Введение в защиту информации от внутренних ИТ-угроз

         

Стандартизация ПО


Мало в каких компаниях автору встречался такой документ, как список программного обеспечения, допущенного к установке на рабочих станциях, а там, где он есть, на его составление ответственные лица подвигло не беспокойство за утечки конфиденциальной информации, а, скорее, понимание того, что сотрудники могут использовать предоставленный им для работы компьютер для развлечений. Иначе невозможно объяснить наличие в этом списке файлового менеджера FAR. Возможно, встроенный в операционную систему Windows Explorer действительно неудобен, но зато он не позволяет копировать временные файлы Windows. Что выгоднее компании — заставить сотрудников пользоваться штатными средствами операционной системы или оставить мощный инструмент похищения данных? Ответ напрашивается сам собой, но большинство компаний, видимо, не ставит даже этот вопрос.

После составления списка программного обеспечения необходимо гарантировать его установку на все рабочие станции и ограничить запуск других программ без участия администратора. Принцип "все, что не разрешено — запрещено" в этом случае должен выполняться неукоснительно. Это избавит компанию от будущих проблем с утечками через злонамеренных нарушителей — они не смогут использовать программное обеспечение, которое может использоваться для обмана, например, механизмов контентной фильтрации — шифрования и стеганографии.



Содержание раздела