Искусство обмана

         

Категоризирование данных


Правило: Любая ценная, служебная или особо важная для компании информация должна попадать под определенную категорию в классификаторе данных. Это обязанность специально назначенного хранителя информации или другого ответственного лица.

Аргументация и примечания: Ответственный за информацию (хранитель) обязан классифицировать любые данные, участвующие в бизнес-процессах организации. Хранитель управляет доступом к таким данным и устанавливает правила обращения с той или иной категорией информации. Хранитель имеет право изменять ранее определенную классификацию и предопределять время жизни классификатора.

Любые данные должны восприниматься как ценные, если не оговорено обратное.



Обнародование принципов работы с данными


Правило: Компания должна устанавливать процедуры, регламентирующие хождение классифицированной информации.

Аргументация и примечания: Вместе с классификатором данных должны быть определены правила работы с информацией, о чем было подробно написано в разделе «Процедуры авторизации и удостоверения».



Инвентаризация информационных носителей


Правило: Сделайте хорошо различимые отметки на печатных материалах и прочих носителях, содержащих конфиденциальную, частную или внутреннюю информацию.

Аргументация и примечания: Документы должны иметь обложку, на которой хорошо видна классифицирующая отметка. Кроме того, такая отметка (идентификатор) должна быть и на каждой странице документа.

Все электронные файлы или таблицы баз данных, которые нельзя пометить идентификатором, должны контролироваться системой разграничения доступа, что позволяет защитить информацию от непреднамеренного разглашения, изменения или порчи.

Все компьютерные носители (гибкие диски, пленки, CD) должны иметь отметку, соответствующую наиболее ценной информации, на них содержащейся.



Процедура установления личности сотрудника


Правило: Компания должна установить доступные для своих сотрудников процедуры идентификации, авторизации и определения статуса производящего запрос на получение информации или совершение любого действия, связанного с программным или аппаратным обеспечением.

Аргументация и примечания: Если это оправдано размерами компании или бизнесом вообще, полномочия и личность должны подтверждаться с помощью специально спроектированной системы безопасности. Лучший способ – в сочетании токена (смарт-карты) идентифицирующей сотрудника, и публичного (общего) ключа, имеющего хождение внутри компании. Это сравнительно дорогостоящий, но значительно укрепляющий защиту метод. В некоторых случаях достаточно общего ключа доступа, которым может являться код или пароль, изменяемый ежедневно.



Разглашение информации третьим лицам


Правило: Компания должна предоставить своим сотрудникам набор процедур, регламентирующих распространение информации. Все сотрудники должны четко знать, как пользоваться этими процедурами.

Аргументация и примечания: Процедуры распространения информации должны устанавливаться для следующих данных:

·

Информация, имеющая хождение внутри организации.

·         Информация, предназначенная для лиц или внешних организаций, имеющих тесные связи с компанией. Речь идет о консультантах, временных служащих, поставщиках, стратегических партнерах и т.д.

·         Исходящая информация, предназначенная для распространения вне организации.

·         Информация любой категории, если таковая доставляется лично, по телефону, по факсу, голосовой или обычной почтой, электронной почтой, службой физической доставки или любыми средствами электронной доставки.



Распространение конфиденциальной информации


Правило: Конфиденциальная информация, т.е. информация, которая может нанести значительный урон, если попадет в руки неавторизированного лица, должна предоставляться только доверенным сотрудникам, которые имеют все необходимые для этого полномочия.

Аргументация и примечания: Конфиденциальная информация на физических носителях (печатные копии, сменные компьютерные диски) может предоставляться:

·         Лично.

·         Внутренней почтой, с отметкой, специально классифицирующей информацию, как конфиденциальную.

·         Вне компании посредством услуг имеющей репутацию фирмы (FedEx, UPS и и.д.), под личную подпись получателя.

Конфиденциальная информация в электронном виде (компьютерные файлы, таблицы базы данных, электронные сообщения) может предоставляться:

·         В теле зашифрованного электронного письма.

·         В зашифрованном файле - приложении к электронному письму.

·         Посредством передачи на корпоративный сервер по локальной сети.

·         С помощью компьютерной факс-программы, учитывая, что со стороны получателя факс-машиной или компьютером в данный момент пользуется именно тот, кому адресовано факсимильное послание. Как альтернатива, факсимиле может быть отослано без непосредственного участия получателя конфиденциальной информации, но только если посылка производится по зашифрованной линии на защищенный паролем факс-сервер.

