Старайтесь аккуратно и строго управлять конфигурациями. Создайте исходный безопасный образ и используйте его для создания всех новых систем, которые появляются в IT-среде предприятия. Всякую востребованную систему, которая «сломана», можно повторно восстановить с помощью такого образа. Периодические обновления и/или исключения из этого образа важно интегрировать в процессы управления изменениями на предприятии. Образы необходимо создать для базовых вариантов рабочих станций, серверов и, возможно, для некоторых виртуальных машин предприятия.
Типовые образы компонуются как сконфигурированные версии базовой операционной системы и приложений. Конфигурирование обычно включает в себя: блокирование или удаление избыточных учетных записей, удаление или отключение ненужных служб, установку необходимых обновлений, закрытие открытых и неиспользуемых сетевых портов, удаление неисполняемых скриптов, а также включение файрволов и систем обнаружения вторжений. Типовые образы должны пересматриваться и обновляться на регулярной основе, чтобы поддержать необходимый уровень безопасности в противодействии «свежим» уязвимостям и модифицированным хакерским атакам.
Хранить мастер-образы рекомендуем на надежно защищенных серверах, оснащенных инструментами проверки целостности файлов, руководствуясь принципом постоянного контроля и управления изменениями, чтобы гарантировать возможность только авторизованных изменений. В качестве альтернативы мастер-образы могут быть сохранены на автономных машинах, отключенных от производственной сети. Иногда образы могут быть скопированы на безопасные, надежные носители для их перемещения между серверами и станциями производственной сети. В общем случае мастер-образ является частным случаем «резервной
копии», так называемого бэкапа, о котором немного позже.
Глава 4. Дистанционные инструменты корпоративный ноутбук, персональный смартфон
Корпоративная техника обычно является предметом коллективного использования. Не является исключением и такое устройство, как ноутбук, принадлежащий организации. Переносной компьютер представляет удобную возможность выполнять служебные обязанности вне помещений и офисов, занимаемых бизнесом, но это удобство несет определенные риски. Именно поэтому наличие в ноутбуке служебной, коммерческой информации или программ с возможностью доступа в корпоративную сеть вынуждает применять к этому устройству три главных принципа информационной безопасности: конфиденциальность, целостность, доступность. А это, в свою очередь, означает, что нарушения принципов или правил использования ноутбука, регламентированных на предприятии, в большинстве случаев приведут к возникновению инцидентов информационной безопасности.
Самый опасный инцидент, который может произойти с переносным компьютером, это потеря или утечка конфиденциальной информации с устройства. Стоимость такой информации с учетом вероятных рисков во много раз превышает стоимость самого ноутбука.
Для использования вне офиса при временном владении и эксплуатации устройства, переходящего из рук в руки, применяются различные превентивные меры безопасности. Оговоримся сразу, речь идет о переносном компьютере, совместимом с архитектурой IBM PC, причем этот компьютер не попадает в разряд устройств BYOD .
Мобильное рабочее место на базе ноутбука обычно подготавливается специалистом IT в соответствии с типовой конфигурацией, предписанной политикой ИБ предприятия.
При выдаче в служебном журнале или базе регистрируется серийный номер ноутбука для исключения возможности его подмены. Комплект с переносным устройством включает в себя силовой шнур и соответствующий блок питания.
Устанавливается пароль на BIOS /UEFI ноутбука во избежание изменения аппаратной конфигурации и/или замены внутренних компонент устройства.
Специальными средствами (BitLocker, TrueCrypt, SecretDisk ) шифруется системный диск для защиты собственного содержимого, предотвращая несанкционированный доступ к операционной системе и доступ посторонних к параметрам и конфигурациям программ ноутбука, включая удаленный вход в корпоративную сеть.
При необходимости выдается идентификационная карта или токен (ESMART Token, eToken PRO, JaCarta PKI ) с привязкой к логину пользователя для однозначной аутентификации пользователя в корпоративной сети.
Дополнительно к ноутбуку могут быть выданы мышь и металлизированный трос с ключом для физической привязки переносного компьютера к рабочему месту, например, на время командировки.
Соблюдая формальности, с временного владельца берется расписка с указанием срока и цели использования ноутбука, а со стороны предприятия специалист IT вместе с ноутбуком может вручить пользователю памятку о необходимых мерах безопасности. Предприятию не лишним будет рассмотреть возможность страхования ноутбуков, выдаваемых своим сотрудникам во временное пользование. Стоимость страхования может зависеть от стоимости обрабатываемой информации. Очень важно, чтобы выданный ноутбук внутри и вне предприятия поддерживал принятые требования информационной безопасности. Как раз об этом далее.