 |
 |
 |
 |
|
 |
 |
«Процедуры проверки и авторизации», гл. 16, для способов проверки личности).
Процедуры защиты важной информации, включая любые данные для о системе ее
хранения.
Положение политик и процедур безопасности компании и их важность в защите
информации и корпоративной информационной системы.
Аннотация ключевых политик безопасности и их назначение. Например, каждый
работник должен быть проинструктирован, как выбирать сложные для подбора взломщиком
пароли.
Обязанности каждого работника следовать политикам и важность «несговорчивости».
Социальная инженерия по определению включает в себя некоторые виды
человеческого взаимодействия. Атакующий будет очень часто использовать разные
коммуникационные методы и технологии, чтобы достичь цели. По этой причине
полноценная программа осведомленности должна включать в себя:
Политики безопасности для паролей компьютеров и голосовой почты.
Процедуры предоставления важной информации и материалов.
Политику использования электронной почты, включая защиту от удаленных атак с
помощью вирусов, червей и «троянов».
Ношение бейджей как метод физической защиты.
Специальные меры в отношении людей, не носящих визиток-бейджей.
Практику использования голосовой почты наиболее безопасным образом.
Классификацию информации и меры для защиты особенно важной.
Установление оптимального уровня защиты для важных документов и медиа-данных,
которые ее содержат, а также материалов, содержавших важную, но уже не актуальную,
информацию, т.е. архивы.
Также, если компания планирует использовать тестирование с инсценированным
проникновением, чтобы проверить свои сильные и слабые места во время атак с
использованием социнженерии, то об этом следует предупредить сотрудников заранее.
Дайте им знать, что в любое время может поступить телефонный звонок или запрос любым
иным способом, используемым атакующим, который является частью теста. Используйте
результаты этого теста не для паники, а для усиления слабых мест в защите.
Детали каждого из этих пунктов будут рассмотрены в главе 16.
Тестирование
Ваша компания может захотеть проверить уровень подготовки сотрудников,
приобретенный благодаря тренировочной программе по повышению осведомленности, до
того, как их допустят к работе с компьютерной системой. Если тест выстроен
последовательно, то множество программ, оценивающих действия сотрудников, помогут
выявить и усилить бреши в защите.
Также ваша компания может ввести сертификацию при прохождении данного теста,
что будет являться дополнительным и наглядным стимулом для рабочих.
На обязательном завершающем этапе программы следует получить подпись в
соглашении следовать установленным политикам и принципам поведения от каждого
служащего. Ответственность, которую каждый берет на себя, подписав соглашение,
помогает избегать в работе сомнений – поступить, как просят, или как установлено
политикой безопасности.
Поддержание бдительности
Большинство людей знает, что интерес к обучению даже важным навыкам потухает со
временем, разгораясь периодически. Поэтому жизненно важно поддерживать интерес
сотрудников к изучению предмета безопасности и защиты от атак постоянно.