Конфиденциальная информация может обсуждаться при личной встрече, по внутреннему телефону, по внешнему телефону с шифрованной передачей, по спутниковым шифрованным каналам, в шифрованной видеоконференции или посредством шифрованного протокола передачи голоса через интернет (Voice Over Internet Protocol, VoIP).

В случае передачи факсимиле, рекомендуется отправить сначала титульную страницу, в ответ на которую получатель обязан соответствующим образом ответить, подтверждая свое присутствие у факс-машины или компьютера. Только после этого происходит передача документа, содержащего конфиденциальные данные.

Незашифрованная электронная почта, голосовая или обычная почта, беспроводные средства коммуникаций (сотовая связь, SMS, радио-телефоны, протокол IEEE 902.11b

без VPN) не предназначены для передачи конфиденциальной информации.



Распространение частной информации


Правило: Частная информация – та информация, разглашение которой может нанести значительный урон отдельному служащему или компании в целом – должна предоставляться только доверенным лицам, которые имеют все необходимые для этого полномочия.

Аргументация и примечания: Частная информация на физических носителях (печатные копии, сменные компьютерные диски) может предоставляться:

·

Лично.

·         Внутренней почтой, с отметкой, специально классифицирующей информацию, как частную.

·         Обычной почтой.

Частная информация в электронном виде (компьютерные файлы, таблицы базы данных, электронные сообщения) может предоставляться:

·         Электронной почтой внутри компании

·         Посредством передачи на корпоративный сервер по локальной сети.

·         Факсимиле, учитывая, что со стороны получателя факс-машиной или компьютером в данный момент пользуется именно тот, кому адресовано послание. Как альтернатива, факсимиле может быть отослано без непосредственного участия получателя частной информации, но если только посылка производится по зашифрованной линии на защищенный паролем факс-сервер.

Частная информация может обсуждаться при личной встрече, по спутниковым каналам, в видеоконференции или посредством шифрованного протокола передачи голоса через интернет (Voice Over Internet Protocol, VoIP).

Незашифрованные электронные сообщения, голосовая почта, или беспроводные средства коммуникаций (сотовая связь, SMS, радио-телефоны, протокол IEEE 902.11b

без VPN) не предназначены для передачи или обсуждения частной информации.



Распространение информации для внутреннего использования


Правило: Внутренняя информация не имеет хождения вне компании и предоставляется только доверенным лицам, подписавшим соглашение о неразглашении такого рода информации. Компания должна определить правила работы с внутренней информацией.

Аргументация и примечания: Внутренняя информация может распространяться в любой форме, включая внутреннюю электронную почту, но исключая незашифрованные почтовые сообщения, которые покидают пределы корпоративной сети.



Использование служебной информации в телефонном разговоре


Правило: Сотрудник, прежде чем предоставлять по телефону информацию для служебного пользования, обязан идентифицировать голос собеседника. Альтернатива – телефонная система компании должна предоставить информацию о поступившем звонке, а сотрудник, в свою очередь, должен сопоставить собеседника с номером на дисплее аппарата.

Аргументация и примечания: Если голос запрашивающего информацию собеседника незнаком, то сотруднику предлагается или перезвонить по внутреннему номеру и сличить голос с записанным сообщением, или перезвонить непосредственному начальнику запрашивающего для подтверждения полномочий.



Процедуры для служащих вестибюля и приемной


Правило: Служащие, перед тем как передавать что-либо человеку, которого  нельзя однозначно идентифицировать, как действующего сотрудника компании, обязаны посмотреть его паспорт или другой общепринятый документ с фотографией. При этом должен вестись журнал, отражающий все факты передач, посещений, имен посетителей, их даты рождений и номера соответствующих документов.

Аргументация и примечания: Это правило должно применяться и в отношении исходящих пакетов, которые передаются курьерам службы доставки (FedEx, UPS и т.д.). Курьеры при этом должны иметь специальные идентификационные карточки, с помощью которых можно удостовериться в правомочности действий.



Передача программного обеспечения третьим лицам


Правило: До передачи программного обеспечения или каких либо конфигураций, сотрудник обязан идентифицировать получателя. Кроме того, исходя из классификации данных сотрудник должен установить, предназначена ли та или иная программа для передачи запрашиваемому. Обычно, программные пакеты собственной разработки или исходные тексты таких программ расцениваются как собственность компании и подходят под определение конфиденциальной информации, не предназначенной для передачи третьим лицам.

