Атаки и вирусы обычно распространяются через пользователей. Чем больше прав у пользователя, тем легче будет действовать злоумышленнику или вирусу.
Поэтому при каждом предоставлении доступа нужно подумать о том, нужны ли эти разрешения (например, доступ к общей папке или программному обеспечению, права администратора на компьютере) для работы. Если решается, что доступ действительно необходим, то он должен предоставляться на основе принципа наименьшего права, то есть работнику должно быть предоставлено столько прав, сколько ему нужно для работы, и не более. Часто идут лёгким путём и предоставляют доступ ко всему каталогу, который может позволить сотруднику получить доступ к данным, к которым у него не должно быть доступа. Даже если сотрудник ничего не делает с этим доступом, им могут воспользоваться злоумышленники.
Сотрудникам обычно не требуются права администратора на рабочем компьютере.
Наличие прав администратора имеет ряд рисков:
- Сотрудник может устанавливать на свои компьютеры программы, которые могут привести к уязвимостям в системе безопасности и установке вредоносных программ.
- Ущерб, нанесенный вредоносным программным обеспечением будет больше, если у сотрудника есть права администратора.
- Злоумышленникам будет проще взять компьютер под контроль и т. д.
Если требуются права администратора, то для компьютера должна быть настроена отдельная учетная запись локального пользователя, которая будет использоваться только при необходимости, а не для повседневных операций. Это снижает вероятность того, что пользователь случайно установит вредоносное программное обеспесение, и, если произойдёт утечка информации из учетной записи сотрудника, злоумышленник не сразу получит права администратора. Если это персональный компьютер сотрудника, то надо следовать пункту 1.4 «Создайте правила использования личных устройств в рабочей среде», но в этом случае также следует рекомендовать отдельную учетную запись для рабочей информации.
Если IT специалист или поставщик услуг предоставляет права доступа, то они также должны задокументировать эти разрешения (когда, для чего, кому), чтобы иметь актуальный обзор того, кто имеет доступ. Эта информация также полезна, когда сотрудник уходит, поскольку тогда известно, какие права должны быть закрыты.
Если произойдет связанный с безопасностью инцидент, то такая документация может предоставить информацию о том, что произошло.