Бесплатно Экспресс-аудит сайта:

06.05.2020

АНБ опубликовало руководство по выбору сервиса для конференций

Во время глобальной пандемии или других чрезвычайных ситуаций многие сотрудники правительства США должны работать из дома, продолжая выполнять важнейшие национальные функции и поддерживать непрерывность государственных услуг. В таких условиях использование сервисов для конференций становится неизбежным. В связи с этим Агентство Национальной Безопасности (АНБ) США опубликовало краткое руководство по выбору сервиса для теле- и web-конференций.

В документе содержится краткий обзор лучших практик и критериев, и он был согласован с Департаментом внутренней безопасности США, который выпустил аналогичное руководство: «Рекомендации по кибербезопасности для федеральных агентств при использовании решений для видеоконференций».

Приведенные ниже критерии определяют риски и функции, которые следует учитывать госсотрудникам при выборе сервисов для конференций:

1. Реализовано ли в сервисе сквозное шифрование?

Благодаря сквозному шифрованию сообщения, фотографии, видео, голосовые сообщения, документы, обновления статуса и звонки защищены от попадания в чужие руки.

2. Используются ли надежные, хорошо известные и проверяемые стандарты шифрования?

Даже в отсутствие сквозного шифрования АНБ рекомендует использовать строгие стандарты шифрования, предпочтительно алгоритмы, утвержденные NIST, и текущие стандарты безопасного протокола Инженерного совета Интернета.

3. Используется ли многофакторная аутентификация для проверки личности пользователей?

Без МФА ненадежные или похищенные пароли могут быть использованы для доступа к учетным записям пользователей.

4. Могут ли пользователи видеть и контролировать, кто подключается к сеансам конференций?

Сервис должен позволять организаторам конференций ограничивать доступ к сеансам общения только тем, кто приглашен.

5. Позволяет ли политика конфиденциальности службы предоставлять данные третьим сторонам?

Хотя сервисы для конференций часто собирают информацию, необходимую для работы, они должны защищать конфиденциальные данные пользователей. Обмен информацией должен быть четко прописан в политике конфиденциальности.

6. Имеют ли пользователи возможность безопасного удаления данных из сервиса и его репозиториев по мере необходимости?

Хотя ни одна из служб не может поддерживать полностью безопасные возможности перезаписи/удаления, пользователям должна быть предоставлена ​​возможность удалять контент (например, общие файлы, сеансы чата, сохраненные видеосеансы) и окончательно удалять учетные записи, которые больше не используются.

7. Был ли сервис проверен или сертифицирован для использования государственным органом, занимающимся вопросами безопасности?

АНБ рекомендует оценивать облачные сервисы в рамках программы FEDRAMP Административно‑бюджетного управления США.