Аргументация и примечания: Авторизация чаще всего основана на ответе на вопрос: «Нужна ли программа для выполнения непосредственных обязанностей запрашивающего?»



Определение мотивов клиента (для служащих маркетингового отдела и отдела продаж)


Правило: Служащие маркетингового отдела и отдела продаж, прежде чем предоставлять внутренние телефонные номера, описание продукта, контактную информацию проектной группы или любой другой служебной информации, должны для себя четко определить истинные мотивы потенциального покупателя или корпоративного клиента.

Аргументация и примечания: В практике промышленного шпионажа распространен метод, когда злоумышленник связывается с маркетинговым отделом и представляется клиентом, готовым на крупную покупку или выгодную сделку. При этом торговые представители, боясь упустить будущую выгоду, часто безоговорочно отвечают на все вопросы.



Передача файлов данных


Правило: Файлы или любые другие данные в электронном формате не должны копироваться на сменный носитель, если запрашивающий эти данные не является доверенным лицом или если он не имеет соответствующих полномочий.

Аргументация и примечания: Социоинженер легко может обмануть сотрудника так, что последний скопирует файлы на пленку, Zip-диск или любой другой носитель, а в последствии перешлет этот носитель злоумышленнику или оставит для него пакет в вестибюле.



Переадресация на номерах факс и dial-up соединений


Правило: На факсах и dial-up соединениях услуга переадресации звонков на городские номера должна быть запрещена.

Аргументация и примечания: Злоумышленник может обмануть служащих телефонной компании или отдела связи вашей фирмы так, что они переадресуют некоторые внутренние номера на внешнюю линию, контролируемую злоумышленником. Такая атака позволяет взломщику перехватывать факсимиле, запрашивать конфиденциальную информацию (при этом сотрудник-жертва будет думать, что отправляет сообщение сослуживцу внутри компании), или, установив на контролируемой линии компьютер, симулирующий сервер, считывать имена пользователей и пароли доступа dial-up.

В зависимости от того, кто предоставляет внутренние телефонные услуги для вашей фирмы, функция переадресации может быть под контролем вашего отдела связи или внешней телефонной организации. В последнем случае необходимо составить запрос на принудительное отключение переадресации для номеров, на которых установлены модемы или факс-аппараты.



Автоматическое определение номера


Правило: Корпоративная телефонная система должна предоставлять своим пользователям функцию АОН. Эта функция должна активизироваться на каждом аппарате, и, более того, аппараты должны иметь разные сигналы для внутренних и внешних звонков.

Аргументация и примечания: Если сотрудник может определить городские звонки, это дает дополнительное преимущество. Кроме того, сотрудник может вовремя предупредить службу безопасности о подозрительном звонке с городского телефона.



Общедоступные телефонные аппараты


Правило: Злоумышленник может позвонить с общедоступного телефона в холле и представиться сотрудником компании. Чтобы избежать подобных ситуаций, в случае вызова с публичного телефона, АОН должен отображать местоположение звонящего, например: «Вестибюль».

Аргументация и примечания: Если дисплей телефона отображает только номер, то на номера публично доступных телефонов следует обращать особое внимание. Помните, что общедоступный внутренний телефон, оставаясь внутренним, еще не является служебным телефоном.



Стандартные пароли доступа к телефонным системам


Правило: Технический администратор должен заблаговременно сменить все стандартные пароли ящиков голосовой почты.

Аргументация и примечания: Социоинженер может найти списки стандартных паролей (паролей «по умолчанию») основных производителей мини-АТС или других телефонных систем. Впоследствии злоумышленник может получить административный доступ к телефонной сети предприятия простым подбором пароля.



Голосовая почта отдела


Правило: Во всех отделах «работающих с населением» необходимо установить ящик голосовой почты

Аргументация и примечания: Первый этап в атаке социоинженера - сбор информации о фирме и ее штатных сотрудниках. Голосовая почта или ручная переадресация вызова может сильно затруднить работу злоумышленника, ищущего подходящую жертву или выясняющего имя сотрудника, которым можно «прикрыться».



Проверка сотрудника телефонной компании


Правило: Ни один сотрудник сторонней организации (например, техник из телефонной компании) не имеет права удаленного подключения к вашим внутренним системам без идентификации и специального разрешения.

