать, что сейчас на рынке имеются средства мониторинга состояния безопасности информации. Но это, как правило, достаточно большие и дорогие комплексы, имеющие очень большой и зачастую избыточный перечень функций. Да и не всегда они «заточены» под решение озвученных проблем. Для их настройки и эксплуатации требуются высококвалифицированные специалисты и постоянное обращение к специализированным мониторинговым фирмам, способным правильно выработать правила обнаружения инцидентов безопасности информации. Это не всегда по карману бизнесу, особенно если он входит в SMB-сегмент. Но есть на рынке и недорогие, простые в обслуживании и не требующие специально обученных людей системы, которые имеют гибкую настройку параметров контроля и создания правил контроля для каждого компьютера, позволяют визуализировать динамику результатов мониторинга.
Примером недорогой, но эффективной системы, позволяющей решить проблемы обеспечения доверенной среды обработки защищаемой информации в распределённых информационных системах,может служить программный комплекс «САКУРА» (Система Активного Контроля Удалённой Работы АРМ).
В чём отличие комплекса «САКУРА» от SIEM-систем? Любая SIEM-система является внешней по отношению к информационной системе. Это элемент апостериорной защиты. Её можно сравнить с томографом, который позволяет определить «болевые» точки в информационной системе и выработать тактику устранения проблем. В отличие от SIEM, комплекс «САКУРА» является неотъемлемой частью самой информационной системы, он находится внутри неё. Это своеобразный нерв информационной системы, который моментально реагирует на любые отклонения от установленных параметров и при необходимости блокирует проблемный участок информационной системы.
Комплекс «САКУРА» выполняет роль элемента априорной защиты, он позволяет получать актуальную информацию и историю изменения рабочих мест, контролирует все действия на удалённом устройстве, проверяет, какие антивирусы и программное обеспечение установлены на рабочем месте, наличие обновлений операционных систем, анализирует «поведенческую модель» сотрудника, проводит аудит доступа к компьютеру, запрещает использование нежелательных программ и уведомляет о возможных рисках. «САКУРА» может автоматически отключить удалённого сотрудника от корпоративных ресурсов при выявлении нарушений, которые могут привести к краже конфиденциальной информации.
Комплекс «САКУРА» обеспечивает выполнение мер обеспечения безопасности информации, предусмотренных ГОСТ Р 57580.1 (БФО), Положением Банка России № 382-П (НПС), Приказом ФСТЭК России № 17 (ГИС), Приказом ФСТЭК России № 239 (КИИ).
Комплекс «САКУРА» имеет программную реализацию и построен на клиент-серверной технологии. При этом АРМ могут быть развёрнуты на операционных системах как Windows, так и Linux.
Узнайте подробнее о решении «САКУРА» и получите консультацию экспертов по информационной безопасности по телефону: +7(499) 450 2886 или на сайте компании «ИТ-Экспертиза».
.jpg)