Материал Аудит. воссоздание официальных звонков от банковских и других ivr (англ. Interactive Voice Response) систем 40, с. 175
Скачать 3.81 Mb.
|
Когда члены руководящего комитета по обеспечению безопасности основательно разберутся в имеющихся уязвимостях, они могут составить таблицу уязвимостей корпоративной среды, допускающих проведение атак, основанных на методах социотехники (см. пример выше). В этой таблице следует описать рабочие процессы компании в потенциально уязвимых областях. Информация об уязвимостях позволяет членам руководящего комитета разработать предварительные варианты требований, которые могут быть включены в политику. Сначала руководящий комитет должен определить области, которые могут подвергнуть компанию риску. Выполняя эту задачу, нужно учесть все направления атак, описанные в данном документе, и специфические для компании элементы, такие как использование общедоступных терминалов или процедуры управления офисной средой. #### Оценка риска При разработке мер по обеспечению безопасности всегда нужно оценить уровень риска, которому подвергается компания при различных атаках. Для тщательной оценки риска не обязательно требуется очень много времени. Опираясь на информацию о главных элементах стратегии управления обеспечением безопасности, определенных руководящим комитетом по обеспечению безопасности, можно сгруппировать факторы риска в категории и назначить им приоритеты. Ниже перечислены категории риска. - Утечка конфиденциальной информации. - Урон репутации компании. - Снижение работоспособности компании. - Трата ресурсов. - Финансовые потери. При определении приоритета фактора риска следует учесть стоимость его устранения. Если она превышает возможный ущерб от соответствующей атаки, возможно, с риском лучше смириться. Оценка риска может предоставить очень полезную информацию на заключительных этапах разработки политики безопасности. Например, руководящий комитет по обеспечению безопасности может обнаружить недостатки принятого в компании пропускного режима. Если предполагается, что компанию будут посещать не более 20 человек в час, будет достаточно нанять одного контролера, завести книгу учета посетителей и пронумерованные идентификационные карточки. Если же компанию будут посещать 150 человек в час, возможно, придется расширить штат контролеров или установить терминалы для самостоятельной регистрации. В компаниях малого размера установка таких терминалов едва ли окупится, но для крупных компаний, которые в случае простоя из-за атак могут понести крупные убытки, этот вариант может оказаться наиболее эффективным. Рассмотрим другой пример. Для компании, не принимающей посетителей и не нанимающей подрядчиков, может не быть практически никакой опасности в выкладывании распечатанных документов в одном определенном месте, откуда их будут забирать сотрудники. Между тем, для компании, часто пользующейся услугами многих подрядчиков, этот вариант связан со слишком большим риском, и ее руководители могут решить, что для предотвращения краж конфиденциальных документов из принтеров необходимо установить принтер на каждом рабочем столе. Компания может устранить этот риск, поставив условие, чтобы каждого посетителя в течение всего визита сопровождал штатный сотрудник. Это решение окажется гораздо менее дорогим, если, конечно, не учитывать финансовые следствия неэффективного использования рабочего времени сотрудников. Используя таблицу уязвимостей корпоративной среды, допускающих проведение социотехнических атак, руководящий комитет по обеспечению безопасности может определить для компании требования политики безопасности, типы и уровни риска. При этом можно использовать формат таблицы 10. **Таблица 10. Форма для руководящего комитета, служащая для определения требований к обеспечению безопасности и оценки факторов риска**
Сотрудники каждого подразделения будут по-разному воспринимать риск, связанный с различными угрозами. Члены комитета по обеспечению безопасности должны учесть их мнения и прийти к согласию по поводу важности разных факторов риска. Для получения дополнительной информации о методологиях и инструментах оценки риска обратитесь к документу [*«Руководство по оценке риска, связанного с обеспечением безопасности»*](http://go.microsoft.com/fwlink/?linkid=30794), расположенному по адресу http://go.microsoft.com/fwlink/?linkid=30794 (данная ссылка может указывать на содержимое полностью или частично на английском языке). #### Социотехника и политики безопасности Руководящие органы компании и представители ее ИТ-подразделения должны разработать эффективную политику безопасности и помочь реализовать ее в корпоративной среде. Иногда в политике безопасности основное внимание уделяется техническим средствам защиты, помогающим бороться с техническими же угрозами, примерами которых могут служить вирусы и черви. Эти средства ориентированы на защиту технических элементов среды, таких как файлы данных, приложения и операционные системы. Средства защиты от социотехнических угроз должны помогать отражать социотехнические атаки на сотрудников компании. Для главных областей обеспечения безопасности и факторов риска руководящий комитет по обеспечению безопасности должен разработать документацию, регламентирующую соответствующие процедуры, процессы и бизнес-операции. В следующей таблице показано, как руководящий комитет по обеспечению безопасности с помощью заинтересованных сторон может определить документы, необходимые для поддержки политики безопасности. **Таблица 11. Требования к процедурам и документации, определяемые руководящим комитетом**
