Даже самая совершенная система защиты бесполезна, если ей управляет психологически неустойчивый, наивный и/или доверчивый человек. Помните анекдот о диссертации на тему «зависимость скорости перебора паролей от температуры паяльника(утюга)»? Многие почему-то забывают, что в роли объекта атаки может выступать не только машина, но и ее оператор. Причем, оператор зачастую оказывается слабейшим звеном в системе защиты. Итак, […]


4.11. Вход в компьютерный центр Политика: машинный зал или хранилище данных должно быть всегда закрыто, а персонал должен проходить проверку личности перед входом. Пояснения/заметки: корпоративная безопасность должна предусматривать применение электронных жетонов или устройств считывания с карт доступа, так чтобы все входы фиксировались и проверялись.   4.12. Учетные записи пользователей у поставщиков услуг Политика: персонал компании, […]


4.1 Дизайн значка (бэджа) служащего Политика: значок служащего должен включать в себя крупную фотографию, которую можно разглядеть на расстоянии. Пояснения/заметки: фотография на обычных корпоративных значках, с точки зрения безопасности лучше, чем ничего. Расстояние между человеком, проходящим в здание, и охранником обычно достаточно для того, чтобы идентифицировать человека по фотографии на бэдже.   4.2. Пересмотр прав […]


Политика управления телефонными разговорами гарантирует, что служащие могут проверить личность звонящего и защитить свою контактную информацию от тех людей, которые звонят в компанию.   3.1. Переадресация коммутируемых линий и факсов Политика: службы перенаправления, которые позволяют переадресовать звонки на внешние телефонные номера, не следует включать на телефонных линиях модемов или факсов компании. Пояснения/заметки: опытные атакующие могут […]


Политика раскрытия информации подразумевает выдачу ее различным сторонам, с учетом степени полезности этой информации для них, и их личности (положения в компании).   2.1. Процедура проверки служащих Политика: компания должна разработать всеобъемлющие процедуры для проверки личности, статуса занятости, и разрешения на по лучение информации каждого, кто захочет получить доступ к Конфиденциальной информции или информации для […]


Правила организации информации определяют то, как ваша компания классифицирует информацию по степени важности и секретности, а также лиц, имеющих доступ к этой информации.   1.1. Организация информации в классы. Политика: вся ценная, для служебного пользования или критически важная деловая информация должна организовываться в классы непосредственным Владельцем или уполномоченным лицом. Пояснения/заметки: непосредственный владелец (или уполномоченное лицо) […]


Наверняка вы слышали выражение «социальная инженерия», но вряд ли представляли себе насколько это реально работающая технология, если ей пользоваться умело. «Социальная инженерия» – это одна из частей социальной психологии, направленная лишь на то, чтобы манипулировать людьми или внедрять в их разум новую модель поведения. Она удивительна тем, что включает в себя очень широкий набор различных […]