Для офисных структур > Схема внедрения комплекса Информационной Безопасности. Часть 3. Жесткая стандартизация и урезание прав

Схема внедрения комплекса Информационной Безопасности. Часть 3. Жесткая стандартизация и урезание прав

26 Март 2010 Написать комментарий К комментариям

Продолжение. Начало здесь:

Введение контроля программного обеспечения, а также внедрение более жесткого стандарта организации IT – инфраструктуры филиального отделения

Пояснение: Стандартизация. Унификация зависимости «права — должность». Все рабочие станции персонала должны быть одинаковы как буратины:). Введение системы ограничений по запуску программного обспечению, стандартизация набора ПО. Конкретно — развертывание сервера RIS / WDS, управление инсталляциями и обновлениями программного обеспечения на уровне домена, разграничение прав при помощи Групповых Политик AD. Создание Software Restriction Policies — политик запрета запуска приложений, которые дают возможность определить набор программ, которые пользователю разрешено запускать.Плюсы

  • Значительное облегчение администрирования.
  • Унификация дает возможность написания различных управлющих скриптов, также облегчающих администрирование.
  • Ускорение процесса открытия новых филиалов. Отсутствие сисадмина в филиале перекладывает весь процесс на плечи центральных админов. При наличии стандартной схемы и разработки инструментария процесс сложным не будет.
  • Безопасность и еще раз безопасность! Пользователь не сможет запустить стороннюю утилиту, не запустятся большое число вирусов и иной малвари. Такой же результат будет и у потенциального взломщика, который действует методами социальной инженерии через секретаршу:).

Минусы

  • Сравнительная сложность.
  • Значительный объем работы при перестройке текущих инфраструктур.

Введение менее доверительных отношений с точки зрения IT-безопасности внутри компании

Пояснение: Снова вспомним принцип «Я начальник — ты дурак», которым руководствуется большая часть начальственного состава в наших компаниях. Так же так называемое «панибратство» в высших управляющих кругах может привести к весьма печальному результату. К примеру, к людям, стоящих на должностях вроде «директор департамента» отношение лояльнее нежели к рядовым пользователям. Грубо говоря многие пользователи, занимающие высокие должности, имеют на своих станциях административные права и невозбранно могут сидеть в одноклассниках и вконтактике.

Права каждого пользователя должны жестко регламентироваться, следуя правилу «Запрещено все, что явно не разрешено». Более высокая должность пользователя не должна быть поводом для получения им более высоких локальных прав. Ведь каждый сотрудник с точки зрения безопасности — потенциальный инсайдер. Директора должны иметь возможность просмотра и контроля документов подчиненных, однако на рабочей станции их права не должны чем-либо отличаться. То же самое касается, кстати, и системных администраторов. У работников ИТ-отдела не должно быть доступа к абсолютно ненужной им документации компании. Да и права доступа к админресурсам тоже должны быть разграничены. Администратору WSUS и DNS совсем не нужно знать пароль от учетной записи Главного Администратора.

Плюсы

  • Банальное уменьшение количества вирусов.
  • Уменьшение возможности запуска зловредной программы.
  • Уменшение вероятности кражи важной информации.
  • Особое утверждение насчет ноутбуков — если сам человек не сможет похитить (грубое слово, но подходит:) информацию с помощью личного ноутбука, то с большей долей вероятности эту информацию не смогут получить и люди, укравшие ноутбук с целью хищения информации.

Минусы

  • Возможное непонимание.
  • Необходимость разработки схемы разграничения прав, что подчастую может занять много времени.

Введение более жестких ограничений на интернет-шлюзах (маршрутизаторах)

Пояснение: Руководствоваться принципом «Запрещено должно быть все, что явно не разрешено». Ужесточение правил межсетевых экранов.

Плюсы

  • Уменьшение вероятности внешнего взлома.
  • Уменьшение вероятности утечки информации по интернет-каналам связи.
  • Уменьшение вероятности прониконовения злоумышленников.
  • Уменьшение риска заражения систем вирусом.

Минусы

  • Сравнительная сложность разработки и настройки схемы.

Продолжение здесь:

Categories: Для офисных структур, Просто в блог Tags: , ,

Confirm that you are not a bot - select a man with raised hand: