Читаем Политики безопасности компании при работе в Интернет полностью

• серверы должны быть зарегистрированы в корпоративной системе управления компании. Как минимум, должна иметься следующая информация о сервере: ответственный, местоположение оборудования и ответственный за резервное копирование; производитель оборудования и версия операционной системы; основные функции и приложения;

• информация в корпоративной системе управления компании должна своевременно обновляться;

• изменения в конфигурациях серверов должны соответствовать процедурам управления изменениями.

Основные настройки конфигурации:

• конфигурация операционной системы должна быть произведена в соответствии с установленными отделом информационной безопасности стандартами;

• неиспользуемые сервисы и приложения должны быть отключены/удалены;

• доступ к сервисам должен журналироваться и/или защищаться с использованием методов контроля доступа;

• обновления средств безопасности должны быть установлены сразу после их появления, допустимо единственное исключение, когда приложение не может быть остановлено из-за его критичности;

• доверительные отношения между системами приводят к увеличению рисков безопасности. Не используйте доверительные отношения, если есть другой метод, способный реализовать необходимые задачи;

• необходимо всегда использовать принцип наименьших привилегий;

• не следует использовать администраторскую учетную запись, если можно выполнить задачу с применением непривилегированной учетной записи;

• привилегированный доступ, если это технически возможно, должен осуществляться с помощью SSH или IPSec;

• серверы должны быть физически расположены в помещении с ограниченным доступом;