Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО "ВДПО" и ООО "Служба Мониторинга-Уфа"
Понятие и цели социального инжиниринга, способы противодействия ему. Техники и виды атак. Выявление уязвимостей и оценка рисков в организациях. Создание тренировочной и образовательной программы. Структура и содержание методики обучения персонала.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 20.06.2013 |
| Размер файла | 918,6 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
46. Ярочкин В.Г. Безопасность информационных систем: учебник для вузов / В.Г. Ярочкин - М.: МИФИ, 2009. - 198 с.
Безмалый В. Как защититься от угроз социального инжиниринга
Приложение А
Таблица А.1 Перечень сведений, составляющих коммерческую тайну
|
№ п/п |
Наименование сведений |
Срок действия ограничения |
|
|
Управление |
|||
|
1 |
Сведения о перспективных и оригинальных методах управления компанией. |
2 года |
|
|
2 |
Сведения о подготовке, принятии и исполнении отдельных решений. |
2 года |
|
|
3 |
Сведения о фактах проведения, целях, предмете и результатах отдельных совещаний и заседаний органов управления компании. |
2 года |
|
|
Планирование |
|||
|
4 |
Планы развития компании (текущие, перспективные). |
3 года |
|
|
5 |
Планы внешнеэкономической деятельности компании. |
3 года |
|
|
6 |
Инвестиционные программы, технико-экономические обоснования планируемых инвестиций. |
3 года |
|
|
7 |
Данные о ходе выполнения планов. |
2 года |
|
|
8 |
Планы предстоящих закупок по объему, срокам, ассортименту, ценам, странам, фирмам-поставщикам. |
2 года |
|
|
Финансы |
|||
|
9 |
Сведения, раскрывающие фактические показатели финансового плана. |
2 года |
|
|
10 |
Сведения о балансе компании. |
2 года |
|
|
11 |
Имущественное положение компании. |
2 года |
|
|
12 |
Бюджет компании. |
2 года |
|
|
13 |
Оборотные средства компании. |
2 года |
|
|
14 |
Сведения о банковских и финансовых операциях компании. |
2 года |
|
|
15 |
Специфика международных расчетов с инофирмами, плановые и отчетные данные по валютным операциям. |
2 года |
|
|
16 |
Состояние банковских счетов компании. |
2 года |
|
|
17 |
Уровень выручки компании. |
2 года |
|
|
18 |
Уровень доходов компании. |
2 года |
|
|
19 |
Долговые обязательства компании. |
2 года |
|
|
20 |
Источники кредитов и условия по ним. |
2 года |
|
|
21 |
Сведения о размерах планируемого кредитования. |
2 года |
|
|
Маркетинг |
|||
|
22 |
Сведения о применяемых организацией оригинальных методах изучения рынка. |
2 года |
|
|
23 |
Сведения о результатах изучения рынка, содержащие оценки состояния и перспектив развития рыночной конъюнктуры. |
2 года |
|
|
24 |
Сведения об оригинальных методах продаж. |
2 года |
|
|
25 |
Сведения о конкретных направлениях в торговой политике. |
2 года |
|
|
26 |
Сведения о продаже товара на новых рынках. |
2 года |
|
|
27 |
Политика деятельности предприятия в целом и по регионам. |
2 года |
|
|
28 |
Рекламная политика компании. |
2 года |
|
|
Торговля |
|||
|
29 |
Сведения о методике расчетов конкурентных цен по экспорту или импорту, а также при оценке стоимости работ и услуг. |
3 года |
|
|
30 |
Расчетные цены. |
2 года |
|
|
31 |
Структура цены. |
2 года |
|
|
32 |
Структура продажной калькуляции. |
2 года |
|
|
33 |
Данные для калькуляции цены. |
2 года |
|
|
34 |
Затраты. |
2 года |
|
|
35 |
Сведения о себестоимости и контрактных ценах товаров и услуг. |
2 года |
|
|
36 |
Места закупки товаров. |
3 года |
|
|
37 |
Сведения о поставщиках. |
3 года |
|
|
Производство |
|||
|
38 |
Сведения о структуре и масштабах производства. |
2 года |
|
|
39 |
Данные о поставщиках. |
2 года |
|
|
40 |
Сведения о технологических возможностях компании и технических характеристиках оборудования. |
2 года |
|
|
41 |
Сведения о запасе материалов, комплектующих, резервах сырья. |
2 года |
|
|
42 |
Калькуляция издержек производства. |
2 года |
|
|
43 |
Сведения о количестве на складах готовой продукции. |
2 года |
|
|
44 |
Сведения о свертывании производства различных типов работ и их технико-экономическое обоснование. |
2 года |
|
|
45 |
Технологические достижения, обеспечивающие преимущества в конкурентной борьбе. |
2 года |
|
|
46 |
Изобретения, новые идеи, ноу-хау. |
3 года |
|
|
Договоры |
|||
|
47 |
Сведения, условия конфиденциальности, которые установлены в договорах и контрактах и т.п. |
2 года |
|
|
48 |
Условия по сделкам и соглашениям. |
2 года |
|
|
49 |
