[ Pobierz całość w formacie PDF ]
.Wspominając nowym pracownikom o takiej możliwości podczas ich wdra-żania do obowiązków, unikamy tego typu spięć.3104.16.Pokazywanie poufnych informacjiInstrukcja.Informacje, które nie są skierowane do ogółu, nie powinny byćw jakiejkolwiek formie pokazywane w miejscach ogólnie dostępnych.Uwagi.Oprócz tajnych informacji o produktach i procedurach, wewnętrz-ne informacje kontaktowe, takie jak listy pracowników, wewnętrzne nume-ry telefonów lub harmonogramy zawierające listy kierowników poszczegól-nych wydziałów, również muszą być umieszczane z dala od oczu osób po-stronnych.4.17.Szkolenie świadomości bezpieczeństwaInstrukcja.Wszyscy pracownicy firmy w okresie wdrażania do pracy mu-szą przejść szkolenie z dziedziny bezpieczeństwa.Ponadto każdy pracownikmusi przechodzić kursy odświeżające wiedzę w stałych odstępach czasowychustalonych przez wydział zajmujący się szkoleniami w zakresie bezpieczeń-stwa, ale nieprzekraczających 12 miesięcy.Uwagi.Wiele organizacji lekceważy problem szkolenia w zakresie bezpie-czeństwa.Według badań dotyczących bezpieczeństwa informacji przeprowa-dzonych w 2001 roku, tylko 30% badanych organizacji przeznaczyło środkina szkolenia w tym zakresie dla pracowników niższego szczebla.Tego typuszkolenie jest niezbędnie wymagane w celu obniżenia prawdopodobieństwaudanego ataku socjotechnicznego na firmę.4.18.Szkolenie w zakresie bezpiecznego dostępu do komputerówInstrukcja.Pracownicy muszą ukończyć kurs bezpieczeństwa informacji,zanim udzieli się im dostępu do jakiegokolwiek firmowego systemu kompu-terowego.Uwagi.Socjotechnicy często obierają sobie za cel nowych pracowników,wiedząc, że generalnie nie są oni jeszcze obeznani z zasadami bezpieczeństwaobowiązującymi w firmie i odpowiednimi procedurami opisującymi obcho-dzenie się z poufnymi informacjami.Szkolenie powinno dawać pracownikom okazję do zadawania pytań do-tyczących zasad bezpieczeństwa.Po ukończeniu szkolenia właściciel kon-ta w systemie powinien podpisać dokument potwierdzający zapoznanie sięz zasadami bezpieczeństwa i zobowiązujący do ich przestrzegania.3114.19.Kolorowe oznaczenia identyfikatorówInstrukcja.Identyfikatory powinny być oznaczone różnymi kolorami, którepozwolą odróżnić pracownika, wykonawcę zlecenia, zatrudnionego tymcza-sowo, dostawcę, konsultanta i gościa.Uwagi.Kolorowy identyfikator umożliwia określenie z większej odległościstatusu danej osoby.Alternatywą jest stosowanie dużych liter opisującychstatus, lecz kolory w tym przypadku uniemożliwiają pomyłki i są łatwiejszew zastosowaniu.Typową taktyką, jaką stosują socjotechnicy, aby dostać się na teren firmy,jest przebranie się za dostawcę towaru lub osobę zatrudnioną tymczasowo.Kiedy napastnik już dostanie się do środka, będzie podawał się za pracownikalub w inny sposób fałszywie przedstawiał swój status, by uzyskać pomoc zestrony niczego nie podejrzewających pracowników.Celem tej instrukcji jestzapobieganie sytuacji, kiedy osoba wchodzi na teren firmy legalnie, by potempenetrować obszary, do których nie powinna mieć dostępu.Na przykład oso-ba, która weszła na teren firmy jako monter telefonów, nie będzie mogła po-dawać się za pracownika, ponieważ kolor identyfikatora będzie jednoznacz-nie wskazywał, że jest osobą spoza firmy.Instrukcje dla działu informatykiDział informatyki każdej firmy potrzebuje instrukcji pomagających chro-nić zasoby informacyjne przedsiębiorstwa.Aby odzwierciedlić typową struk-turę zadań takiego działu, podzieliłem instrukcje na ogólne, biura pomocy,administracji systemami i pracy na komputerze.Ogólne5.1.Osoba będąca punktem kontaktowym w dziale informatykiInstrukcja.Numery telefonów i adresy e-mail poszczególnych pracownikówdziału informatyki nie powinny być ujawniane jakiejkolwiek osobie, któranie ma wyraz
nego powodu ku temu, by je poznać.312Uwagi.Celem tej instrukcji jest unikniecie sytuacji, kiedy socjotechnik wy-korzystuje do swoich celów informacje kontaktowe z działu informatyki.Ujawniając jedynie ogólny numer kontaktowy i adres e-mail działu infor-matyki, spowodujemy, że osoby z zewnątrz nie będą mogły kontaktować sięz personelem bezpośrednio.Adresy e-mail na potrzeby kontaktu z admini-stratorem lub webmasterem powinny składać się tylko z nazw ogólnych, np.admin@nazwafirmy.com.pl.Upublicznione numery telefonów powinny byćpołączone z wydziałową skrzynką poczty głosowej, a nie ze skrzynką które-goś z pracowników.Kiedy dostępne są bezpośrednie informacje kontaktowe, intruz możew prosty sposób dotrzeć do któregoś z pracowników i zmanipulować go,wyłudzając informacje przydatne w czasie ataku lub umożliwiające poda-wanie się za informatyka wobec innych osób.5.2.Prośby o pomoc technicznąInstrukcja.Wszelkie prośby o pomoc techniczną muszą być kierowane dogrupy lub osoby, która zajmuje się danym problemem.Uwagi.Socjotechnicy mogą próbować docierać do informatyków, którzyzwykle nie zajmują się pomocą techniczną i w związku z tym nie są świado-mi odpowiednich procedur, określających sposób udzielania takiej pomocy.Dlatego też personel informatyczny musi zostać przeszkolony w taki sposób,aby odrzucać tego typu prośby i kierować dzwoniącego do grupy lub osobyzajmującej się tymi sprawami.Biuro pomocy technicznej6.1.Procedury zdalnego dostępuInstrukcja [ Pobierz całość w formacie PDF ]