Как видите, такой список может оказаться в итоге довольно длинным. Чтобы ускорить его составление, можно воспользоваться помощью специалистов. Особое внимание руководящий комитет по обеспечению безопасности должен уделить приоритетным областям, определенным в ходе оценки риска. [](#mainsection)[К началу страницы](#mainsection) ### Реализация мер защиты от угроз, основанных на методах социотехники После того, как политика безопасности задокументирована и утверждена, нужно проинформировать о ней сотрудников и разъяснить им важность ее соблюдения. Технические средства защиты можно внедрить и без участия сотрудников, но при реализации мер защиты от социотехнических атак без поддержки сотрудников обойтись не удастся. Чтобы облегчить реализацию этих мер, нужно разработать для службы поддержки протоколы реагирования на инциденты. #### Информирование Ничто так не облегчает реализацию социотехнических элементов политики безопасности, как удачная кампания по информированию сотрудников. Конечно, такую кампанию тоже можно рассматривать как разновидность социотехники. В ходе ее реализации нужно позаботиться о том, чтобы сотрудники ознакомились с политикой безопасности, поняли, зачем она нужна, и запомнили, что нужно делать, заподозрив атаку. Ключевой элемент социотехнических атак — доверие. Чтобы злоумышленник добился своего, жертва должна ему доверять. Для защиты от таких атак нужно привить сотрудникам разумное скептическое отношение ко всему неожиданному и внушить им доверие к корпоративной службе технической поддержки. Элементы кампании по информированию сотрудников зависят от того, как в организации принято сообщать информацию. Для информирования о политиках безопасности можно выбрать структурированные обучающие курсы, неформальные встречи, плакаты и другие средства. Чем убедительнее будут представлены политики, тем эффективнее пройдет их реализация. Начать кампанию по информированию о проблемах безопасности можно с крупного мероприятия, но не менее важно регулярно напоминать о них руководителям и сотрудникам. Обеспечение безопасности — задача всей компании, и к ее решению следует привлечь по возможности всех сотрудников. Постарайтесь учесть мнения представителей всех подразделений и пользователей разных категорий, особенно тех, которые работают вне офисов. #### Управление инцидентами Получив информацию о социотехнической атаке, сотрудники службы поддержки должны знать, как действовать в сложившейся ситуации. В политике безопасности должны быть определены протоколы реагирования, но один из принципов управления инцидентами заключается в том, что в ответ на атаку проводится дополнительный аудит безопасности. Направления атак изменяются, поэтому обеспечение безопасности — это путь, не имеющий конца. Каждый инцидент предоставляет новую информацию для текущего аудита безопасности в соответствии с моделью реагирования на инциденты (см. рис. 6). ![](/security-updates/images/Cc875841.HPISET06(ru-ru,TechNet.10).gif) **Рис. 6. Модель реагирования на инциденты** При регистрации инцидента руководящий комитет по обеспечению безопасности должен выяснить, представляет ли он для компании новую или измененную угрозу, и, опираясь на сделанные выводы, создать или обновить политики и процедуры. Все поправки, вносимые в политики безопасности, должны соответствовать корпоративным стандартам управления изменениями. Для управления инцидентами служба поддержки должна использовать утвержденный протокол, регистрируя в нем следующую информацию: - Жертва атаки - Подразделение жертвы - Дата - Направление атаки - Описание атаки - Результат атаки - Последствия атаки - Рекомендации Регистрация инцидентов позволяет определить шаблоны атак и улучшить защиту от будущих атак. Образец бланка отчета об инциденте можно найти в приложении 1. #### Рекомендации по работе При выполнении аудита безопасности не следует чересчур увлекаться защитой компании от всевозможных потенциальных угроз. Политика безопасности должна отражать главную цель любой коммерческой компании — получение прибыли. Если предполагаемые меры защиты компании отрицательно скажутся на ее прибыльности или конкурентоспособности, возможно, риск следует оценить заново. Необходимо найти баланс между обеспечением безопасности и удобством и эффективностью работы. С другой стороны, важно