10) Сканирование портов или сканирование безопасности категорически запрещается без предварительного уведомления InfoSec;

11) Выполнение любых форм сетевого мониторинга, который будет перехватывать данные, не предназначенные для хоста служащего, если эта деятельность не является частью обычной работы сотрудника/его долгом;

12) Обход аутентификации пользователей или защиты любого хоста, сети или учетной записи;

13) Вмешательство в или отказ в услуге любому пользователю, за исключением вмешательства в работу хоста служащего (например, атака "отказ в обслуживании");

14) Использование любой программы/скрипта/команды или отправка сообщения любого рода, с намерением помешать или отключить терминальный сеанс пользователя, с помощью любых средств, локально или через Интернет/Интранет/Экстранет;

15) Предоставление информации о сотрудниках или списков сотрудников организации сторонам за пределами организации.

Деятельность, связанная с коммуникацией и электронной почтой

1) Отправка незатребованных сообщений электронной почты, включая отправку "ненужных сообщений" или других материалов рекламного характера лицам, которые специально не запрашивают такие материалы (спам электронной почты).

2) Любая форма преследования по электронной почте, телефону или пейджинговой связи, будь то язык, частота или размер сообщений.

3) Несанкционированное использование или фальсификация данных, содержащихся в заголовке сообщений электронной почты.

4) Навязывание услуг по электронной почте для любых адресов электронной почты, отличающихся от тех, что зарегистрированы в учетной записи отправителя, с намерением надоедать или для сбора ответных сообщений.

5) Создание или пересылка "писем счастья", "схем Понци" или иных схем "пирамид" любого типа.

6) Использование навязываемых почтой, исходящей из сетей компании от других поставщиков услуг Интернет/Интранет/Экстранет от ее имени или в рекламных целях, любых услуг, выполняемых хостом организации или подключенным через сеть организации.

7) Рассылка по почте одинаковых или аналогичных сообщений, не связанных с организацией, многочисленным тематическим телеконференциям, проводимым в пользовательских сетях (спам телеконференций).

3.2 ГОСТ Р ИСО/МЭК 27004-2011

Информационная технология. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Менеджмент информационной безопасности. Измерения.

Настоящий стандарт содержит рекомендации по разработке и использованию измерений и мер измерения для проведения оценки эффективности реализованной системы менеджмента информационной безопасности (СМИБ), а также мер и средств контроля и управления или их групп по ИСО/МЭК 27001.

Таблица 6. Персонал, получивший обучение, связанное со СМИБ.

Объект измерения и атрибуты
Объект измерения	База данных сотрудников
Атрибут	Записи, касающиеся обучения
Спецификация основной меры измерения
Основная мера измерения	Число сотрудников, получивших обучение, связанное со СМИБ, в соответствии с ежегодным планом обучения, связанного со СМИБ. Число сотрудников, которые должны получить обучение, связанное со СМИБ
Метод измерения	Подсчет в журналах регистрации/реестрах сведений о сфере обучения/последовательности обучения, связанной со СМИБ, с пометкой "Получено"



Таблица 7. Обучение обеспечению информационной безопасности.

Объект измерения и атрибуты
Объект измерения	База данных сотрудников
Атрибуты	Записи, касающиеся обучения
Спецификация основной меры измерения (1)
Основная мера измерения	Число сотрудников, получивших ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности. Число сотрудников, которые должны получить ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности
Метод измерения	Подсчет в журналах регистрации/реестрах сведений, относящихся к ежегодному обучению сотрудников, направленному на повышение осведомленности в отношении информационной безопасности, с пометкой "получено"

Таблица 8.Соответствие политике осведомленности в отношении информационной безопасности.

Объект измерения и атрибуты
Объект измерения	1.1 План/график обучения, способствующий осведомленности в сфере информационной безопасности. 1.2 Персонал, завершивший обучение или находящийся в процессе обучения. 2.1 План/график подписания пользовательских обязательств. 2.2 Персонал, подписавший пользовательские обязательства
Атрибуты	1.1 Персонал, включенный в план обучения. 1.2 Состояние персонала в отношении обучения. 2.1 Персонал, включенный в план/график подписания. 2.2 Состояние персонала в отношении подписания пользовательских обязательств
Спецификация основной меры измерения
Основная мера измерения	1.1 Численность персонала, который должен пройти обучение и подписать пользовательские обязательства к установленному сроку. 1.2 Численность персонала, подписавшего пользовательские обязательства. 2.1 Численность персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку. 2.2 Численность персонала, подписавшего пользовательские обязательства к установленному сроку
Метод измерения	1.1 Подсчет численности персонала, включенного в план/график подписания пользовательских обязательств и завершившего обучение к установленному сроку. 1.2 Опрос ответственного лица о процентном показателе завершивших обучение из числа персонала, подписавшего пользовательские обязательства. 2.1 Подсчет численности персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку. 2.2 Подсчет численности персонала, подписавшего пользовательские обязательства

Таблица 9. Качество паролей, генерируемых вручную.

