Αρχική»e-Υπηρεσίες»Πολιτική Τηλεργασίας

e-Υπηρεσίες

Σκοπός

Οι κινητές συσκευές, όπως τα smartphones και τα tablet, είναι σημαντικά εργαλεία για τον οργανισμό και ο Δήμου Χερσονήσου (ΔΧ) υποστηρίζει τη χρήση τους για την επίτευξη επιχειρηματικών στόχων.

Όταν χρησιμοποιείτε κινητό εξοπλισμό υπολογιστών (φορητούς υπολογιστές, tablet κ.λπ.) απαιτείται ιδιαίτερη προσοχή για τη διασφάλιση της προστασίας των ευαίσθητων πληροφοριών.

Η τηλεργασία χρησιμοποιεί τις τεχνολογίες τηλεπικοινωνιών για να μπορεί το προσωπικό να εργάζεται εκτός των εγκαταστάσεων. Η τηλεργασία πρέπει να εγκρίνεται και να ελέγχεται από τη διοίκηση και προϋποθέτει ότι πληρούνται οι κατάλληλες προϋποθέσεις και απαιτήσεις.

Σημείωση: Η χρήση κινητών συσκευών και η τηλεργασία γενικά ΔΕΝ επιτρέπεται. Εάν ο υπεύθυνος ασφαλείας πληροφοριών του Δήμου Χερσονήσου (ΔΧ) εγκρίνει τη χρήση κινητών συσκευών και τηλεργασίας, τότε αυτή η πολιτική θα πρέπει να ακολουθηθεί.

Πεδίο

Όλες οι κινητές συσκευές, είτε ανήκουν στο ΔΧ ή ανήκουν σε υπαλλήλους, συμπεριλαμβανομένων των smartphone και των υπολογιστών tablet, που έχουν πρόσβαση σε εταιρικά δίκτυα, δεδομένα και συστήματα διέπονται από αυτήν την πολιτική ασφάλειας κινητών συσκευών.

Η πολιτική αυτή καλύπτει τις ακόλουθες πτυχές ασφάλειας της κινητής πληροφορικής και της τηλεργασίας:

  • Γενικά Θέματα
  • Χρήση φορητών υπολογιστών
  • Ευθύνες του χρήστη
  • Κινητών υπολογιστών και ασύρματων ελέγχων ασφαλείας.

Δήλωση Πολιτικής

Roles and Responsibilities

Ο υπεύθυνος ασφάλειας πληροφοριών του ΔΧ έχει τη συνολική ευθύνη για τη δημιουργία των ελέγχων ασφαλείας για κινητές συσκευές που ανήκουν ή παρέχονται από το ΔΧ και πρέπει να :

  • Δώσει έγκριση της χρήσης κινητών συσκευών που ανήκουν ή παρέχονται από το ΔΧ για υπαλλήλους με λειτουργίες εργασίας που είναι κρίσιμες για τις επιχειρηματικές λειτουργίες του ΔΧ.
  • Παρέχει τη διανομή, τη λειτουργία και τη διοικητική υποστήριξη των κινητών συσκευών που ανήκουν στον ΔΧ.
  • Δημιουργήσει και διατηρήσει ρυθμίσεις παραμέτρων ασφαλείας για όλες τις κινητές συσκευές που ανήκουν στο ΔΧ, συμπεριλαμβανομένης της ενημέρωσης κώδικα και της αναβάθμισης λογισμικού/υλικο-λογισμικού (software/firmware).
  • Συνδεθεί και παρακολουθεί τη δραστηριότητα σε όλες τις κινητές συσκευές που ανήκουν στον ΔΧ  όπως εφαρμόζονται στην  ISMSP-08 Πολιτική Κινητών Συσκευών.
  • Αναθεωρεί αυτή τη Πολιτική Κινητών Συσκευών .

 

Το προσωπικό του ΔΧ θα πρέπει να συμμορφώνεται με αυτήν την πολιτική. Οι διευθυντές του ΔΧ θα πρέπει να διασφαλίζουν ότι η πολιτική εφαρμόζεται από όλους τους υπαλλήλους των υπηρεσιών τους και να ενημερώνουν τον Υπεύθυνο Ασφάλειας Πληροφοριών για οποιοδήποτε περιστατικό ή αδυναμία ασφαλείας που σχετίζεται με τις κινητές συσκευές και την τηλεργασία.