Аргументация и примечания: Взломщики, получившие доступ к корпоративной телефонной системе, получают возможность создавать ящики голосовой почты, перехватывать сообщения других сотрудников, или звонить с ваших телефонов за ваш же счет.



Настройки телефонных систем


Правило: Технический администратор, управляющий голосовой почтой, должен сделать все для того, чтобы система была настроена на максимальную защиту.

Аргументация и примечания: Защита голосовой почты может быть разной степени надежности, и это прежде всего зависит от настроек. Администратор, задействуя персонал службы безопасности, должен настроить систему на защиту ценной информации.



Функция отслеживания звонков


Правило: Необходимо активизировать функцию отслеживания (захвата) входящих вызовов, если это позволяет сделать телефонная сеть. Функция должна быть доступна на любом внутреннем телефоне. Причем каждый сотрудник должен иметь возможность перехватить подозрительный вызов.

Аргументация и примечания: Штат компании должен ознакомиться с правилами и условиями отслеживания звонков. Пользоваться функцией отслеживания сотрудник может только в том случае, если выявлена попытка получения несанкционированного доступа к компьютерной сети или ценной информации. Непосредственно до или после отслеживания сотрудник должен поставить в известность группу чрезвычайного реагирования.



Автоответчик


Правило:  Если телефонная система снабжена автоответчиком, то запись не должна содержать номера внутренних телефонов или названия отделов.

Аргументация и примечания: У злоумышленника может возникнуть прекрасная возможность сопоставить имена служащих с их внутренними телефонами. В последствии эти данные (которые по сути являются служебной информацией) социоинженер использует против вас.



Блокирование ящика голосовой почты


Правило: Телефонная система должна быть запрограммирована так, чтобы ящик голосовой почты блокировался после нескольких неудачных попыток несанкционированного доступа (например, способом подбора пароля).

Аргументация и примечания: Технический администратор, отвечающий за телекоммуникации, должен установить ограничение – голосовой ящик блокируется после пяти неудачных попыток доступа.



Ограничение доступа к внутренним номерам


Правило: В отделах или рабочих группах, бизнес-процессы которых не предусматривают получения вызовов с городских номеров, должен быть установлен запрет на входящие городские вызовы. Как альтернатива, такие вызовы можно защитить тоновым паролем, так чтобы сами сотрудники или партнеры компании могли звонить в отдел с городского телефона.

Аргументация и примечания: Эта процедура оградит вас от начинающих шпионов, но не от профессионалов. Злоумышленник может попросить служащего соединить его с внутренним телефоном, который извне недоступен. На корпоративных тренингах по безопасности этот метод надо приводить в пример.



Формат корпоративного бэджа


Правило: На бэдже должна быть большая хорошо различимая фотография.

Аргументация и примечания: На стандартных бэджах фотография обычно такая, что ее можно и не заметить. Кроме того, расстояние между охранником и входящим в здание не всегда позволяет рассмотреть фото. Для того чтобы в такой ситуации фотография имела значение, потребуется разработать подходящий бедж.



Пересмотр прав доступа при смене должности или обязанностей


Правило: Начальник сотрудника, сменившего должность или обязанности, должен сообщить об изменениях в информационный отдел, где сотруднику будет присвоен новый профайл$$Профайл безопасности – набор ролей и полномочий доступа, которыми наделена группа пользователей, имеющих схожие обязанности.$$. 

Аргументация и примечания: Управление правами доступа сотрудников – необходимый процесс, ограничивающий распространение защищаемой информации. Применяется принцип наименьших привилегий: сотрудник имеет доступ только к той информации, которая ему необходима для исполнения служебных обязанностей. Любые запросы на расширение прав доступа должны интерпретироваться в соответствии с правилом, регулирующим изменения профайла пользователя.

Для координации в вопросах изменения прав доступа учетной записи пользователя, отдел кадров или начальник обязуется оповещать информационный отдел об изменениях набора обязанностей служащего.



Идентификация лиц, не являющихся сотрудниками


Правило: Компания должна выпустить специальные бэджи с фотографией для доверенных курьеров и посетителей здания фирмы.

Аргументация и примечания: Сотрудники внешних организаций, которые часто посещают вашу компанию (доставка продуктов в кафетерий, ремонт или установка аппаратуры) могут представлять собой опасность. Кроме идентифицирующих бэджей, здесь нельзя забывать и о подготовке персонала, чтобы каждый знал, что именно надо делать при обнаружении на территории компании постороннего человека.