Определение конструктивных элементов измерения
Название конструктивного элемента измерения	Качество паролей
Числовой идентификатор	Характерный для организации
Назначение конструктивного элемента измерения	Для оценки качества паролей, применяемых пользователями для доступа к системам ИТ организации
Цель применения меры и средства контроля и управления/процесса	Предотвратить выбор пользователями небезопасных паролей
Мера и средство контроля и управления (1)/процесс (1)	Пользователи должны соблюдать правила безопасности при выборе и использовании паролей. Реализация: все пользователи должны выбирать надежные пароли для каждой системы: 1) длиной более восьми знаков; 2) не основанные на том, что можно легко отгадать или получить при использовании информации, связанной с личностью, например, на именах, телефонных номерах, датах рождения и т.п.; 3) не состоящие из слов, включенных в словари; 4) не содержащих следующих один за другим идентичных, полностью цифровых или полностью буквенных знаков. Все имена учетных записей и пароли пользователей для систем ИТ организации должны контролироваться системой обеспечения/контроля деятельности сотрудников
Объект измерения и атрибуты
Объект измерения	База данных паролей пользователей
Атрибуты	Личные пароли
Спецификация основной меры измерения
Основная мера измерения	1 Число зарегистрированных паролей. 2 Число паролей, которые соответствуют политике качества паролей организации для каждого пользователя
Метод измерения	1 Подсчет числа паролей в базе данных паролей пользователей. 2 Опрос каждого пользователя о том, какое число паролей соответствует политике паролей организации

Таблица 10. Качество паролей, генерируемых автоматизированным способом.

Определение конструктивных элементов измерения
Название конструктивного элемента измерения	Качество паролей
Числовой идентификатор	Характерный для организации
Назначение конструктивного элемента измерения	Для оценки качества паролей, применяемых пользователями для доступа к системам ИТ организации
Цель применения меры и средства контроля и управления/процесса	Предотвратить выбор пользователями небезопасных паролей
Мера и средство контроля и управления (1)/процесс (1)	Пользователи должны соблюдать правила безопасности при выборе и использовании паролей. Реализация: все пользователи должны выбирать надежные пароли для каждой системы: 1) длина которых более восьми знаков; 2) не основанные на том, что можно легко отгадать или получить при использовании информации, связанной с личностью, например, на именах, телефонных номерах, датах рождения и т.п.; 3) не состоящие из слов, включенных в словари; 4) не содержащих следующих один за другим идентичных, полностью цифровых или полностью буквенных знаков. Все имена учетных записей и пароли пользователей для систем ИТ организации должны контролироваться системой обеспечения/контроля деятельности сотрудников. Надежность паролей должна проверяться с использованием программного обеспечения по тестированию качества паролей
Объект измерения и атрибуты
Объект измерения	База данных, содержащая имена учетных записей сотрудников
Атрибуты	Личные пароли, хранящиеся в системных учетных записях сотрудников
Спецификация основной меры измерения
Основная мера измерения	1 Общее число паролей. 2 Общее число качественных паролей
Метод измерения	1 Запуск запроса об учетных записях сотрудников. 2 Запуск инструмента тестирования качества паролей к системным учетным записям сотрудников, использующего гибридную атаку

3.3 ГОСТ Р ИСО/МЭК 27005-2010

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Менеджмент риска информационной безопасности.

Настоящий стандарт представляет руководство по менеджменту риска информационной безопасности (ИБ) в организации, поддерживая, в частности, требования к системе менеджмента информационной безопасности (СМИБ) в соответствии с ИСО/МЭК 27001. Однако настоящий стандарт не предоставляет какой-либо конкретной методологии по менеджменту риска информационной безопасности. Выбор подхода к менеджменту риска осуществляется организацией и зависит, например, от области применения СМИБ, контекста менеджмента риска или сферы деятельности. Ряд существующих методологий может использоваться в рамках структуры, описанной в настоящем стандарте для реализации требований СМИБ.

Настоящий стандарт предназначен для руководителей и персонала, занимающегося в организации вопросами менеджмента риска информационной безопасности, а также, при необходимости, для внешних сторон, имеющих отношение к этому виду деятельности.

Особое внимание следует уделять источникам угроз, происходящих от деятельности человека.

Таблица 11. Источники угрозы

Источник угрозы	Мотивация	Действие угрозы
Хакер, взломщик	Вызов Самомнение Бунтарство Статус Деньги	Хакерство Социальная инженерия Проникновение в систему, взлом Несанкционированный доступ к системе
Лицо, совершающее компьютерное преступление	Разрушение информации Незаконное раскрытие информации Денежная выгода Несанкционированное изменение данных	Компьютерное преступление (например, компьютерное преследование) Мошенническая деятельность (например, воспроизведение, выдача себя за другого, перехват) Информационный подкуп Получение доступа обманным путем Проникновение в систему
Террорист	Шантаж Разрушение Использование в личных интересах Месть Политическая выгода Охват среды (передачи данных)	Взрыв/Терроризм Информационная война Системная атака (например, распределенный отказ в обслуживании) Проникновение в систему Порча системы
Промышленный шпионаж (сведения секретного характера компании, иностранные правительства, другие правительственные объединения)	Конкурентное преимущество Экономический шпионаж	Получение оборонного преимущества Получение информационного преимущества Экономическая эксплуатация Хищение информации Покушение на неприкосновенность личной жизни Социальная инженерия Проникновение в систему Несанкционированный доступ к системе (доступ к секретной информации, являющейся собственностью фирмы и/или связанной с технологией)
Инсайдеры (плохо обученные, недовольные, злонамеренные, беспечные, нечестные или уволенные служащие)	Любопытство Самомнение Разведка Денежная выгода Месть Ненамеренные ошибки и упущения (например, ошибка ввода данных, ошибка в составлении программы)	Нападение на служащего Шантаж Просмотр информации, являющейся собственностью фирмы Неправильное использование компьютера Мошенничество и хищение Информационный подкуп Вредоносное программное обеспечение (например вирус, логическая бомба, Троянский конь) Продажа информации личного характера "Жучки" в системе Проникновение в систему Вредительство в системе Несанкционированный доступ к системе



4. РАЗРАБОТКА МЕТОДИКИ ПРОТИВОДЕЙСТВИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

Никакие технические меры защиты информации практически не помогут защититься от социальной инженерии. Связано это с тем, что социальные инженеры используют слабости не только технических средств, но и человеческий фактор. В связи с этим, единственный способ противодействовать социальным инженерам - это регулярная работа с персоналом.

