Физическая безопасность устройств является неотъемлемой составляющей информационной безопасности. Помимо смягчения последствий кражи устройства путем использования блокировочных экранов и паролей, внедрения полного шифрования диска и включения функций удаленного стирания, вам также следует подумать о том, как предотвратить кражу этих устройств. Чтобы затруднить кражу, обязательно установите надежные замки (и меняйте их при каждой смене персонала) в помещениях парламента и/или дома Кроме того, подумайте о покупке сейфа для ноутбука или запираемого шкафа, чтобы обеспечить более надежную защиту устройств на ночь. Камеры видеонаблюдения или системы датчиков движения вокруг помещений могут обнаруживать и, как мы надеемся, предотвращать физические взломы и кражи. Ищите вариант, обеспечивающий конфиденциальность, доступный в вашей стране, и обязательно выбирайте камеры и системы безопасности, предоставленные надежными компаниями, у которых нет стимула передавать данные и информацию потенциальному противнику.
Если на старых устройствах все еще хранится информация, но они больше не используются, рассмотрите возможность их очистки —это руководство от Wirecutter является отличным источником информации о том, как это сделать для большинства современных устройств. Если очистка устройств невозможна, их можно уничтожить физически. Самый простой, хотя и не самый экологичный, способ сделать это — разбить устройства и их жесткие диски молотком. Иногда самые старые решения являются наилучшими!
Еще до этих технических шагов найдите время, чтобы составить список всего оборудования в парламенте. Не имея списка всех устройств, сложнее отследить, что пропало в случае кражи одного из них.
Что нам делать со всей этой бумагой?
Вполне вероятно, что в вашей организации немало информации напечатано на бумаге, записано в блокнотах или нацарапано на стикерах. Часть этой информации может быть особо конфиденциальной: распечатки бюджетов, списки участников, конфиденциальные письма от спонсоров и записи с частных встреч. Необходимо подумать о безопасности и этой информации. Если вам абсолютно необходимо хранить печатные копии конфиденциальной информации, убедитесь, что она надежно хранится в запираемом шкафу или другом безопасном месте. Никогда не храните личную или конфиденциальную информацию (включая пароли) на рабочем столе или на маркерной доске. Если вы полагаете, что ваша организация может пострадать от взлома или обысков, храните конфиденциальную информацию в менее уязвимом месте.
По мере возможности постарайтесь избавиться от ненужной информации в бумажном виде. Помните: невозможно украсть то, чего нет. Установите правило организации в отношении владения распечатанными заметками и обязательно забирайте все бумажные заметки у сотрудников, если они решат уйти или будут уволены из организации, точно так же, как если бы вы забрали корпоративный компьютер или телефон. Приобретите качественный шредер для уничтожения конфиденциальных бумажных документов. В конце недели можно устраивать с сотрудниками веселый 15-минутный перерыв и измельчать шредером оставшиеся с предыдущей недели конфиденциальные распечатки или заметки.
Политика парламентского офиса
Хотя «офисные» реалии для многих значительно изменились с началом пандемии COVID-19, по-прежнему важно установить четкую политику доступа в офис организации. Такая политика должна отвечать на ключевые вопросы, в том числе кому разрешено находиться в офисе (и когда), кто может получать доступ к каким офисным ресурсам (например, к сети Wi-Fi) и как быть с посетителями.
Простой, но важный вопрос, на который нужно ответить: у кого будут ключи от офиса. Ключи должны быть только у надежных сотрудников, а замки следует менять при увольнении сотрудников и/или на полурегулярной основе. В течение дня все незапертые двери должны постоянно находиться в поле зрения кого-то из проверенных сотрудников организации. Также подумайте, насколько доверительные отношения у организации с вашим арендодателем или клининговым персоналом. Подумайте о том, к какой информации или устройствам могут иметь доступ такие люди, и обеспечьте защиту этих устройств, особенно при отсутствии доверительных отношений. Кто бы ни имел доступ, всегда должно быть доверенное лицо, которое запирает офис и проверяет, что устройства должным образом защищены, прежде чем уйти в конце дня.
Могут ли в офисе находиться посетители? Если да, убедитесь, что у них нет доступа (по крайней мере свободного) к устройствам или конфиденциальным документам на бумажных носителях. Если требуется или предполагается, что у посетителей должен быть доступ к Интернету в офисе, следует настроить «гостевую» сеть, чтобы у них не было возможности отслеживать ваш обычный трафик. Вообще-то только у доверенных сотрудников должен быть доступ к сети и сетевым устройствам, таким как принтеры. Также обычно рекомендуется ввести систему регистрации посетителей, чтобы иметь журнал посещений.
Цель разработки офисной правила должна состоять в том, чтобы доступ к конфиденциальным устройствам, документам, пространствам и системам был ограничен исключительно доверенными лицами.
Объекты конфиденциальной информации (SCIF)
Для проведения особо секретных переговоров в некоторых парламентах имеются защищенные физические помещения, называемые SCIF. Эти места созданы для того, чтобы члены парламента и их сотрудники могли просматривать и обсуждать конфиденциальную информацию, такую как вопросы, связанные с национальной безопасностью или разведкой, не опасаясь внешнего наблюдения или шпионажа. В дополнение к надлежащей физической конструкции, правильный SCIF требует, чтобы люди оставляли устройства (например, свои мобильные телефоны) за пределами комнаты, прежде чем войти для обсуждения.