Удаление учетных записей временных служащих


Правило: Начальник временно нанятого на работу сотрудника, после выполнения работ по контракту или по истечению срока действия договора, обязан незамедлительно оповестить об этом отдел информационных технологий. Администратор информационного отдела должен удалить учетную запись бывшего сотрудника, блокировать для него доступ к базам данных, dial-up

серверу и интернету.

Аргументация и примечания: Всегда существует опасность, что уволенный сотрудник может воспользоваться полученными знаниями о внутренних системах компании и получить доступ к служебной информации. Все учетные записи, которыми пользовался или о которых знал сотрудник, должны быть немедленно блокированы. Такими учетными записями могут быть, помимо прочих, пароли dial-up, имя пользователя базы данных и другая авторизирующая информация для доступа к компьютерной технике.



Организация команды чрезвычайного реагирования


Правило: В компании должна действовать команда чрезвычайного реагирования, а в небольших фирмах за чрезвычайное оповещение может отвечать один человек, имеющий функционального заместителя. Команда чрезвычайного реагирования выполняет диспетчерские функции в случае возникновения инцидента, связанного с безопасностью.

Аргументация и примечания: В случае атаки (и для ее обнаружения) крайне важно иметь единый центр сбора и распределения информации об инциденте. В противном случае атака может пройти незамеченной, или данные об атаке поступят с запозданием. Кроме того, если компания подвергается атакам по многим направлениям, команда реагирования, собирающая тревожную информацию, будет способна вовремя установить истинную цель нападающего и принять дополнительные меры защиты.

Сотрудники, выполняющие обязанности по чрезвычайному реагированию и принимающие тревожную информацию, должны знать методы социальной инженерии и уметь распознавать этапы атаки.



Горячая линия оповещения


Правило: Должна быть установлена горячая линия команды чрезвычайного реагирования. Для этого бывает достаточно выделить телефонную линию с легко запоминающимся добавочным номером.

Аргументация и примечания: Сотрудник, если подозревает, что имеет дело с атакой социоинженера, должен иметь возможность без замедления сообщить об этом в службу команды чрезвычайного реагирования. Для этого номер команды должен быть хорошо известен и сотрудникам необходимо пройти соответствующую подготовку, позволяющую определить саму атаку.

В соответствии с установленными процедурами, команда чрезвычайного реагирования должна предупредить отделы, на которые потенциально может быть совершена или совершается атака.



Охрана служебных помещений


Правило: Защищаемые помещения должны находиться под наблюдением охранника и иметь две формы аутентификации.

Аргументация и примечания: Одна из приемлемых форм аутентификации (удостоверения личности) заключается в считывании электронного беджа и вводе кода доступа. Лучший способ обезопасить защищаемые помещения – установить физическое наблюдение за всеми входами, оснащенными аппаратурой контроля доступа. Если это возможно и оправдано, то рекомендуется использовать биометрические карты.



Сетевые и телефонные аппаратные комнаты


Правило: Кабинеты, аппаратные и подсобные помещения, в которых располагаются сетевые устройства, телефонные щиты и прочее телекоммуникационное оборудование, должны находиться под постоянным контролем.

Аргументация и примечания: Доступ в такие помещения должны иметь только лица со специальными привилегиями. Сотрудники внешних компаний – поставщиков аппаратуры или провайдеров, – прежде чем получить доступ к аппаратным комнатам, должны быть идентифицированы в соответствии с правилами, установленными отделом, ответственным за информационную безопасность. Несанкционированный доступ к телефонным линиям, коммутаторам, мостам, концентраторам и другой сетевой аппаратуре может привести к взлому компьютерной защиты компании.



Корпоративные почтовые ящики


Правило: Внутренние корпоративные почтовые ящики не должны располагаться в общедоступных местах.

Аргументация и примечания: Промышленные шпионы или взломщики, получившие доступ к внутренним точкам доставки почты, без труда могут отослать поддельные авторизирующие письма или принятые в организации формы, которые идентифицируют отправителя, как пользователя конфиденциальной информации. Кроме того, атакующий может отправить пакет с гибким диском или другим электронным носителем и инструкциями по установке, например, программного обновления, которое содержит в себе зловредный код. Обычно, любое сообщение или посылка, полученная по корпоративной почте, воспринимается сотрудником, как достоверная.



