Под информационной безопасностью обычно понимается защищенность той или иной системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования. Сюда же относятся попытки хищения информации, ее модификация и уничтожение.
В настоящее время на рабочих местах все чаще появляются мобильные устройства (профессиональные планшеты и ноутбуки), т.к. использование мобильных устройств на предприятии повышает общую динамику ведения дел, ускоряется решение вопросов, согласований, принятие решений.
Клиентское приложение, развернутое на ноутбуке или другом мобильном устройстве, может быть источником таких угроз, поскольку мобильные рабочие места обладают дополнительными уязвимостями:
утеря или кража устройства
взлом устройства через беспроводное сетевое подключение
перехват исходящего и входящего трафика
К классическим угрозам можно отнести:
взлом с использованием уязвимостей используемого ПО
преднамеренное заражение устройства вредоносным ПО
использование сохраненных учетных данных пользователя при работе с корпоративными сервисами
Для минимизации рисков при удаленном доступе к системе DirectumRX, приведем список рекомендаций.
Дисклеймер
Рекомендации представленные в статье не являются официальной документацией какой бы то ни было компании. Рекомендации предоставляются на основании личного опыта автора по настройке системы DirectumRX. Автор статьи не несет ответственности и не предоставляет гарантий в связи с публикацией фактов, сведений и другой информации, а также не предоставляют никаких заверений или гарантий относительно содержащихся здесь сведений.
Общие требования к организации безопасного доступа пользователей к DirectumRX
К общим требованиям можно отнести следующие рекомендации:
использовать на рабочем месте только лицензионное программное обеспечение
проводить обучение эксплуатации системы DirectumRX пользователей, работающих в системе
в целях снижения вероятности выполнения преднамеренных или случайных операций:
выдавать права доступа пользователей только на те объекты системы, которые необходимы пользователю для выполнения его должностных обязанностей
ограничить права доступа для модификации объектов в системе (запрещать удаление объектов всем пользователям, и выдавать права на удаление только определенным ответственным лицам)
проводить мониторинг ошибок доступа к системе DirectumRX
разработать политику безопасности и регулярно ее совершенствовать, политика должна обязательно содержать:
требования к аппаратным и программным средствам на рабочих местах пользователей
требования к обеспечению безопасности каналов связи, протоколу передачи информации (SSL, VPN-туннелирование)
требования к используемым паролям доступа и механизму аутентификации (парольная- / windows-аутентификация)
последовательность необходимых действий, которые необходимо выполнить при возникновении внештатной ситуации (поломка, кража, ремонт)
перечень событий, наступление которых должно повлечь немедленное изъятие прав доступа к системе
разработанная политика ИБ должна доводиться до сведения всех сотрудников, имеющих доступ к системе DirectumRX
использовать все возможные общесистемные программно-аппаратные решения, повышающие уровень безопасности:
ограничение входящего и исходящего трафика на брандмауэре
использование шифрования раздела, на котором находится важная и конфиденциальная информация
использовать и регулярно обновлять персональные средства защиты, антивирусное ПО, инструменты обнаружения вредоносных программ
Защита персональных мобильных устройств
В связи с возможностью выноса мобильного устройства за защищаемый периметр, кроме базовых требований, для мобильных устройств можно предложить следующие требования:
обязательное использование паролей или PIN-кода с их периодическим изменением
шифрование раздела диска на мобильном устройстве, в случае если мобильная платформа позволяет
отключение сетевых интерфейсов, которые не используются, если есть возможность, использовать проводное соединение, обязательно отключить bluetooth, если для его использования нет крайней необходимости
регулярное отслеживание информации об уязвимостях и установка обновлений безопасности на устройства
установка на устройство только подписанных пакетов, протестированных на специализированном стенде
настройка запрета на установку и удаление ПО пользователем
использование антивирусного ПО для мобильных устройств
обеспечение доступа к сервисам компании только через защищенные каналы связи, либо из ограниченных мест.
обучение пользователей навыкам безопасной работы с мобильными устройствами
Безопасность сервиса NOMAD
Чтобы не дублировать информацию, читателям предлагаю ознакомиться с серией статей Михаила Кислицына, которая посвящена настройкам безопасности сервиса NOMAD:
В данной статье были представлены рекомендации, которые позволят минимизировать потенциальные потери, связанные с утечкой информации. Представленные угрозы и рекомендации не являются исчерпывающими, Вы можете дополнять данные рекомендации собственными требованиями. Представленной информации будет достаточно для составления политики безопасности, если ее у вас еще нет, а также для составления памятки для сотрудников, использующих мобильные устройства.
Авторизуйтесь, чтобы написать комментарий