Для повышения безопасности в организации, все время должны проводиться специальные обучения, постоянно контролироваться уровень знаний у сотрудников, должно проводиться тестирование, а также совершаться внутренние диверсии, которые позволят выявить уровень подготовленности сотрудников в реальных условиях.

Самый важный момент в подготовке пользователей, на которые следует обратить внимание - это то, что обучение - это циклический процесс, который должен повторяться с периодичностью во времени. Форма обучения может состоять из теоретических занятий, практикумов, онлайн - семинаров и ролевых игр (т.е. создания модели атак).

4.1 Теоретические аспекты создания методики противодействия

Создание тренировочных и образовательных программ

Для того, чтобы создать действенную методику обучения персонала, необходимо понять, почему люди уязвимы к атакам такого рода. Для выявления этих тенденций, необходимо обратить на них внимание, благодаря дискуссии - этим можно помочь сотрудникам понять, каким образом социальный инженер манипулирует людьми. Манипуляция, как метод воздействия, начала изучаться социальными исследователями в последние 50 лет. Роберт Чалдини Роберт Чалдини (род. 24 апреля 1945 года) -- американский психолог, который получил известность благодаря своей книге «Психология влияния». написал статью в «Американской науке» (февраль 2001 года), объединив там результаты, и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа.

Это 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулирования.

1. Авторитетность. Людям свойственно желание услужить человеку с авторитетом. Пример такой атаки. Социальный инженер пытается выдать себя за авторитетное лицо из Головного офиса или должностное лицо, выполняющее задание организации.

2. Умение расположить к себе. Люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами. Пример атаки. В разговоре атакующий пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что все это ему близко. Также он может сообщить, что он из той же школы, места, или что-то похожее. Социальный инженер может даже подражать цели, чтобы создать сходство, видимую общность.

3. Взаимность. Человек способен машинально ответить на вопрос, когда получает что-то взамен. Это один из самых эффективных путей повлиять на человека, чтобы получить благосклонность. Пример атаки. Сотрудник получает звонок от человека, который называет себя сотрудником Головного Офиса. Звонящий рассказывает, что некоторые компьютеры компании заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере. Звонящий предлагает поделиться информацией, как решить проблему. Затем он просит сотрудника протестировать недавно обновленную утилиту, позволяющую пользователю сменить пароли. Служащему неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса.

4. Ответственность. Люди имеют привычку исполнять обещанное. Пример атаки. Атакующий связывается с подходящим новым сотрудником и советует ознакомиться с соглашением о политиках безопасности и процедурах, потому что это - основной закон, благодаря которому можно пользоваться информационными системами компании. После обсуждения нескольких положений о безопасности атакующий просит пароль сотрудника "для подтверждения согласия" с соглашением. Он должен быть сложным для угадывания. Когда пользователь выдает свой пароль, звонящий дает рекомендации, как выбирать пароли в следующий раз, чтоб взломщикам было сложно подобрать их. Жертва соглашается следовать советам, потому что это соответствует политике компании. К тому же рабочий предполагает, что звонивший только что подтвердил его согласие следовать соглашению.

5. Социальная принадлежность к авторизованным пользователям. Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения. Пример атаки. Звонящий говорит, что он проверяющий и называет имена других людей из Головного Офиса или Управленческого отдела, которые занимаются проверкой вместе с ним. Жертва верит, потому что остальные названные имена принадлежат работникам. Затем атакующий может задавать любые вопросы, вплоть до того, какие логин и пароль использует жертва.

6. Погоня за «бесплатным сыром». Еще одна из потенциально опасных для безопасностии информации человеческих черт - вера в то, что объект делится частью информации, на которую претендуют другие, или что эта информация доступна только в этот момент. Пример атаки. Атакующий рассылает электронные письма, сообщающие, что первые 500 зарегистрировавшихся на новом сайте компании выиграют 3 билета на премьеру отличного фильма. Когда ничего не подозревающий сотрудник регистрируется на сайте, его просят ввести свой адрес электронного почтового ящика на рабочем месте и выбрать пароль. Многие люди, чтоб не забыть множество паролей, часто используют один и тот же во всех системах. Воспользовавшись этим, атакующий может попытаться получить доступ к целевому рабочему или домашнему компьютеру зарегистрировавшегося.

В связи с этим, разработку противодействия социальной инженерии необходимо начать с создания группы людей, которые будут отвечать за безопасность. Они должны отвечать за разработку политик и процедур безопасности, которые должны быть направлены на защиту отдельных сотрудников и сети организации в целом.

В задачи этой группы должны входить:

1. Обеспечение поддержки политик и процедур безопасности.

2. Помощь в разработке учебно - методических материалов для сотрудников.

