Аудит безопасности ИТ

Цели

Провести аудит безопасности информационных систем промышленного предприятия, собственники которого были озабочены возможными утечками конструкторской документации к конкурентам.

Результат

Аудит показал, что утечка конфиденциальной информации — это вопрос времени, для злоумышленника копирование служебных данных не представляло особых сложностей. По результатам клиенту было предложено перейти на инфраструктуру виртуальных рабочих столов (VDI), когда пользователь работает в виртуальной машине, а все данные хранятся на одном сервере. Это исключает возможность копирования любых документов и позволяет в несколько раз сократить расходы на администрирование клиентских мест.

Детали

У клиента отсутствовала комплексная политики информационной безопасности, были выявлены уязвимости на всех уровнях.

• Аутентификация и авторизация к информационным ресурсам была ненадежна, одни и те же пароли использовались годами, часто лежали в открытом доступе.
• Имелась возможность подключения носителей данных и копирования любой информации, копии служебных документов располагались на жестких дисках персональных компьютеров;
• Регулярная установка обновлений проводилась только на серверах компании, компьютеры пользователей имели ряд уязвимостей на уровне операционной системы;
• Система администрирования требовала большого количества сотрудников, поскольку каждое рабочее место обладало уникальной конфигурацией, с уникальными проблемами;
• Отсутствовало разграничение доступа к конструкторской документации других разработчиков, многие документы хранились в общих папках.