понимать, что репутация компании, уделяющей большое внимание безопасности, также обеспечивает коммерческие преимущества. Это не только отпугивает злоумышленников, но и вызывает доверие к компании у ее клиентов и партнеров. #### Социотехника и комплексная многоуровневая модель обеспечения безопасности В комплексной многоуровневой модели обеспечения безопасности решения для защиты компьютерных систем классифицируются в соответствии с направлениями атак — слабостями, которые злоумышленники могут использовать для реализации угроз. Ниже перечислены некоторые направления атак. - **Политики, процедуры и информированность сотрудников**. Выраженные в письменной форме правила, регламентирующие управление всеми аспектами обеспечения безопасности, и образовательные программы, помогающие сотрудникам понять эти правила и соблюдать их. - **Физическая безопасность**. Барьеры, ограничивающие доступ в здания компании и к корпоративным ресурсам. Не забывайте про ресурсы компании; например, мусорные контейнеры, расположенные вне территории компании, физически не защищены. - **Данные**. Деловая информация: учетные записи, почтовая корреспонденция и т. д. При анализе угроз, связанных с использованием социотехники, и планировании мер по защите данных нужно определить принципы обращения с бумажными и электронными носителями данных. - **Приложения**. Программы, запускаемые пользователями. Для защиты среды необходимо учесть, как злоумышленники, применяющие методы социотехники, могут использовать в своих целях почтовые программы, службы мгновенной передачи сообщений и другие приложения. - **Компьютеры**. Серверы и клиентские системы, используемые в организации. Защитите пользователей от прямых атак на их компьютеры, определив строгие принципы, указывающие, какие программы можно использовать на корпоративных компьютерах и как следует управлять такими средствами обеспечения безопасности, как идентификаторы пользователей и пароли. - **Внутренняя сеть**. Сеть, посредством которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы границы внутренних сетей стали во многом условными. Сотрудникам компании нужно разъяснить, что они должны делать для организации безопасной работы в любой сетевой среде. - **Периметр сети**. Граница между внутренними сетями компании и внешними, такими как Интернет или сети партнерских организаций, возможно, входящие в экстрасеть. Используя методы социотехники, злоумышленники часто пытаются проникнуть через периметр сети, чтобы получить возможность проведения атак на данные, приложения и компьютеры во внутренней сети. ![](/security-updates/images/Cc875841.HPISET07(ru-ru,TechNet.10).gif) **Рис. 7. Комплексная модель обеспечения безопасности** При разработке средств защиты комплексная модель обеспечения безопасности поможет лучше представить области бизнеса, которые подвергаются угрозам. Она охватывает не только социотехнические угрозы, но средства защиты от угроз этого рода должны быть реализованы на каждом уровне модели. Самыми общими средствами защиты в этой модели являются политики безопасности, процедуры и информирование персонала. Они ориентированы на сотрудников организации и определяют, кто, что, когда и почему должен делать. Остальные уровни позволяют настроить средства обеспечения безопасности в соответствии со специфическими требованиями, но главным фактором защиты ИТ-среды все равно является структурированный набор правил, известных всем сотрудникам организации. Для получения дополнительной информации о комплексной модели обеспечения безопасности обратитесь к статье [«Техническое руководство по организации системы безопасности»](http://go.microsoft.com/fwlink/?linkid=37696) в журнале Microsoft TechNet по адресу http://go.microsoft.com/fwlink/?linkid=37696. [](#mainsection)[К началу страницы](#mainsection) ### Приложение 1. Политика защиты от угроз, связанных с использованием социотехники: контрольные списки В данном документе было представлены несколько таблиц, служащих для учета уязвимостей для атак, основанных на социотехнике, и определения требований политики обеспечения безопасности. В этом приложении приводятся их шаблоны, которые можно копировать и использовать в реальных условиях. #### Уязвимости корпоративной среды, допускающие проведение атак, основанных на методах социотехники
#### Форма для руководящего комитета, служащая для определения требований к обеспечению безопасности и оценки факторов риска
#### Требования к процедурам и документации, определяемые руководящим комитетом
#### Реализация политики безопасности: контрольный список
#### Отчет об инциденте
[](#mainsection)[К началу страницы](#mainsection) ### Приложение 2. Глоссарий
**Загрузить** [Загрузить статью «Как защитить внутреннюю сеть и сотрудников компании от атак, основанных на использовании социотехники»](http://go.microsoft.com/fwlink/?linkid=71053) [](#mainsection)[К началу страницы](#mainsection) Русский Тема Документация по предыдущей верс |