Сотрудник, ответственный за разработку программы информационной безопасности должен выработать специфические требования для отдельных сотрудников, участвующих в работе с информацией, обрабатываемой организацией. Тренинги должны проводиться для всех существующих групп персонала: менеджеров, IT-сотрудников, пользователей ПК, обслуживающего персонала, администраторов и их ассистентов, техников связи, охранников.

Технические методы обучения должны включать:

1. Демонстрацию социальной инженерии при помощи игры по ролям.

2. Обзорные медиаотчеты о последних атаках на другие организации.

3. Обсуждения путей предотвращения потери информации.

4. Просмотр специальных видеоматериалов по безопасности.

Организация обязана не только иметь прописанные правила политик безопасности, но и побуждать сотрудников, работающих с корпоративной информацией или компьютерной системой, старательно изучать и следовать этим правилам. Более того, необходимо убедиться, что все сотрудники организации понимают причину принятия тех или иных положений в правилах, тогда они не будут пытаться обходить эти правила ради извлечения собственной выгоды.

Правила безопасности должны быть реалистичными, они не должны призывать сотрудников выполнять слишком обременительные вещи, которые, скорее всего, будут ими проигнорированы. Также, программа обучения по безопасности должна убедить сотрудников, что необходимо выполнять поручения по работе быстро, но кратчайший путь, который пренебрегает системой безопасности, оказывается вредным для организации самой и сотрудников.

Но, даже ознакомившись со всеми документами и обучением, многие сотрудники вряд ли изменят свое ежедневное поведение. Для этого необходимо позаботиться о соответствующем подкреплении. Оно может быть двух типов:

1. Негативное;

2. Позитивное.

Негативное означает наказание за какой-либо проступок в отношении соблюдения мер безопасности (пример: если во время проверки оказалось, что сотрудник прилепил лист с паролем на монитор, то ему должен быть сделан выговор).

Другой метод - «привязать» заботу о безопасности к годовому отчету о деятельности сотрудника, что, в свою очередь, заставляет понять ее важность и, в конце концов, ответственность за безопасность ложится на каждого.

Негативное подкрепление может служить для предотвращения серьезных нарушений (например, установка неавторизованной точки доступа или модема).

Позитивное подкрепление обеспечивает воодушевлением сотрудников по заботе о безопасности (пример: вместо поиска нарушителей политики - установление, кого из пользователей следует поощрить за точное следование инструкциям).



4.2 Анализ технических средств защиты от социальной инженерии

К технической защите можно отнести средства, мешающие заполучить информацию и средства, мешающие воспользоваться полученной информацией.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую -- упоминавшиеся выше генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны -- недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств -- универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки -- ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки -- высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

Примеры технических средств защиты: межсетевые экраны, шифрование, proxy-servers, СКУД, системы охраны и сигнализации.

Ниже приведены некоторые анализируемые программные средства защиты:

1. Kaspersky Anti-Spam - это решение для защиты пользователей корпоративных почтовых систем и публичных почтовых сервисов от массовой незапрошенной корреспонденции - спама.

Функции:

Защита от спама.

а) Проверка сообщения по спискам. Приложение проверяет IP-адрес отправителя по чёрным спискам провайдеров и общественных организаций (DNSBL -- DNS-based Blackhole List). В случае если адрес занесён администратором в белый список, то сообщение принимается, минуя все этапы анализа.

б) Фильтрация по SPF и SURBL. В процессе фильтрации может учитываться авторизация отправителя по технологии SPF (Sender Policy Framework). В дополнение к спискам DNSBL, выявляющим спамерские IP-адреса, используется также технология SURBL (Spam URI Realtime Block List), распознающая спамерские URL в теле сообщения.

в) Анализ формальных признаков письма. Программа отсеивает спам по таким типичным для него признакам, как модификация адреса отправителя или отсутствие его IP-адреса в системе доменных имён (DNS), неоправданно большое количество получателей или сокрытие их адресов. Кроме того, оцениваются размер и формат сообщения.

г) Сигнатурный анализ. Использование круглосуточно обновляемой базы лексических сигнатур позволяет распознавать модифицированные варианты исходного спамерского письма, создаваемые для обхода спам-фильтров.

д) Лингвистические эвристики. Программа проверяет наличие и расположение в тексте письма слов и фраз, типичных для спама. Анализу подвергается как текст самого письма, так и содержание вложенных файлов.

е) Графические сигнатуры. Используя базу графических сигнатур, приложение блокирует также распространённые в последнее время спамерские письма, которые содержат информацию в виде изображений, а не в виде текста.

ж) UDS-запросы в режиме реального времени. Технология UDS (Urgent Detection System) позволяет получать данные о последних спамерских рассылках уже через секунду после их обнаружения. Эта информация используется для дополнительной проверки тех сообщений, которые не получили однозначной оценки (спам/не-спам).

Администрирование.

а) Гибкое управление. Веб-интерфейс позволяет управлять приложением как локально, так и удаленно. Администратор может настраивать строгость фильтрации, белые и черные списки отправителей, подключать/отключать действие правил фильтрации, включать блокирование почты с кодировками восточных языков.

б) Управление группами пользователей. Администратор продукта может создавать группы пользователей -- списком адресов или с помощью масок доменов (например, *@???.domain.net) -- и применять к ним различные настройки и правила фильтрации.

в) Варианты обработки спама. В зависимости от настроек спам может быть автоматически удалён, переадресован в карантинную папку с уведомлением пользователю или помечен для дальнейшей фильтрации на уровне почтового клиента.