 

Γενικά Θέματα

Επιλογή και χρήση μηχανισμών ασφάλειας κινητών υπολογιστών

Ο ΔΧ πρέπει να εφαρμόζει συνδυασμό ειδικών ελέγχων ασφαλείας για τον κινητό εξοπλισμό πληροφορικής / τηλεργασίας βασισμένο :

  • στα επίπεδα ταξινόμησης των πληροφοριών που φιλοξενούνται στον κινητό εξοπλισμό πληροφορικής / τηλεργασίας
  • στην κρισιμότητα των δεδομένων / συστημάτων στα οποία επιτρέπεται η απομακρυσμένη πρόσβαση.

Ως εκ τούτου, η στρατηγική ασφάλειας του εξοπλισμού κινητής πληροφορικής / τηλεργασίας τοθ ΔΧ θα πρέπει να εξετάσει το ενδεχόμενο ενσωμάτωσης μηχανισμών και πρακτικών ασφαλείας, όπως οι ακόλουθες:

  • Προσωπικό τείχος προστασίας
  • Μηχανισμοί προστασίας από ιούς, λογισμικό υποκλοπής και κώδικα κινητής τηλεφωνίας
  • Μηχανισμοί κρυπτογράφησης αποθήκευσης
  • Μηχανισμοί δημιουργίας αντιγράφων ασφαλείας
  • Ασύρματες κάρτες που υποστηρίζουν ισχυρά πρωτόκολλα κρυπτογράφησης.
  • Λύση λογισμικού που παρέχει τη δυνατότητα ασφαλούς διαγραφής δεδομένων που είναι αποθηκευμένα σε φορητούς υπολογιστές / εξοπλισμό.

Απομακρυσμένη πρόσβαση στο εταιρικό δίκτυο

Πρέπει να υπάρχει μηχανισμός ασφαλείας / υποδομή για να εξασφαλίζεται ότι εφαρμόζονται διάφοροι έλεγχοι ασφαλείας πριν επιτραπεί η πρόσβαση στο εταιρικό δίκτυο για σκοπούς τηλεργασίας. Πιο συγκεκριμένα, κατά τη διάρκεια της απομακρυσμένης σύνδεσης του εξοπλισμού κινητής πληροφορικής / τηλεργασίας με το εταιρικό δίκτυο, πρέπει να ελέγχονται τα ακόλουθα, κατά περίπτωση:

  • Χρήση εγκεκριμένου εξοπλισμού,
  • Χρήση του πιο πρόσφατου λογισμικού προστασίας που να ενημερώνεται με τις τελευταίες για ιούς και spyware ορισμούς / υπογραφές,
  • Το λειτουργικό σύστημα να είναι πλήρως ενημερωμένο με τις τελευταίες ενημερωμένες εκδόσεις κώδικα ασφαλείας και διορθώσεις.

Η εσωτερική ή εξωτερική απομακρυσμένη πρόσβαση σε εταιρικούς πόρους δικτύου πρέπει να επιτρέπεται μόνο εάν ο κινητός εξοπλισμός πληροφορικής / τηλεργασίας είναι σύμφωνος με τους παραπάνω κανόνες και πρέπει να εκτελείται σύμφωνα με το σχετικό ISMSP-02 Πολιτική Ελέγχου Πρόσβασης και διαδικασίες.

Εγκεκριμένη μέθοδος απομακρυσμένης σύνδεσης

Οποιαδήποτε πρόσβαση στο δίκτυο του ΔΧ (π.χ. για πρόσβαση στην υπηρεσία κοινής χρήσης αρχείων, για τη διαχείριση υποδομών ασφαλείας κ.λπ.) πρέπει να εκτελείται μόνο μέσω ασφαλούς σύνδεσης εικονικού ιδιωτικού δικτύου (VPN). Η πρόσβαση πρέπει να παρέχεται με τη χρήση μηχανισμών ελέγχου ταυτότητας δύο παραγόντων, συμπεριλαμβανομένων των υπηρεσιών που βασίζονται στο cloud.

