Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Противодействие методам социальной инженерии.

Обновлено 11.01.2023 06:35

 

Противодействие методам социальной инженерии - это комплекс организационно-режимных мероприятий, включающий:

- проведение проверочных мероприятий при приеме сотрудников на работу, включающих всестороннее изучение личностных качеств кандидата, его окружения, области интересов и информации о прошлой трудовой деятельности;

- контроль входящей корреспонденции, поступающей в электронном виде в почтовые ящики сотрудников, независимо от уровня полномочий и привилегированности;

- проверки наличия служебной информации конфиденциального характера в открытых информационных сетях;

- регулярное проведение занятий с сотрудниками организации по правилам работы с информацией конфиденциального характера и обучение навыкам противодействия методам социальной инженерии;

- контроль соблюдения технологии обработки информации на технических средствах организации;

- запись и последующий анализ телефонных переговоров сотрудников с использованием служебных средств связи;

- проведение воспитательной работы с целью повышения мотивации сотрудников, привития преданности порученному делу;

- проведение периодических проверок профессиональной пригодности сотрудников организации в части обеспечения информационной безопасности.

На последнем мероприятии остановимся подробнее.

Одним из самых эффективных методов проверки фактического состояния информационной безопасности в организации является проведение теста на проникновение, или пентестинга (пентестинг, от англ. penetration test), осуществляемого по заданию руководства организации [7]. В настоящее время на рынке услуг по информационной безопасности особое место занимают специализированные организации, в перечень услуг которых входит подобное тестирование. Для проведения такого тестирования необходимо наличие квалифицированных специалистов, в том числе в области социальной инженерии.

Представим краткое описание тестирования на проникновение.

Руководство организации ставит перед исполнителем (специализированной организацией) конкретную цель. Например, скопировать на компьютер, не принадлежащий сети организации, защищаемую информацию определенного уровня конфиденциальности. При формировании цели руководитель определяет участок (подразделение, сеть), безопасность которого необходимо проверить. Особенностью задания является тот факт, что в нем не указываются конкретные способы и методы реализации и тем самым исполнителю предоставляется свобода действий. Единственным ограничением, накладываемым на методы тестирования, является их законность.

Получив подобное задание, исполнитель начинает сбор, обработку и анализ информации об организации (хозяйственная деятельность, документооборот, сотрудники и тому подобное), применяя при этом собственные технологии и методы, в том числе методы социальной инженерии, рассмотренные в настоящей статье.

Результат проведенного тестирования может быть успешным, то есть задание выполнено и информация скомпрометирована, или неуспешным - персонал обеспечил необходимый уровень защиты.

После окончания тестирования руководитель организации получает отчет, в котором отражается информация о методах проведенного тестирования, каналах, количестве и качестве полученной информации о деятельности организации, а также указываются сотрудники организации, чьи действия или бездействие привели к утечке защищаемой информации.

Сотрудники организации, предоставившие информацию в процессе тестирования, привлекаются к различным видам ответственности в зависимости от результатов проверки.

Как было отмечено выше, одним из методов противодействия социальной инженерии является проведение регулярных занятий с сотрудниками организации, включающих разбор имевших место инцидентов и итоги тестов на проникновение. При обучении безопасности следует акцентировать внимание слушателей на том, что звонящий или посетитель не является тем, за кого он себя выдает, только потому, что он знает имена некоторых людей в компании или знает корпоративную терминологию или процессы. Обучение безопасности должно подчеркивать: когда сомневаетесь, проверяйте и еще раз проверяйте. В настоящее время персонал всех уровней, даже те, кто не использует компьютер, могут быть объектом атаки социальных инженеров. Новые сотрудники организации часто являются в этом отношении слабым звеном. Обучение безопасности, постоянный контроль и корпоративная политика безопасности должны усилить это звено.