г) Подробные отчёты. Администратор может контролировать работу приложения, состояние защиты от спама и статус лицензий, используя наглядные HTML-отчёты или просматривая лог-файлы. Возможен экспорт информации в формат CSV или Excel.

д) Обновление баз. Обновление основных баз производится по расписанию, заданному администратором (по умолчанию каждые 20 минут). При работе с подозрительными сообщениями приложение обращается за актуальной информацией к серверу UDS-обновлений.

Аппаратные требования.

1. Процессор Intel Pentium III 500 МГц или выше (рекомендуется Intel Pentium IV 2,4 ГГц);

2. Не менее 512 МБ свободной оперативной памяти (рекомендуется 1 ГБ).

2. Panda Internet Security 2016 - комплексный антивирус с фаерволом, облачными технологиями и проактивной защитой. Включает инструменты для защиты от вредоносных и фишинговых веб-сайтов, защиты персональных данных, онлайн резервного копирования.

Содержит:

а) Антивирус. Защита от всех типов вирусов, червей и троянов.

б) Технология TruPrevent. Блокировка неизвестных вирусов даже при необновленном антивирусе. Анализ неизвестных вирусов на предмет их поведения.

в) Антишпион/Анти-adware. Защита Вашего ПК от шпионов и рекламного ПО

г) Защита от онлайн-мошенничества (антифишинг). Защита от мошенников при работе с онлайн-банками и магазинами.

д) Автоматические обновления. Ежедневные обновления для защиты от последних угроз

е) Файервол. Защита от проникновения хакеров на Ваш ПК

ж) Блокировка подозрительных веб-страниц. Предотвращает доступ к веб-страницам с опасными скриптами

з) Обнаружение угроз в Wi-Fi сетях. Безопасность беспроводных соединений

и) Защита личных данных и контроль приватности. Безопасность Ваших персональных данных и защита от попыток онлайн-кражи

к) Антиспам. Блокировка нежелательной почты

л) Родительский контроль. Ограничение доступа Ваших детей к нежелательным веб-страницам

м) Виртуальная клавиатура. Пишите свои пароли в безопасном режиме благодаря виртуальной клавиатуре.

н) Режим Игры/Мультимедиа. Наслаждайтесь миром мультимедиа и играйте без каких-либо неудобств! Ваш антивирус не будет беспокоить Вас.

о) Менеджер домашней сети. Проверяет статус безопасности Ваших домашних компьютеров с помощью нового менеджера домашней сети.

п) Онлайн-резервирование. Получите доступ к Вашим данным из любого места благодаря функции онлайн-резервирования с выделенным пространством объемом 2 ГБ.

р) Удаленный доступ к ПК. Где бы Вы ни находились, получите доступ к Вашему домашнему или офисному компьютеру благодаря функции Удаленного доступа к ПК.

с) Шифрование файлов. Защитите Ваши файлы от любопытных глаз с помощью функции Шифрования файлов.

т) Уничтожение файлов. Удалите требуемые файлы навсегда, чтобы никто никогда не смог больше получить доступ к Вашим данным.

Рисунок. 3. Работа Panda Internet Security.

3. Kaspersky Security для почтовых серверов - это решение для защиты почтовых серверов и серверов совместной работы от вредоносных программ и нежелательной корреспонденции (спама).

Решение включает приложения, которые обеспечивают безопасность всех популярных почтовых серверов, включая Microsoft Exchange, Lotus Domino, Sendmail, Qmail, Postfix и Exim. Kaspersky Security для почтовых серверов также можно использовать в качестве выделенного почтового шлюза.

а) Kaspersky Security для Microsoft Exchange Servers - обеспечивает защиту от вредоносного ПО и спама почтовые серверы Microsoft Exchange Багодаря новому мощному анитивурсному ядру, тщательному сканированию сообщений и интеллектуальному распознаванию спама;

б) Kaspersky Security для Microsoft Exchange Server 2003 - обеспечивает всестороннюю антивирусную проверку входящих, исходящих и хранящихся на сервере почтовых сообщений наряду с сообщениями в общих папках, а также помогает пользователям почтовой системы избавиться от нежелательной корреспонденции, используя интеллектуальные технологии распознавания спама в дополнение к технологиям Microsoft;

в) Антивирус Касперского для Lotus Domino - экономически эффективное решение мирового уровня для защиты пользователей сервера IBM Lotus Domino в крупных корпоративных сетях со сложной топологией и высокой нагрузкой. Сервер Lotus Domino предназначен для решения разнообразных задач -- от обмена сообщениями по электронной почте до обеспечения полноценной защиты документооборота организации от современных информационных угроз;

г) Kaspersky Security для Linux Mail Server - предоставляет самые необходимые функции защиты электронной почты в едином удобном решении: защиту от вредоносного ПО и спама, а также фильтрацию контента. Объединяя в себе собственные антивирусное и анти-спам решения, а также мощные облачные возможности, обеспечивает усиленную защиту от этих угроз, гарантируя при этом минимальный уровень ложных срабатываний;

д) Kaspersky Mail Gateway (только антивирус) - это решение для комплексной защиты пользователей почтовой системы от всех типов вредоносных программ. Установленное между корпоративной сетью и сетью Интернет, приложение осуществляет антивирусную проверку электронных писем и защищает почтовый сервер компании от несанкционированного использования;

е) Kaspersky Administration Kit - инструмент централизованного администрирования для защиты смартфонов, ноутбуков, рабочих станций, файловых серверов и систем хранения данных.

