Edasi peamenüüsse Edasi sisusse

Защищайте свою собственность

Как только будет получено представление о том, какое оборудование и программное обеспечение используется в сети офиса и у сотрудников, то необходимо начать защищать их.

Поскольку оборудование и различные услуги (веб-сайт, программное обеспечение для бизнеса и т. д.) могут предоставляться поставщиком услуг или уже могут иметь некоторую форму защиты программного обеспечения (брандмауэр, антивирус), может показаться, что оборудование и программное обеспечение, используемое на предприятии, уже защищены. На самом деле этого недостаточно для защиты от угроз. Для обеспечения более надёжной защиты данных и оборудования необходимо принять дополнительные меры.

Читайте подробнее о рекомендациях по безопасности:

Предоставляйте права доступа разумно

Атаки и вирусы обычно распространяются через пользователей. Чем больше прав у пользователя, тем легче будет действовать злоумышленнику или вирусу.

Поэтому при каждом предоставлении доступа нужно подумать о том, нужны ли эти разрешения (например, доступ к общей папке или программному обеспечению, права администратора на компьютере) для работы. Если решается, что доступ действительно необходим, то он должен предоставляться на основе принципа наименьшего права, то есть работнику должно быть предоставлено столько прав, сколько ему нужно для работы, и не более. Часто идут лёгким путём и предоставляют доступ ко всему каталогу, который может позволить сотруднику получить доступ к данным, к которым у него не должно быть доступа. Даже если сотрудник ничего не делает с этим доступом, им могут воспользоваться злоумышленники.

Сотрудникам обычно не требуются права администратора на рабочем компьютере.

Наличие прав администратора имеет ряд рисков:

  • Сотрудник может устанавливать на свои компьютеры программы, которые могут привести к уязвимостям в системе безопасности и установке вредоносных программ.
  • Ущерб, нанесенный вредоносным программным обеспечением будет больше, если у сотрудника есть права администратора.
  • Злоумышленникам будет проще взять компьютер под контроль и т. д.

Если требуются права администратора, то для компьютера должна быть настроена отдельная учетная запись локального пользователя, которая будет использоваться только при необходимости, а не для повседневных операций. Это снижает вероятность того, что пользователь случайно установит вредоносное программное обеспесение, и, если произойдёт утечка информации из учетной записи сотрудника, злоумышленник не сразу получит права администратора. Если это персональный компьютер сотрудника, то надо следовать пункту 1.4 «Создайте правила использования личных устройств в рабочей среде», но в этом случае также следует рекомендовать отдельную учетную запись для рабочей информации.

Если IT специалист или поставщик услуг предоставляет права доступа, то они также должны задокументировать эти разрешения (когда, для чего, кому), чтобы иметь актуальный обзор того, кто имеет доступ. Эта информация также полезна, когда сотрудник уходит, поскольку тогда известно, какие права должны быть закрыты.

Если произойдет связанный с безопасностью инцидент, то такая документация может предоставить информацию о том, что произошло.

Регулярно обновляйте программное обеспечение

Современное рабочее место предполагает использование разного рода программного обеспечения. В программном обеспечении постоянно обнаруживаются уязвимые места, которые могут быть использованы злоумышленниками для установки вредоносных программ, получения контроля над компьютером и / или кражи данных. Поэтому регулярные обновления программного обеспечения очень важны и являются одним из самых простых способов защиты данных организации.

Если возможно автоматическое обновление программного обеспечения (например, для компьютеров, смарт устройств), то его следует включить. Однако если программное обеспечение не имеет такой функции (например, некоторые специальные программы или программное обеспечение сетевых устройств), это необходимо сделать вручную (самостоятельно, с помощью IT специалистов или поставщика услуг) или с помощью решения, которое производит обновления автоматически. Например, многие из современных антивирусных решений включают функцию автоматического обновления программ.

Если версия программного обеспечения или аппаратного обеспечения больше не поддерживается или не обновляется производителем, то следует установить новую версию. Например, Microsoft с 2020 года не будет поддерживать компьютеры с операционной системой Windows 7, но они все еще используются во многих организациях. В этом случае определенно следовало бы перейти на последнюю версию операционной системы Windows, потому что даже если уязвимости в старом программном обеспечении еще не обнаружены, их обнаружение является лишь вопросом времени. Стоит исходить из принципа, что если в безопасности имеется уязвимость, то имеется и злоумышленник, который с радостью воспользуется ею.