Παράδοση και Επιστροφή Εξοπλισμού Κινητής Τηλεφωνίας / Τηλεργασίας

Όλοι οι υπάλληλοι και οι τρίτοι χρήστες που είναι εξουσιοδοτημένοι να χρησιμοποιούν τον εξοπλισμό κινητής τηλεφωνίας / τηλεργασίας που ανήκει στο ΔΧ για την εκτέλεση συγκεκριμένων καθηκόντων πρέπει να επιστρέψουν τον εξοπλισμό που τους παρέχεται και ανήκει στο ΔΧ, μετά τη διεξαγωγή των συγκεκριμένων δραστηριοτήτων ή να παύσουν να απασχολούνται από το ΔΧ.

Χρήση εξοπλισμού κινητής πληροφορικής / τηλεργασίας

Η άδεια χρήσης του κινητού εξοπλισμού πληροφορικής / τηλεργασίας είναι αυστηρά προσωπική και οποιαδήποτε χρήση από μη εξουσιοδοτημένα μέρη απαγορεύεται ρητά. Όλοι οι εξουσιοδοτημένοι υπάλληλοι / χρήστες πρέπει να διασφαλίσουν ότι ο εν λόγω εξοπλισμός χρησιμοποιείται μόνο από τους ίδιους και όχι από μη εξουσιοδοτημένους υπαλλήλους, συμπεριλαμβανομένων των συγγενών τους.

Προστασία από κακόβουλο & κινητό κώδικα

Πρέπει να επιβάλλονται επαρκείς έλεγχοι ασφαλείας σε κάθε κινητό υπολογιστή και εξοπλισμό τηλεργασίας για την προστασία τους από κακόβουλο και κινητό κώδικα. Για τον εταιρικό εξοπλισμό, το λογισμικό προστασίας πρέπει να ενημερώνεται από το αρμόδιο προσωπικό πληροφορικής σε τακτά χρονικά διαστήματα.

Χρήση φορητών υπολογιστών

Έλεγχος πρόσβασης για φορητούς υπολογιστές

Όλοι οι φορητοί υπολογιστές πρέπει να προστατεύονται με ισχυρούς μηχανισμούς ελέγχου πρόσβασης, έτσι ώστε η πρόσβαση σε αυτούς να επιτρέπεται μόνο σε εξουσιοδοτημένους χρήστες. Η αναγνώριση χρήστη και ο έλεγχος ταυτότητας πρέπει να εφαρμόζονται τόσο σε επίπεδο λειτουργικού συστήματος όσο και σε επίπεδο δικτύου.

Φυσική προστασία φορητών υπολογιστών

Πρέπει να λαμβάνονται όλες οι απαραίτητες προφυλάξεις για την ασφαλή και ασφαλή μεταφορά και αποθήκευση των φορητών υπολογιστών. Οι φορητές υπολογιστικές συσκευές χωρίς παρακολούθηση πρέπει να είναι φυσικά ασφαλισμένες. Επιπλέον, πρέπει να λαμβάνονται υπόψη οι περιβαλλοντικές συνθήκες ώστε να εξασφαλίζεται ότι ο εξοπλισμός ή τα δεδομένα {ABBREVIATION_NAME} δεν διατηρούνται σε περιοχή όπου η θερμότητα, το κρύο, το νερό ή η υγρασία θα μπορούσαν να προκαλέσουν βλάβη.

Software / Hardware Changes

Οι αλλαγές λογισμικού ή υλικού των εταιρικών φορητών υπολογιστών, συμπεριλαμβανομένης της τροποποίησης των ρυθμίσεων ασφαλείας, απαγορεύονται, εκτός εάν ληφθεί κατάλληλη έγκριση για αλλαγές σε αυτά τα συστήματα μετά τις σχετικές διαδικασίες αλλαγής και ρύθμισης παραμέτρων του ΔΧ.

Αποθήκευση δεδομένων

Οι ευαίσθητες ή κρίσιμες πληροφορίες που είναι αποθηκευμένες σε φορητούς υπολογιστές πρέπει να κρυπτογραφούνται, όπου είναι εφικτό, χρησιμοποιώντας τις εγκεκριμένες μεθόδους και τις τεχνολογίες κρυπτογράφησης του ΔΧ.

Σύνδεση σε ασύρματα δίκτυα

Όταν οι ευαίσθητες και κρίσιμες πληροφορίες του ΔΧ μεταδίδονται προς / από φορητούς υπολογιστές που χρησιμοποιούν ασύρματο δίκτυο, πρέπει να εφαρμόζονται όλα τα απαραίτητα στοιχεία ελέγχου και τεχνολογίες για τη διασφάλιση της εμπιστευτικότητας και της ακεραιότητας των δεδομένων που διέρχονται μέσω ασύρματων δικτύων.

Υποχρεώσεις Χρήστη

Mobile Computing και ευθύνες του χρήστη

Όταν οι χρήστες συνδέονται με τα ασύρματα δίκτυα του ΔΧ ή σε δημόσιες περιοχές Wi-Fi / τοποθεσίες που παρέχουν ασύρματη πρόσβαση στο Internet (μέσω κινητού υπολογιστή / εξοπλισμού τηλεργασίας) πρέπει να:

  • Χρησιμοποιήστε το πιο ενημερωμένο λογισμικό προστασίας από ιούς και λογισμικό υποκλοπής spyware και ένα τείχος προστασίας (ισχύει μόνο για μη ελεγχόμενες διαχειριζόμενες συσκευές του ΔΧ).
  • Αποφύγετε τη σύνδεση σε μη ασφαλή ασύρματα δίκτυα.
  • Απενεργοποιήστε την κοινή χρήση αρχείων από τον φορητό υπολογιστή τους.
  • Αποφύγετε τη σύνδεση στο εταιρικό δίκτυο και ταυτόχρονα σε άλλο δίκτυο (π.χ. internet) όταν βρίσκεστε εκτός των χώρων του ΔΧ.
  • Αποφύγετε τη σύνδεση σε ασύρματα δίκτυα που δεν ανήκουν στο ΔΧ όταν βρίσκεστε στις εγκαταστάσεις του ΔΧ και χρησιμοποιείτε ιδιόκτητες συσκευές.
  • Βεβαιωθείτε ότι η χρήση του εξουσιοδοτημένου προγράμματος-πελάτη VPN παρέχεται από τον ΔΧ.
  • Χρησιμοποιήστε ισχυρούς και σύνθετους κωδικούς πρόσβασης για εταιρικούς λογαριασμούς.
  • Αποφύγετε την κοινή χρήση αρχείων και ευαίσθητων πληροφοριών κατά τη χρήση εφαρμογών τηλεδιασκέψεων και άμεσων μηνυμάτων.
  • Αποφύγετε το άνοιγμα συνημμένων ηλεκτρονικού ταχυδρομείου ή/και κάντε κλικ σε συνδέσμους που προέρχονται από άγνωστες πηγές.
  • Αποφύγετε την εγκατάσταση άγνωστων ή περιττών επεκτάσεων προγράμματος περιήγησης.
  • Ζητείτε άδεια και υποστήριξη για οποιαδήποτε εφαρμογή πρέπει να εγκατασταθεί.
  • Αναφέρετε αμέσως οποιαδήποτε μη φυσιολογική ή ύποπτη συμπεριφορά στον υπεύθυνο ασφαλείας πληροφοριών του ΔΧ.

Υποβολή εκθέσεων απώλειας κινητών υπολογιστών / εξοπλισμού τηλεργασίας

Όλοι οι χρήστες του εξοπλισμού κινητής πληροφορικής / τηλεργασίας που ανήκει στο ΔΧ πρέπει να αναφέρουν αμέσως στη σχετική υπηρεσία οποιαδήποτε απώλεια κινητού εξοπλισμού πληροφορικής / τηλεργασίας (ή/και ενός μηχανισμού ελέγχου ταυτότητας, όπως ένα διακριτικό), στο καθορισμένο από τον ΔΧ πρωτεύον σημείο επαφής (POC) ή απευθείας στο δευτερεύον σημείο επαφής, έτσι ώστε να λαμβάνονται όλες οι σχετικές ενέργειες χειρισμού και να ανακαλούνται τα δικαιώματα πρόσβασης το συντομότερο δυνατόν, προκειμένου να προστατεύονται οι  ευαίσθητες ή κρίσιμες πληροφορίες από την αποκάλυψη ή τη μη εξουσιοδοτημένη πρόσβαση. Η απώλεια του εξοπλισμού αυτού πρέπει να θεωρείται ως συμβάν ασφάλειας πληροφοριών.