4. Kaspersky Work Space Security - это решение для централизованной защиты рабочих станций и смартфонов в корпоративной сети и за ее пределами от всех видов современных компьютерных угроз. Контролируя все входящие и исходящие потоки данных на компьютере (электронную почту, интернет-трафик и сетевые взаимодействия), Kaspersky Work Space Security гарантирует безопасность пользователя, где бы тот ни находился: в офисе, у клиента или в командировке.

Характеристики:

а) Антивирусная защита основных узлов сети: рабочих станций, ноутбуков и смартфонов

б) Оптимальное использование ресурсов компьютера благодаря новому антивирусному ядру

в) Расширенная проактивная защита рабочих станций от новых вредоносных программ

г) Проверка электронной почты и интернет-трафика «на лету»

д) Персональный сетевой экран: защита при работе в сетях любого типа, включая Wi-Fi.

е) Локальная защита от нежелательных писем и фишинга

ж) Предотвращение кражи данных при потере смартфона

з) Полноценная поддержка 64-битных платформ

5. Kaspersky Enterprise Space Security

Основные возможности:

· Проверка почтовых сообщений в режиме реального времени.

Приложение для защиты почты, входящее в состав Kaspersky Enterprise Space Security, проверяет в режиме реального времени все входящие и исходящие сообщения, включая вложения. Все зараженные объекты подвергаются лечению или удаляются.

· Защита от массовых спам - рассылок.

В состав Kaspersky Enterprise Space Security входит приложение, защищающее корпоративную сеть от массовых спам-рассылок. Новейшие технологии позволяют отфильтровать более 99% нежелательных электронных сообщений.

· Безопасная работа с электронной почтой.

Сегодня электронная переписка является неотъемлемой частью работы любой компании, однако общение по электронной почте может поставить безопасность корпоративной сети под угрозу. Kaspersky Enterprise Space Security проверяет все входящие и исходящие почтовые сообщения, а также ссылки и файлы, пересылаемые через системы мгновенного обмена сообщениями (ICQ, MSN и др.).

· Сетевой экран и Система обнаружения вторжений.

Сетевой экран, усиленный системой обнаружения вторжений, обеспечивает надежную защиту рабочих станций в сетях любого типа. Предустановленные правила для обширной библиотеки приложений, наиболее часто используемых в корпоративной среде, позволяют сократить время, необходимое для настройки сетевого экрана.

· Эффективная защита от фишинга.

Работа в интернете может поставить безопасность корпоративной сети под угрозу. Продукт Kaspersky Enterprise Space Security использует специальную базу данных, с помощью которой распознает и блокирует подозрительные ссылки, а также фильтрует фишинговые электронные сообщения, повышая уровень защиты сети.

· Защита от хакерских атак.

Современные хакеры используют для атак кейлоггеры (клавиатурные шпионы) и руткиты -- программы, которые позволяют получить несанкционированный доступ к данным и при этом избежать обнаружения. Kaspersky Enterprise Space Security эффективно нейтрализует эти угрозы, предотвращая несанкционированный доступ к компьютерам корпоративной сети.

· Максимальная защита от вредоносных программ.

Сочетание инновационных «облачных» и классических антивирусных технологий позволило создать надежный механизм гибридной защиты, предназначенный для отражения как существующих, так и новых угроз. Унифицированный код всех модулей антивирусного ядра также способствует оптимизации использования ресурсов рабочих станций и серверов, при этом минимизирую влияние на работу других приложений.

Экономическое обоснование выбора технических средств

Таблица 12. Сравнение технических средств защиты.

Программно-аппаратное средство защиты	Стоимость в рублях	Составляющие
Kaspersky Anti-Spam	3780	10 почтовых ящиков
Panda Internet Security 2016	1872	1 рабочее место
Kaspersky Security для почтовых серверов	10650	10 почтовых ящиков
Kaspersky Work Space Security	8855	7 рабочих станций
Kaspersky Enterprise Space Security	24150	10 рабочих станций, файловый сервер, 15 почтовых ящиков

Таким образом, изучив несколько продуктов, относящихся к технической защите от социальной инженерии, наиболее подходящим из них для рассматриваемой организации является Kaspersky Enterprise Space Security, поскольку данный продукт максимально защищает рабочие станции практически от всех сетевых атак (фишинг, спам, реклама, баннеры). С точки зрения цены и функциональности это самый оптимальный вариант. Установив данный продукт на каждом рабочем месте, можно значительно сократить количество атак, поступающих через Интернет.

4.3 Цели, структура и содержание методики противодействия

Главной целью любой обучающей программы является необходимость переосмысления сотрудниками своего поведения и отношения, мотивирования их желания защитить и сохранить информацию организации. Хорошей мотивацией является демонстрация вознаграждения за участие не самой организации, а конкретных сотрудников.

Основными целями при разработке методики обучения персонала и защите информации, является фокусировка внимания на том, что:

Сотрудники организации могут быть подвержены нападению в любое время;

Сотрудники должны выучить и понять свою роль в защите информации организации;

Тренинг по обучению безопасности должен быть более важным, чем просто правила, которые предоставляются для ознакомления.

Организация может считать цели достигнутыми, если все сотрудники привыкнут к мысли, что защита информации - это часть их обязанностей.

Сотрудники должны полностью понять, что атаки социальных инженеров реальны, что потеря обрабатываемой организацией информации угрожает не только организации, но персонально каждому из сотрудников, их работе и благосостоянию.