Организуйте защиту компьютерной сети вашей компании и ее пользователей

Граница между общедоступным Интернетом и офисной сетью называется периметром. Чем меньше подозрительного трафика попадает в офисную сеть, тем меньше риск для сотрудников и оборудования, использующего офисную сеть. Защита периметра – это брандмауэр, который выступает в роли посредника или шлюза между общедоступной и офисной сетью и отфильтровывает опасный трафик. Межсетевые экраны с большим количеством функций могут обнаруживать и предотвращать атаки в офисной сети. Такие брандмауэры могут дополнительно ограничивать или разрешить сотрудникам доступ к определённым страницам. Например, можно заблокировать известные опасные страницы или же другие страницы сомнительного назначения, которые могут привести к заражению вирусами. Также можно контролировать, какие приложения сотрудники используют для доступа в Интернет (например, можно запретить загрузку фильмов и музыки из Интернета).

Поскольку многие вирусы и атаки проходят через электронную почту, необходимо иметь защиту от спама. Такое программное обеспечение удаляет подозрительные сообщения (спам, фишинг, вирусы и т. д.), чтобы они не доходили до сотрудников. Большинство почтовых серверов содержат некоторую форму защиты от спама, но их функциональные возможности часто ограничены. Защита от спама также существует, например, как внешняя служба в облаке или на хостинге (расположенная вне офисной сети) или как отдельный сервер в офисной сети. Более качественное антиспамовое программное обеспечение имеет ряд функций, которые облегчают жизнь сотрудникам – заказ отчета о спаме, блокировка отправителей и многое другое.

Из-за изобретательности злоумышленников вредоносные программы все еще время от времени попадают к пользователям. Поэтому важно, чтобы на всех устройствах было установлено антивирусное программное обеспечение, защищающее их от вредоносных программ. Кроме того, надо следить за тем, чтобы была установлена последняя версия антивирусного программного обеспечения и она постоянно обновлялась, а также, что все функции включены, потому что только в этом случае защита будет эффективной.

Блокируйте доступ к данным на потерянных и украденных устройствах

Неизбежно, что иногда сотрудники теряют свое оборудование (смартфоны, планшеты или ноутбуки и т. д.) или оно может быть украдено. Поскольку устройства могут содержать конфиденциальную деловую информацию или другую информацию, которая не должна находиться в руках третьих лиц, следует спланировать, что делать в такой ситуации.

Одним из хороших решений является централизованное управление, описанное в главе 1.3 «Рассмотрите возможность централизованного управления устройствами», которое позволяет удаленно блокировать, определять местоположение или удалять устройство в случае его утери. В смартфоны и планшеты также установлены бесплатные приложения, которые позволяют настраивать централизованное управление, и их тоже стоит использовать.

Шифрование компьютера также помогает предотвратить доступ к данным. В этом случае данные присутствуют на компьютере, но злоумышленник ничего не может с ними сделать. Существуют различные варианты шифрования, доступно много программ, также можно использовать программу шифрования BitLocker, поставляемую с Windows 10.

Позаботьтесь о физической защите ваших данных и устройств

В дополнение к программным мерам защиты следует также обратить внимание на физическую защиту устройств. Все оборудование, содержащее важные данные, должно быть защищено от доступа посторонних лиц. Например, брандмауэр бесполезен, если незнакомец может свободно ходить по офису, попасть в помещение, где находится сервер и, таким образом, иметь прямой доступ к устройствам.

Серверы, сетевые устройства и другие важные устройства, содержащие данные, должны располагаться в отдельном шкафу для устройств или в выделенной серверной комнате. Дверь шкафа или серверной комнаты должна быть заперта, а ключ должен храниться в безопасном месте. Также нужно вести журнал посещений серверной комнаты (записывать, кто, когда и для каких целей посещал), чтобы была возможность определить, кто и когда там был.

Чтобы сервер работал бесперебойно, он должен быть достаточно охлажден (с кондиционером в серверной комнате) и подключен к UPS, чтобы защитить его от сбоя питания. В противном случае сервер может отключиться в жаркий летний день или данные могут быть повреждены в случае сбоя питания. Кондиционер также следует подключить к UPS, иначе в случае сбоя питания сервер может продолжать работать, но в конечном итоге отключиться из-за перегрева.

Если в офисе на стенах есть сетевые розетки, которые не используются, то они не должны иметь доступа к сети ( это может настроить IT специалист или поставщик услуг). В противном случае может случиться так, что любой человек через сетевые розетки подключится к своему компьютеру и получит доступ ко всему офисному оборудованию. Следующим шагом будет настройка компьютеров и серверов, которые будут логически расположены в отдельных сетях, то есть, если кто-то получит доступ к компьютерной сети, он не получит немедленный доступ к серверам.

Не менее важно обучать сотрудников, чтобы они, покидая компьютер, не оставляли его разблокированным, и чтобы в общедоступных местах устройства не были забыты и не использовались посторонними лицами.