Корпоративная доска объявлений


Правило: Для личной безопасности сотрудников, корпоративные доски объявлений не должны располагаться в общедоступных местах.

Аргументация и примечания: На многих фирмах имеются доски объявлений, содержащие частную информацию. Это могут быть частные объявления с домашними телефонами сотрудников, списки служащих, меморандумы, и т.д.

Доски объявлений часто располагаются вблизи комнат отдыха, мест курения или кафетерия. Но такая информация не должна быть в зоне доступа посетителей компании.



Вход в информационный центр компании


Правило: Вход в информационный (вычислительный) центр должен быть постоянно закрыт и любой входящий должен удостоверить свою личность.

Аргументация и примечания: Корпоративная безопасность должна предусматривать введение электронных бэджей или карт доступа. Вход в помещения, защищенные устройствами считывания таких карт, должен протоколироваться и периодически анализироваться.



Учетные записи потребителей услуг внешних компаний


Правило: Служащие, размещающие заказы у поставщиков особо важных услуг для деятельности компании, должны пользоваться защищенными учетными записями, предотвращающими несанкционированное размещение заказов от лица компании.

Аргументация и примечания: Поставщики бытовых и других услуг обычно устанавливают пароль по запросу от потребителя. Администрация обязана воспользоваться паролями доступа к услугам, особо важным для жизнедеятельности компании. В частности, это относится к получению доступа в интернет и прочим телекоммуникациям. Однако при этом не должны использоваться идентификаторы типа номера социального страхования, фамилии, номера паспорта и т.п.

Для примера, социоинженер может позвонить в телефонную компанию и попросить (от вашего имени) добавить услугу переадресации вызова на dial-up

линию или сделать запрос вашему интернет-провайдеру на смену IP-адреса узла, к которому часто обращаются сотрудники фирмы.



Контактное лицо отдела


Правило: В компании должна быть внедрена программа, в рамках которой каждый отдел или рабочая группа устанавливает контактное лицо – сотрудника, ответственного за удостоверение личности любого лица, представляющегося от имени этого отдела. Для примера, справочная служба компании должна перезванивать таким сотрудникам для идентификации инициатора запроса информации.

Аргументация и примечания: Такая программа проверки личности значительно уменьшает количество сотрудников, подтверждающих полномочия на проведение операций, связанных с установками учетных записей.

В некоторых случаях атака социоинженера оказывается удачной именно потому, что технический персонал сильно ограничен во времени и не успевает вовремя проверить полномочия того или иного сотрудника. В больших организациях персонал службы поддержки не знаком лично со всеми сотрудниками. Контактные лица в отделах решают эту проблему.



Пароли клиентов


Правило: Представители отдела работы с клиентами не имеют права разглашать пароли учетных записей клиентов.

Аргументация и примечания: Социоинженеры нередко обращаются в фирму под видом клиента и, таким образом могут получить чужие идентификационные данные (номер паспорта или пароль). Далее, с помощью полученных данных, злоумышленник может разместить ложный заказ или получить доступ к служебной информации.

Для предотвращения подобных атак в отделах работы с клиентами достаточно установить программное обеспечение, которое позволяет вводить идентификационные данные для проверки, но не разрешает получать такие данные по запросу клиента.



Проверка на уязвимость


Правило: Для проверки существующих уязвимостей и в рамках программы повышения компетентности сотрудников, в компании должны проводиться учебные социоинженерные атаки. Персонал необходимо предупреждать о возможности проведения учебных атак.

Аргументация и примечания: Без предупреждения служащие могут растеряться или даже разозлиться. Согласитесь, становится неприятно, когда узнаешь, что нанятые специалисты или сослуживцы используют против вас обманные и маскировочные приемы. Конфликта можно избежать, если заблаговременно поставить в известность сотрудников при приеме на работу.



Отображение конфиденциальной корпоративной информации


Правило: Внутренняя информация, не предназначенная для публичного просмотра, не должна отображаться в общедоступных местах.

Аргументация и примечания: Помимо конфиденциальной информации, касающейся производства или деловых процессов, это правило относится также к спискам внутренних телефонов и спискам руководящих сотрудников в каждом из отделов компании, которые также не стоит вывешивать на виду.



Повышение компетентности в вопросах безопасности


Правило: Все новые сотрудники компании во время периода обучения должны пройти тренинг по безопасности. Кроме того, не реже одного раза в год служащие должны проходить курс повышения компетентности в вопросах безопасности. График этих мероприятий составляет отдел, ответственный за тренинги по безопасности.