В своей основе обучающий тренинг должен быть построен таким образом, чтобы посещался всеми сотрудниками. Вновь принятые на работу сотрудники должны проходить тренинг как часть первоначального ознакомления и знакомства с новой работой. Рекомендуется вообще не допускать сотрудника до работы с компьютером, пока он не ознакомится с обучающим тренингом и основами информационной безопасности.

Самым первым рекомендуется занятие, которое посвящено внештатным ситуациям и системам оповещения. Ознакомление с набором коротких важных сообщений заметно облегчит восприятие материала сотрудниками.

Особое значение первого занятия следует выразить в особой роли гармонии, которая будет царить в организации, после того как станут руководствоваться данной программой. Более важным, чем обучающие тренировки, будет мотивация, которая должна побудить сотрудников принять персональную ответственность за безопасность.

В ситуациях, когда какие-либо сотрудники не могут посещать общие занятия, организация должна прибегнуть к другим формам обучения, таким как видео, компьютерные программы, онлайн-курсы или печатные материалы.

После короткого вводного занятия остальные более длинные занятия должны быть спланированы так, чтобы все сотрудники внимательно ознакомились со слабыми местами и техниками атак, которые могут применяться конкретно на них.

Завершающим этапом программы следует проводить получение подписей сотрудников о соглашении следованию установленных политик безопасности и принципов поведения. Ответственность, которую должны будут брать на себя сотрудники, подписав соглашение, поможет избегать сомнений (т.е. поступать как кто-либо просит, или поступать как того требует политики безопасности).

Как минимум один раз в год необходимо проводить занятия для повторения всех этих правил.

Начальники отделов должны быть готовы к тому, что им придется тратить время на подчиненных для того, чтобы помочь им понять и самим поучаствовать в процессе обучения.

Тренинг следует делать в рабочее время. Это стоит помнить и при ознакомлении со всеми положениями организации, новых сотрудников.

Сотрудники организации, которые получили повышение, должны пройти тренинг еще раз в соответствии с их новыми должностными обязанностями.

Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социальной инженерии, включает:

Описание того, как атакующие используют навыки социальной инженерии;

Описание методов, используемых социальными инженерами для достижения своих целей;

Меры по предупреждению возможных атак с использованием социальной инженерии;

Процедуру обработки подозрительных запросов;

Последовательность действий при сообщении о попытках или удачных атаках;

Важность идентификации делающего запрос на получение информации;

Классификацию информации, процедуры защиты, предоставления важной информации, включая любые данные о системе ее хранения;

Аннотация ключевых политик безопасности и их назначение;

Обязанности всех сотрудников следовать политикам безопасности;

Политики безопасности для паролей компьютеров и голосовой почты;

Политику использования электронной почты, включая защиту от удаленных атак с помощью вирусов, червей и «троянов»;

Ношение удостоверений как метод физической защиты;

Специальные меры в отношении людей, не имеющих удостоверений.

4.4 Методика противодействия социальной инженерии

Необходимые действия и меры соблюдения правил. Для защиты организаций и их сотрудников следует применять комплексные многоуровневые системы безопасности. Ниже перечислены особенности и обязанности таких систем:

Физическая безопасность - это барьеры, которые ограничивают доступ в здания организации и к корпоративным ресурсам. Так же стоит помнить, что ресурсы организации, например, мусорные контейнеры, которые расположены вне территории организации, физически не защищены.

Данные - это деловая информация (учетные записи, почтовая корреспонденция и так далее). При анализе угроз и планировании мер по защите данных нужно определять принципы обращения с бумажными и электронными носителями данных.

Компьютеры - это серверы и клиентские системы, которые используются в организации. Защита сотрудников от прямых атак на их компьютеры, проводится путем определения принципов, которые указывают какие программы можно использовать на корпоративных компьютерах.

Внутренняя сеть - это сеть, с помощью которой взаимодействуют корпоративные системы. Она локальна. В последние годы из-за роста популярности методов удаленной работы, границы внутренних сетей стали во многом условными. Сотрудникам организации необходимо разъяснять, что они должны делать для организации безопасной работы в любой сетевой среде.

Периметр сети - это граница между внутренними сетями организации и внешними, такими как интернет или сети партнерских организаций.

Необходимо напоминать сотрудникам, что в случае разглашения коммерческой тайны каждого из них ждет увольнение по соответствующим статьям Трудового и Гражданского кодекса РФ, что может негативно повлиять на возможность дальнейшего трудоустройства на ответственную должность.

Следует поощрять сотрудников, которые выявляют попытки социальных инженеров получить доступ к конфиденциальной информации. Также необходимо поощрять бдительных сотрудников за то, что они отстояли честь организации и не поддались на уловки социального инженера. Такое стимулирование должно привести к тому, что все сотрудники будут осторожно относиться к общению с посторонними лицами.

Другая мера защиты - это сплачивание коллектива, установление дружеских связей внутри него, проведение корпоративных вечеров. Когда сотрудники знают друг друга хорошо, в том числе сотрудников из филиалов, то вероятность того, что посторонний человек сможет представиться кем-то из персонала, будет значительно меньше, в связи с тем, что сотрудники будут узнавать друг друга по голосу.

Телефонные переговоры. Необходимо, чтобы все в организации, а особенно работающие с клиентами, соблюдали определенные правила безопасности при разговорах с пользователями услуг и персоналом. При заочном разговоре, необходимо полностью убедиться, что с той стороны действительно тот человек.

Необходимо обучить сотрудников тому, чтобы они задавали уточняющие вопросы для идентификации личности (например: просьба подтвердить разговор по телефону сообщением по электронной почте).

Существует три главных типа атак, направленных на офисные АТС, во время которых: атака социальный инженерия интернет

Просят информацию, обычно имитируя законного пользователя для обращения к телефонной системе непосредственно или для получения удаленного доступа к компьютерным системам;

Получают доступ к «свободному» использованию телефона;

Получают доступ к системе коммуникаций.

Термин для атак такого рода называется - фрикинг. Самый обычный подход социальной инженерии - это симулирование роли телефонного инженера, как показано на рисунке 4.

Социальный инженер не может добиться успеха в добыче информации от сотрудника, который отвечает на все звонки. Данный тип атаки, работает лишь, когда социальный инженер разговаривает с сотрудником, чей номер телефона не доступен широкой публике, в связи, с чем создается впечатление, что тот, кто звонит, работает в организации.

Рисунок 4. Схема нападения на офисную АТС.

Не смотря на убедительность представления запрашиваемого, невзирая на статус или должность в организации, никакая информация, которая не предназначена для общественного доступа, не должна быть предоставлена, пока личность звонящего не будет установлена (нельзя использовать визитные карточки и другую контактную информацию, предоставленную самим неизвестным лицом).

Сотрудники должны немедленно связываться с сотрудниками технического отдела, если к ним обращается некто, заявляющий, что он сотрудник технической поддержки.

Даже когда личность звонящего установлена, нельзя разглашать конфиденциальную информацию по телефону и электронной почте, если это не предусмотрено инструкцией. При четком регламентировании правила передачи конфиденциальных сведений на бумажных носителях из рук в руки, отходить от этого правила нельзя, даже если обратившийся утверждает, что эти данные очень необходимы.

Сотрудники должны записывать фамилию, имя и отчество звонившего, телефон и название организации, офиса или подразделения, прежде чем повесить трубку. При необходимости перезвонить, сотрудник должен убедиться, что в указанной организации действительно имеется сотрудник с такой фамилией и что телефон, по которому надо перезвонить действительно телефон этой организации.

Если сотрудник не может проверить номер телефона по независимому источнику, его необходимо проинструктировать о других способах сделать это, например, обратившись к непосредственному начальнику.

Технический отдел должен балансировать между безопасностью и деловой эффективностью, а политика и процедуры безопасности должны помогать в этом.

Социальные инженеры пытаются создавать такие ситуации, когда обычный порядок действий разговора по телефону оказывается неприменимым.

Секретарь, осуществляющий прием основного потока звонков, должен быть проинструктирован касательно опасности перевода подозрительных внешних звонков на внутреннюю линию (связано это с тем, у сотрудника, которому был переведен такой звонок, возникает ощущение, что ему позвонили по внутреннему номеру, и его бдительность снижается). Также требуется, чтобы секретарь при просьбах дать номер какого-либо сотрудника, директора или руководителя уточнял личность звонящего, записывал информацию о нем в журнал, в том числе указывал бы цель звонка (документировать такие ситуации необходимо как можно подробнее: кто звонил, по какому вопросу, полезно также передавать суть разговора).

Необходимо осуществлять защиту аналитика технического отдела. Процедуры защиты должны обеспечивать двойную роль в этой ситуации:

??Аналитик технического отдела должен иметь гарантии аудита всех действий (необходимо вести журнал всех действий так, чтобы быстро исправить или ограничить любой ущерб в случае атаки);

??Аналитик технического отдела должен иметь структурированную процедуру действий обработки запросов пользователей.

Аудит всех процедур - самый ценный инструмент в предотвращении инцидента и последующем его расследовании.

Следует иметь отдельный идентификатор для работ, связанных с поддержкой информационных систем. Наличие такого идентификатора позволит отделить функции технического сопровождения от других и обеспечит дополнительную безопасность как для работ по сопровождению, так и для взаимодействия сотрудников в организации.

Для контроля телефона, следует использовать запись разговоров, но необходимо помнить о том, что сотрудники помнят информацию и по окончании рабочего дня, в связи с этим, социальный инженер может связаться с необходимым ему сотрудником в нерабочее время.

Также необходимо постоянное обновление телефонного справочника для того, чтобы все сотрудники были в курсе о принятии или увольнении сотрудников.

Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 13.

Таблица 13. Телефонные нападения

Цели нападения	Описание	Направленность
Запрос информации организации	Социальный инженер исполняет роль законного пользователя для получения конфиденциальной информации	Конфиденциальная информация. Деловое доверие.
Телефонный запрос информации	Социальный инженер притворяется телефонным мастером для получения доступ к офисной АТС	Ресурсы. Деньги.
Используя офисную АТС, обратиться к компьютерным системам	Социальный инженер взламывает компьютерные системы, используя офисную АТС, захватывает или управляет информацией

Вишинг. Прежде всего, защититься от такого вида атак можно с помощью здравого смысла, а именно:

1.При звонке, организация обычно обращается к клиенту по имени и фамилии, как по телефону, так и по электронной почте. Если это не так, то скорее всего это мошенничество.

2. Нельзя звонить по вопросам безопасности кредитной карты или банковского счета по предложенному номеру телефона. Если же звонит некто, представляющийся провайдером и задает вопросы, касающиеся конфиденциальных данных - это мошенники, и следует прервать разговор.

...