Удаленный доступ для сотрудников внешних организаций
Правило: Сотрудники внешних организаций (производители программного обеспечения или обсуживающий персонал поставщиков оборудования) не имеют права удаленного доступа к ресурсам компании без проверки личности и удостоверения соответствующих привилегий. Если поставщик нуждается в административном доступе к локальной сети для обеспечения поддержки, то непосредственно после выполнения работ пароль должен быть изменен.
Аргументация и примечания: В целях получения доступа к корпоративной сети атакующий может выступать от лица поставщика. Именно поэтому сотрудник внешней организации всегда должен проходить процедуру верификации и подтверждения полномочий на работу с системами или сервисами компании. Более того, после выполнения работ, «дверь» должна быть закрыта с помощью изменения пароля, которым пользовался поставщик.
Ни один поставщик или сотрудник внешней службы поддержки не имеет права устанавливать свой пароль, пусть даже временный, на доступ к системам компании. Некоторые поставщики пользуются одинаковыми паролями при доступе к системам разных клиентов. Например, одна известная информационная компания устанавливает одинаковый пароль административного доступа ко всем своим клиентским системам и даже не блокирует Telnet-доступ!