Аргументация и примечания: Во многих организациях такие тренинги не проводятся. Согласно Глобальному обзору информационной безопасности за 2001 год, лишь 30 процентов опрашиваемых организаций выделяли средства на обучение своих пользователей. Тренинги по безопасности – это первое необходимое требование по предотвращению атак промышленного шпионажа.



Доступ к компьютерной технике и обучение персонала


Правило: Персонал компании должен проходить обязательный курс по информационной безопасности. Сотрудник может быть допущен к компьютерным системам компании только после прохождения этого курса.

Аргументация и примечания: Социоинженеры обычно нацеливаются на новых сотрудников, зная что они, в общем случае, хуже других разбираются в корпоративной политике безопасности, в классификации данных и методах обращения со служебной информацией.

Курс информационной безопасности должен предусматривать возможность для студентов задавать вопросы, касающиеся правил политики. После прохождения курса, владелец учетной записи обязан подписать документ, подтверждающий знание политики безопасности и обязывающий следовать правилам этой политики.



Цветовое кодирование корпоративного бэджа


Правило: Корпоративные беджи должны иметь окраску, говорящую о статусе служащего: постоянный сотрудник, временный сотрудник, контрактник, поставщик, консультант, посетитель или сотрудник, проходящий испытательный срок.

Аргументация и примечания: Цвет беджа позволяет на расстоянии распознать статус человека. Как альтернатива, может использоваться надпись, сделанная хорошо различимыми буквами, но цветовое кодирование надежнее и проще.



Контактная информация служащих отдела информационных технологий


Правило: Телефонные номера и адреса электронной почты служащих отдела информационных технологий не должны разглашаться без крайней необходимости.

Аргументация и примечания: Это правило необходимо соблюдать прежде всего для того, чтобы контактная информация не попала в руки социоинженера. Посторонние должны быть «отделены» от служащих отдела информационных технологий общим телефонным номером и общим электронным адресом (например, info@companyname.com). Адрес администратора, в свою очередь, должен состоять из абстрактного имени (например, admin@companyname.com).

Если контактная информация служащего становится известной взломщику, то это резко повышает риск нападения. Кроме того, социоинженер может воспользоваться такой информацией для прикрытия.



Запросы на получение технической поддержки


Правило: Все запросы на получение технической поддержки должны перенаправляться в группу, которая непосредственно занимается поддержкой.

Аргументация и примечания: Дело в том, что социальный инженер может попытаться спровоцировать служащего отдела информационных технологий, который не имеет четкого представления о технической поддержке и не знаком с соответствующими требованиями к безопасности. В связи с этим, служащие не должны отвечать на подобные запросы и перенаправлять инициатора запроса в группу технической поддержки.



Регламентация удаленного доступа


Правило: Персонал справочной службы не должен освещать подробности настроек и процедур удаленного доступа, номера dial-up и адреса внешних точек доступа до тех пор, пока запрашивающий не был проверен:

·

как имеющий права на получение служебной информации

·         и как имеющий права на внешнее соединение с локальной сетью организации.

Аргументация и примечания: Работа сотрудников справочной службы связана с компьютерными проблемами, и такие сотрудники обычно имеют расширенные привилегии доступа к системам. Именно поэтому они являются наиболее желанной целью социоинженера. Справочная служба должна действовать в качестве «человеческого» брандмауэра, предотвращая несанкционированный доступ к ценной информации. Простое правило заключается в том, что данные об удаленном доступе не должны разглашаться неустановленным лицам.



Сброс пароля


Правило: Пароль учетной записи пользователя может быть изменен или сброшен только по запросу держателя учетной записи.

Аргументация и примечания: Задача социоинженера нередко сводится к изменению или сбросу пароля пользователя. При этом злоумышленник представляет себя в качестве легитимного пользователя и просит администратора изменить пароль, который он вдруг «забыл». Именно поэтому служащие, получающие запрос на изменение пароля пользователя, должны обязательно перезвонить пользователю по местному телефону. Причем звонок должен производиться не по номеру, предоставленному инициатору запроса, а по номеру из телефонного справочника компании. Более подробная информация касательно этой процедуры изложена в разделе «Процедуры авторизации и удостоверения».