Вспомогательный персонал и волонтеры
Угрозы физической безопасности вашей организации могут повлиять и на сотрудников. Как и преследованиям в социальных сетях, угрозам физической безопасности, как правило, чаще подвергаются женщины и маргинализированные группы населения. И речь не только о разбитых окнах и украденных ноутбуках. Запугивание, угрозы и совершение физического или сексуального насилия, домашнее насилие и боязнь нападения могут оказать серьезное негативное влияние на жизнь сотрудников. Для организаций, которые работают с политически активными женщинами или поддерживают их, инструмент планирования безопасности NDI #Think10 является полезным ресурсом для тех, кто может подвергаться повышенному личному риску в результате своего участия в парламенте и политике в целом.
Благополучие сотрудников, безусловно, является важным активом для них как личностей, но оно также является важнейшим элементом здоровой и хорошо функционирующей организации. Поэтому подумайте, какие дополнительные ресурсы вы можете предоставить сотрудникам, чтобы обеспечить их защиту и помочь восстановиться в случае физического нападения или цифровой атаки. Как уже упоминалось в настоящем Пособии, это означает как минимум составление списка ресурсов, к которым сотрудники смогут в случае необходимости обратиться за юридической, медицинской, психиатрической и технической помощью. В очередной раз, руководство Online Field Harassment Manual, составленное PEN America, включает идеи о том, как организации могут поддерживать персонал во время и после кризисов.
Безопасность во время поездок
Путешествие — будь то в другую страну или в город по соседству — часто усиливает риски физической информационной безопасности. Можно с уверенностью предположить, что на вас и ваши устройства не распространяется право на неприкосновенность при пересечении границ. В связи с этим хорошей идеей будет включить политику парламентских поездок в ваш план безопасности, который содержит напоминания о ключевых передовых методах обеспечения безопасности.
Политика вашего парламента в отношении поездок должна включать в себя много информации, рассматриваемой в других разделах Пособия, в том числе безопасное использование Интернета и хранение устройств и других источников информации в физической безопасности и при себе во время поездок. Если возможно, оставьте свою конфиденциальную информацию и просто используйте новый, чисто стертый компьютер, получите доступ к файлам, которые вам абсолютно необходимы, из облака, а затем сотрите их, когда снова вернетесь домой.
Безопасное бронирование поездок для вашего парламента
Составляя правила поездок, помните о том, какая информация может быть раскрыта при их организации или бронировании. Это может быть особенно важно, если вы организуете крупные мероприятия или конференции, для которых вы обрабатываете конфиденциальную информацию от различных сотрудников, участников или посетителей. Тщательно продумайте, каким образом будете безопасно обмениваться и хранить (при необходимости) личную информацию, такую как паспортные данные, маршруты поездок и медицинские записи.
В дополнение к подготовке к поездке и минимизации обмена данными во время нее, есть несколько важных оперативных советов, которые вы должны продумать и включить в свою парламентскую политику в отношении поездок.
Рассмотрите возможность использования ноутбуков или телефонов для поездок, на которых практически не хранится конфиденциальных данных. Если большая часть работы вашего парламента выполняется в облаке, хорошим вариантом для такого устройства может стать относительно недорогой Chromebook. Сбросьте настройки до заводских или «очистите» эти устройства по возвращении, прежде чем подключаться к обычным сетям Wi-Fi дома или в офисе.
Предоставьте сотрудникам контактную информацию и план действий на случай возникновения непредвиденных ситуаций во время поездки. Сюда входит информация о местных больницах, клиниках или аптеках на случай, если им потребуется медицинская помощь во время поездки.
Персонал также должен держать все устройства при себе во время путешествия. Например, в автобусе, поезде или самолете ставьте ноутбук у ног (а не кладите на верхнюю полку и не сдавайте в багаж). Не думайте, что гостиничный номер или даже гостиничный сейф — это безопасное место для хранения устройств и предметов, содержащих конфиденциальную информацию. Не доверяйте общедоступным USB-портам для зарядки. USB-порты для зарядки в аэропортах, на вокзалах и в транспортных средствах становятся все более распространенным явлением. Однако они могут стать легким путем для подхвата вредоносных программ. Поэтому не забудьте либо заряжать устройства традиционным способом через розетку в стене, либо приобретать блокираторы данных USB, чтобы сотрудники в поездках могли безопасно заряжать свои устройства через USB.
- Напоминайте членам парламента и сотрудникам о необходимости всегда держать устройства под физической защитой.
- Проверьте и обезопасьте все пути, которыми люди могут попасть в ваше помещение.
- Разработайте гостевую политику и политику доступа.
- Используйте надежные замки, системы идентификаторов/бейджей и меняйте их по мере необходимости.
- Рассмотрите возможность установки камер или других локальных систем безопасности.
- Имейте и используйте измельчители бумаги.
- Выделите время, когда сотрудники будут утилизировать документы, содержащие конфиденциальную информацию.
- Составьте список местных специалистов, организаций и правоохранительных органов, к которым ваши сотрудники, подвергнувшиеся онлайн-преследованиям, смогут в случае необходимости обратиться за юридической, психиатрической и технической помощью.
- Разработайте политику парламентских поездок.
- Убедитесь, что персонал знает, что делать в случае возникновения чрезвычайной ситуации во время поездки.
- Не забывайте о дополнительных данных, которые создаются и передаются при организации поездок или мероприятий.