CISA выпустила проект политики для обеспечения дистанционного доступа сотрудников на удалёнке
По актуальному состоянию на сегодняшний день многие федеральные служащие по всему Миру всё ещё работают удаленно. Данный тренд уходящего 2020 года не обошел стороной и США, где число заразившихся по состоянию на 24 декабря 2020 года составляет почти 19 миллионов человек. Данный тренд не только позволил снизить социальную мобильность, повысить число времени, непосредственно уходящего на работы, но и кратно увеличить риски информационной безопасности.
Агентство по кибербезопасности и инфраструктурной безопасности США, или CISA не могла оставить это без внимания и опубликовало проект руководства по организацию удаленной работы во вторник для общественного обсуждения, попросив заинтересованные стороны предоставить отзывы о наилучших методах защиты мобильных и персональных устройств, подключающихся к сетям . Данный проект уже выпускался ранее и получил название политики доверенного интернет-соединения, или TIC.
С тех пор, как в 2007 году была выпущена первая политика TIC многое изменилось, и даже с момента последнего обновления – TIC-2 – в 2012 году. С тех пор использование облачных и удалённых вычислений резко возросло, как и методы обеспечения безопасности традиционных соединений, как например в штаб-квартире агентства кибербезопасности.
Чтобы соответствовать новым реалиям, Управление по вопросам бюджета выпустило новую политику TIC-3 в сентябре 2019 года. Но вместо того, чтобы создавать ещё один бюрократический никому ненужный руководящий документ, эта политика подталкивает агентства к набору эволюционирующих вариантов использования, разработанных совместно с CISA.
Основная часть новой политики TIC-3 была завершена в июле, включая руководство по TIC-3; справочник, объясняющий, как концепции должны применяться к предприятиям агентства; и каталог возможностей безопасности, ранее называвшийся руководством по возможностям безопасности.
Новый вариант использования описывает, как удаленные пользователи подключаются к сетям и ресурсам агентства, и пользуются правами доступа безопасности, включая пользователя, агентство, поставщика облачных услуг. Также в документе описывается, как агентство будет обеспечивать безопасность в традиционном контексте с соответствующими изменениями для удовлетворения потребностей удаленных работников.
CISA отмечает, что прецедент использования расширяет возможности идентификации пользователей, включая сотрудников, работающих как на мобильных, так и на персональных устройствах.