Изменение прав доступа


Правило: Все запросы на расширение привилегий или прав доступа пользователя должны письменно заверяться начальником владельца учетной записи. После изменения профайла, начальник должен уведомляться. Более того, запросы такого рода должны проверяться на соответствие полномочиям, как описано в разделе «Процедуры авторизации и удостоверения».

Аргументация и примечания: После того, как взломщику удалось скомпрометировать учетную запись обычного пользователя, он пытается расширить захваченные привилегии, что, в свою очередь, может вести к получению абсолютного контроля над всей системой. Взломщик, который отлично представляет себе установленные на фирме методы авторизации, может подделать запрос на расширение привилегий, если такой запрос производится по телефону, факсу или электронной почте. К примеру, злоумышленник может позвонить в службу технической поддержки или справочную и попросить инженера расширить полномочия скомпрометированной (взломанной) учетной записи.



Авторизация на создание учетной записи


Правило: Запрос на создание новой учетной записи служащего, временного работника или любого другого уполномоченного лица может быть сделан только в письменной и заверенной начальником форме. Как альтернатива, может использоваться сообщение с электронной подписью начальника. Такие запросы, как и запросы на изменение прав доступа, должны быть проверены с помощью отправки подтверждения на адрес начальника.

Аргументация и примечания: Специальные меры предосторожности нужны везде, где дело касается паролей и вообще любых данных, которые могут помочь взломщику проникнуть в корпоративную сеть. Это правило работает против поддельных запросов на создание новой учетной записи и маскировочных методик промышленного шпионажа. Таким образом, все запросы должны проверяться на достоверность согласно разделу «Процедуры авторизации и удостоверения».



Предоставление нового пароля


Правило: Новые (или измененные) пароли должны расцениваться как конфиденциальная информация. Новые пароли должны предоставляться своим владельцам самым безопасным методом. Лучше, если при личной встрече или с помощью зарекомендовавшей себя службы доставки «лично в руки». Для получения расширенной информации по этому вопросу, обращайтесь к правилам, касающимся распространения конфиденциальных данных.

Аргументация и примечания: Для доставки пароля может использоваться и корпоративная почта, но при этом важно учесть, что послание должно быть надежно запечатано в плотный конверт. В каждом отделе предлагается назначить ответственного за предоставление данных об учетной записи конечным пользователям. Ответственный будет подтверждать личность пользователя в случае утери пароля. Кроме того, ограниченное и заранее определенное число таких ответственных сотрудников должно контактировать с администраторами. Это позволит службе поддержке знать лично всех служащих, с которыми они общаются по вопросам, связанным с учетными записями и их характеристиками.



Блокировка учетной записи


Правило: Прежде чем блокировать учетную запись, убедитесь в том, что запрос на блокирование подан авторизированным лицом.

Аргументация и примечания: Назначение этого правила сводится к противодействию атаке, когда злоумышленник подделывает запрос на блокирование учетной записи пользователя, после чего выступает в роли сотрудника службы поддержки «помогающего» этому пользователю. Доказано, что когда атакующий звонит пользователю под маской техника и предлагает помощь в активизации внезапно потерянных прав доступа, пользователь практически всегда готов раскрыть свой пароль.



Блокировка сетевых портов, служб и устройств


Правило: Ни один из сотрудников не имеет право отключать или блокировать сетевой сервис по запросу неустановленного лица из службы технической поддержки.

Аргументация и примечания: Это правило необходимо для того, чтобы атакующий не имел возможности спровоцировать отключение сетевой службы, после чего попытаться «разрешить» возникшую проблему доступа к сетевым ресурсам от лица сотрудника службы поддержки.



Разглашение информации о беспроводном доступе


Правило: Ни один из сотрудников не должен разглашать информацию о методе и настройках беспроводного доступа лицам без права пользования беспроводной сетью организации.

Аргументация и примечания: Всегда проверяйте инициатора запроса, как лица, имеющего право внешнего соединения с корпоративной сетью. См. раздел «Процедуры авторизации и удостоверения».



Технические проблемы пользователей


Правило: Имена пользователей, которые заявили о технических проблемах, не должны распространяться за пределами отдела информационных технологий.

Аргументация и примечания: Во время обычной атаки социоинженер обязательно позвонит в техническую службу поддержки и попытается выяснить имена пользователей, обращавшихся за компьютерной помощью. Сразу после этого у злоумышленника появляется возможность предложить свою «помощь» от лица работника службы поддержки.