4.11. Вход в компьютерный центр

Политика: машинный зал или хранилище данных должно быть всегда закрыто, а персонал должен проходить проверку личности перед входом.

Пояснения/заметки: корпоративная безопасность должна предусматривать применение электронных жетонов или устройств считывания с карт доступа, так чтобы все входы фиксировались и проверялись.

 

4.12. Учетные записи пользователей у поставщиков услуг

Политика: персонал компании, размещающий заказы у поставщиков критичных сервисов, должен иметь учетные записи с паролями, чтобы предотвратить размещение заказов на стороне компании от неавторизованныхличностей.

Пояснения/заметки: многие поставщики разрешают пользователям задавать пароль по требованию; компания должна задать пароли для всех поставщиков критичных сервисов.

Эта политика особенно критична для провайдеров телекоммуникационных и Интернет услуг. Для всех критичных сервисов необходимо убедиться, что звонящий имеет право размещать такие заказы. Обратите внимание на то, что для идентификации не следует использовать номер социальной защиты, корпоративный номер налогоплательщика, девичью фамилию матери и т. п. Социальный инженер может, например, позвонить в телефонную компанию и заказать такие услуги, как переадресация звонков коммутируемых линий, или попросить Интернет-провайдера изменить трансляцию адресов, чтобы выдать фальшивый IP-адрес, когда пользователи выполняют поиск имени хоста.

 

4.13. Контактное лицо подразделения

Политика: ваша компания может ввести программу, по которой каждое подразделение или рабочая группа назначит контактным лицом служащего, таким образом любой работник может легко проверить личность неизвестного человека, утверждающего, что он из этого подразделения. Например, отдел технической поддержки может связаться с контактным лицом, чтобы проверить личность служащего, запросившего поддержку.

Пояснения/заметки: этот метод проверки личности уменьшает число служащих, авторизованных ручаться за работников их подразделения, когда такие служащие делают запрос в службу поддержки по поводу сброса пароля или по другому вопросу, связанному с учетными записями. Атаки социальной инженерии отчасти успешны, потому что персонал техподдержки работает в условиях дефицита времени и не проверяет соответствующим образом личность людей, сделавших запрос.

 

4.14. Пароли пользователей

Политика: у представителей сервисной службы не должно быть возможности узнать пароли пользователей.

Пояснения/заметки: социальные инженеры часто звонят в сервисную службу и под благовидным предлогом пытаются получить сведения об аутентификации пользователя, например пароль. Располагая этими сведениями, социальный инженер может затем позвонить другому представителю сервисной службы, представиться пользователем и получить

информацию или разместить обманные заказы. Во избежание таких попыток, программное обеспечение сервисной службы должно допускать только ввод регистрационной информации, предоставленной звонящим, и получать ответ о правильности пароля.

 

4.15. Поиск уязвимостей

Политика: во время обучения по безопасности требуется предупреждать о том, что компания использует тактики социальной инженерии для поиска уязвимостей.

Пояснения/заметки: без предупреждения о попытках вторжения методами социальной инженерии персонал компании может испытывать неудобство, гнев или другие эмоциональные травмы от применения к нимобманных тактик другими служащими или наемными (временными, сезонными) работниками. Вы предотвратите подобные конфликты, предупредив новых работников о том, чтов процессе адаптации они могут быть объектом проверки.

 

4.16. Отображение конфиденциальной информации компании

Политика: информация компании, не предназначенная для огласки, не должна отображаться в общедоступных местах.

Пояснения/заметки: не только конфиденциальная информация о продукте или распорядке, но и внутренняя контактная информация такая, как внутренние телефоны, списки служащих или информация, которая содержит список управляющего персонала каждого подразделения компании, должна храниться втайне.

 

4.17. Обучение безопасности

Политика: все работники, нанятые компанией, должны пройти курс по безопасности во время периода адаптации (освоения). Кроме того, каждый служащий должен периодически проходить дополнительный курс, не реже, чем раз в год, в соответствии с требованиями подразделения, отвечающего за обучение по безопасности.

Пояснения/заметки: многие организации пренебрегают обучением конечных пользователей. Обычно только около 30% обследованных организаций потратили деньги на обучение пользователей. Обучение – необходимое требования для закрытия брешей безопасности, используемых социальными инженерами.

 

4.18. Курс безопасности для получения доступа к компьютерам

Политика: персонал должен посещать и успешно сдавать курс по защите информации перед получением доступа к любой корпоративной компьютерной системе.

Пояснения/заметки: социальные инженеры часто охотятся за новыми служащими, зная, что обычно это люди, наименее осведомленные о политиках безопасности компании и процедурах классификации и обработки секретной информации. При обучении у служащих должна быть возможность задавать вопросы о политиках безопасности. После обучения обладатель (владелец) учетной записи должен подписать документ, подтверждающий его понимание политик безопасности и согласие действовать в соответствии с этими политиками.

 

4.19. Значок служащего должен быть закодирован цветом (использовать цветовое обозначение)

Политика: идентификационные знаки должны быть обозначены цветом, чтобы показать, что их обладатель является служащим, временным работником, поставщиком, консультантом, посетителем или студентом и т.п.

Пояснения/заметки: цвет значка – отличный способ для определения статуса человека на расстоянии. Альтернативой может быть использование больших букв для указания статуса владельца значка, но применение цветовой схемы исключает ошибки и легче для восприятия. Распространенная тактика социальной инженерии для получения физического доступа в здание – нарядиться курьером или специалистом по ремонту. Атакующий оденется, как другой служащий или солжет про свой статус, чтобы получить поддержку от служащих, не вызывая подозрений.

Цель данной политики – предотвратить законный вход в здание людей и последующее проникновение на территорию, к которой у них нет доступа. Например, человек, входящий в здание, как специалист по ремонту телефонии, не сможет представиться служащим: цвет значка подведет его.

 

Оставит комментарий