Μη αυτόματη ενημέρωση κακόβουλου λογισμικού προστασίας κώδικα

Σε περιπτώσεις όπου δεν παρέχεται αυτοματοποιημένη διαδικασία για την προστασία των ενημερώσεων λογισμικού από κακόβουλο και κώδικα κινητής τηλεφωνίας, τότε οι χρήστες είναι υπεύθυνοι για την ενημέρωση του ίδιου του λογισμικού προστασίας.

Μη αυτόματη δημιουργία αντιγράφων ασφαλείας φορητών υπολογιστών

Τα αντιγράφων ασφαλείας των κρίσιμων δεδομένων πρέπει να λαμβάνονται σε τακτά χρονικά διαστήματα για όλους τους φορητούς υπολογιστές μέσω μιας αυτοματοποιημένης διαδικασίας δημιουργίας αντιγράφων ασφαλείας. Σε περιπτώσεις όπου δεν προβλέπεται αυτοματοποιημένη διαδικασία δημιουργίας αντιγράφων ασφαλείας για τη δημιουργία αντιγράφων ασφαλείας φορητών υπολογιστών, οι ίδιοι οι χρήστες είναι υπεύθυνοι για τη λήψη αρχείων αντιγράφων ασφαλείας για τους φορητούς υπολογιστές τους και την αποθήκευσή τους σε ασφαλές μέρος.

Φορητοί υπολογιστές και ασύρματοι έλεγχοι ασφαλείας

Απομόνωση ασύρματου προγράμματος-πελάτη

Η απομόνωση του ασύρματου προγράμματος-πελάτη για τους επισκέπτες πρέπει να υλοποιηθεί για να απαγορεύεται η σύνδεση με τα συστήματα πληροφοριών του ΔΧ. Εάν υπάρχει επιχειρηματική ανάγκη, οι υπάλληλοι πρέπει να συνδεθούν μέσω της εγκεκριμένης σύνδεσης του ΔΧ (VPN) με τα απαιτούμενα συστήματα πληροφοριών του ΔΧ.

Ασφάλεια κινητών υπολογιστών και ασύρματων δικτύων

Η ασφάλεια σε επίπεδο δικτύου πρέπει να καθορίζεται από την άποψη του ελέγχου ταυτότητας, της κρυπτογράφησης και της εξουσιοδότησης σε κάθε ασύρματη σύνδεση δικτύου μεταξύ ασύρματων κινητών πελατών (π.χ. φορητοί υπολογιστές, έξυπνα τηλέφωνα, κινητά τηλέφωνα κ.λπ.) στο εσωτερικό προστατευμένο δίκτυο μέσω σημείων πρόσβασης του ΔΧ. Όλες οι ασύρματες επικοινωνίες (Wi-Fi) που αφορούν τη χρήση κινητών υπολογιστικών συσκευών πρέπει να κρυπτογραφούνται χρησιμοποιώντας τα ισχυρότερα ασύρματα πρωτόκολλα.

Συμμόρφωση

Μέτρηση συμμόρφωσης

Η ομάδα ασφάλειας πληροφοριών θα επαληθεύσει τη συμμόρφωση με αυτήν την πολιτική μέσω διαφόρων μεθόδων, συμπεριλαμβανομένων ενδεικτικά των αναφορών επιχειρηματικών εργαλείων, των εσωτερικών και εξωτερικών ελέγχων και των σχολίων προς τον κάτοχο της πολιτικής.  

Εξαιρέσεις

Οποιαδήποτε εξαίρεση στην πολιτική πρέπει να εγκριθεί από την ομάδα ασφάλειας πληροφοριών εκ των προτέρων.

Μη συμμόρφωση

Οι υπάλληλοι που παραβιάζουν σκόπιμα αυτήν την πολιτική θα υπάγονται στις πειθαρχικές ποινές που προβλέπονται, συμπεριλαμβανομένης τη λήξη της απασχόλησης.

κορυφή