4.1 Дизайн значка (бэджа) служащего
Политика: значок служащего должен включать в себя крупную фотографию, которую можно разглядеть на расстоянии.
Пояснения/заметки: фотография на обычных корпоративных значках, с точки зрения безопасности лучше, чем ничего. Расстояние между человеком, проходящим в здание, и охранником обычно достаточно для того, чтобы идентифицировать человека по фотографии на бэдже.
4.2. Пересмотр прав доступа после смены должности или ответственности
Политика: всякий раз, когда меняется должность или мера ответственности служащего компании, его руководитель должен известить об этом IT-отдел, для внесения соответствующих изменений в профиль безопасности.
Пояснения/заметки: управление правами доступа персонала необходимо для ограничения доступа к защищенной информации. Правило наименьшей привилегии гласит: права,назначенные пользователям, должны быть минимально необходимыми для выполнения их работы. Любые запросы на предоставление дополнительных прав доступа не должны противоречить политике изменения прав доступа.
Ответственность за извещение IT-отдела об изменении прав доступа накладывается на руководителя работника или отдел кадров.
4.3. Особая идентификация для сторонних лиц
Политика: в компании должен быть предусмотрен специальный значок для курьеров и тех людей, которые не являются служащими, но кому нужен регулярный доступ в компанию.
Пояснения/заметки: те, кто регулярно входит в здание (например, чтобы доставить еду или напитки в кафетерий, или отремонтировать копировальный аппарат, или установить телефон), могут представлять угрозу вашей компании. Кроме рассмотрения вопроса идентификации таких посетителей, обучите ваших служащих, как заметить (обращать внимание на) посетителя без значка и что делать в подобной ситуации.
4.4. Отключение (блокирование) учетных записей временных служащих
Политика: всякий раз, когда временный служащий, для которого была создана учетная запись, выполнил свое задание, или когда срок действия контракта закончился, ответственный руководитель должен немедленно известить об этом IT-отдел, чтобы отключить учетную запись, включая любые учетные записи, используемые для доступа к базам данных, для соединения по коммутируемым линиям или через Интернет из удаленных мест.
Пояснения/заметки: когда работа служащего прекращается, существует опасность, что он или она использует свои знания систем и порядков компании для получения доступа к данным. Все учетные записи, использовавшиеся работником, должны быть сразу отключены. Это относится ко всем учетным записям, предоставляющим доступ к производственной базе данных (продукции), коммутируемым линиям и устройствам, связанными с компьютерами.
4.5. Структура, работающая с отчетами об инцидентах
Политика: для работы с отчетами об инцидентах должна быть выделена структура, а в маленьких компаниях – отдельный человек, которые будут получать и распределять предупреждения, касающиеся возможных инцидентов безопасности.
Пояснения/заметки: централизованные отчеты об ожидаемых инцидентах безопасности помогут обнаружить атаку, которая могла бы остаться незамеченной. В случае систематически обнаруживаемых атак, структура работающая с отчетами об инцидентах, может определить цель атаки с тем, чтобы организовать защиту этих активов. Служащие, назначенные для получения отчетов об инцидентах, должны быть знакомы с методами и тактиками социальной
инженерии, чтобы дать оценку отчету и опознать начавшуюся атаку.
4.6. Горячая линия инцидентов
Политика: для структуры или человека, которые работают с инцидентами безопасности, должна быть выделена горячая линия с легко за поминающимся телефонным номером.
Пояснения/заметки: когда служащие подозревают, что они являются целью атаки социальной инженерии, они должны немедленно известить об этом структуру по работе с инцидентами безопасности. Система своевременного оповещения может существенно помочь организации в обнаружении начавшейся атаки и реагировании на нее. Следует обучить всех служащих немедленно звонить на горячую линию инцидентов в случае, если он или она является объектом атаки социальной инженерии. В соответствии с утвержденным распорядком, персонал по работе с инцидентами известит исполнительные группы о возможном вторжении. Для своевременного извещения телефон горячей линии инцидентов должен быть известен во всей компании.
4.7. Секретные области должны быть защищены
Политика: охранник должен наблюдать за секретными участками и требовать две формы аутентификации.
Пояснения/заметки: одна форма аутентификации использует электронный замок, который требует, чтобы служащий приложил свой значок и набрал код доступа. Лучший метод защиты секретных областей – поместить охранника, наблюдающего за всеми контролируемыми входами. В организациях, для которых цена такого способа велика, следует использовать две формы аутентификации для подтверждения личности. Исходя из риска и стоимости, рекомендуется доступ с биометрическим контролем.
4.8. Шкафы с сетевым и телефонным оборудованием
Политика: шкафы или комнаты с сетевыми и телефонными кабелями, точки доступа к сети должны всегда защищаться.
Пояснения/заметки: только авторизованный персонал должен иметь доступ к телефонным и сетевым шкафам. Любой внешний обслуживающий персонал должен пройти идентификацию согласно правилам, опубликованным подразделением, ответственным за информационную безопасность. Доступ к телефонным линиям, сетевым хабам, коммутаторам и другому оборудованию может использоваться атакующим для того, чтобы подвергнуть опасности компьютерную и сетевую безопасность.
4.9. Ящики внутренней почты
Политика: ящики внутренней почты не должны находиться в общедоступных местах.
Пояснения/заметки: промышленные шпионы или компьютерные взломщики, у которых есть доступ к любым точкам сбора почты внутри компании, могут отправить подделанные письма или внутренние формы авторизации, чтобы получить конфиденциальную информацию или выполнить действие, которое поможет атакующему. Кроме того, атакующий может отправить по почте дискету или другой носитель с инструкциями по установке обновления программы или открытию файла с макросами, работающими для взломщика. Обычно любой запрос, полученный по внутренней почте компании кажется достоверным для получателя.
4.10. Доски объявлений компании
Политика: доски объявлений работников компании не должны находиться в общедоступных местах.
Пояснения/заметки: во многих компаниях есть доски объявлений, где размещается конфиденциальная информация, доступная всем. Объявления о найме, списки служащих, внутренние приказы, домашние телефоны служащих и другая информация размещается на доске. Доски объявлений могут находиться около кафетериев компании или вблизи мест для курения, где имеется свободный доступ для посетителей. Такая информация не должна быть общедоступной.