Условия договоров, включая цены. |
2 года |
|
|
50 |
Особые условия договоров (скидки, приплаты, рассрочки платежей, опционы и т.п.). |
2 года |
|
|
51 |
Условия платежей по договорам. |
2 года |
|
|
52 |
Сведения об исполнении договоров. |
2 года |
|
|
Партнеры |
|||
|
53 |
Списки клиентов, компаньонов, посредников компании. |
3 года |
|
|
54 |
Коммерческие связи компании. |
3 года |
|
|
55 |
Сведения о поставщиках и клиентах компании. |
3 года |
|
|
56 |
Сведения о подрядчиках. |
3 года |
|
|
57 |
Сведения о финансовом состоянии, репутации или другие данные, характеризующие степень надежности иностранной фирмы или ее представителей как торгового партнера, а так же и о их конкурентах. |
3 года |
|
|
58 |
Сведения, составляющие коммерческую тайну предприятий-партнеров и переданные сотруднику предприятия на доверительной основе. |
2 года |
|
|
59 |
Оценка качества деловых отношений с конкурирующими предприятиями в различных сферах деловой активности. |
2 года |
|
|
60 |
Сведения о фактах проведения, целях, предмете и результатах отдельных переговоров с деловыми партнерами компании. |
2 года |
|
|
Информационные технологии |
|||
|
61 |
Состояние парка ПЭВМ и программного обеспечения. |
3 года |
|
|
62 |
Используемые в корпоративной сети средства защиты информации. |
3 года |
|
|
63 |
Используемые в корпоративной сети средства аутентификации пользователей. |
3 года |
|
|
64 |
Структура корпоративной сети. |
3 года |
|
|
65 |
Ключевая и парольная информация. |
3 года |
|
|
Безопасность |
|||
|
66 |
Сведения о порядке защиты коммерческой тайны компании. |
3 года |
|
|
67 |
Сведения о порядке и состоянии охраны, пропускном режиме, системах охранной сигнализации и системах видеонаблюдения на объектах компании. |
3 года |
|
|
68 |
Сведения о перевозимых ценностях (дата, место, время). |
3 года |
|
|
69 |
Сведения о методах защиты от подделки товарных и фирменных знаков. |
3 года |
Приложение Б
Обязательство о неразглашении коммерческой тайны организации
Я, ____________________________________________________,
(фамилия, имя, отчество)
В качестве работника (служащего) _____________________________________ (наименование организации)
в период трудовых (служебных) отношений с организацией (его правопреемником) и в течение _______________ после их окончания обязуюсь:
(срок)
1) не разглашать сведения, составляющие коммерческую тайну организации, которые мне будут доверены или станут известны по работе (службе);
2) не передавать третьим лицам и не раскрывать публично сведения, составляющие коммерческую тайну организации, без согласия организации;
3) выполнять относящиеся ко мне требования приказов, инструкций и положений, по обеспечению сохранности коммерческой тайны организации;
4) в случае попытки посторонних лиц получить от меня сведения о коммерческой тайне организации немедленно сообщить __________________ ______________________________________________________;
(должностное лицо или подразделение предприятия)
5) сохранять коммерческую тайну тех организаций, с которыми имеются деловые отношения организация;
6) не использовать знание коммерческой тайны организации для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации;
7) в случае моего увольнения все носители коммерческой тайны организации (рукописи, черновики, чертежи, магнитные носители, диски, цифровые носители, распечатки на принтерах, кино-, фото-негативы и позитивы, модели, материалы, изделия и пр.), которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы в организации, передать __________________________;
(должностное лицо или подразделение предприятия)
8) об утрате или недостаче носителей коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению коммерческой тайны организации, а так же о причинах и условиях возможной утечки сведений, немедленно сообщать ______________________________________________________________.
(должностное лицо или подразделение предприятия)
Я предупрежден, что, в случае, невыполнения любого из пунктов 1, 2, 3, 4, 5, 6, 8 настоящего обязательства, могу быть уволен из организации. До моего сведения так же доведены с разъяснениями соответствующие положения по обеспечению сохранности коммерческой тайны организации, и я получил один экземпляр этих положений.
Мне известно, что нарушения этих положений может повлечь уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством РФ, и в виде лишения свободы, денежного штрафа, обязанности по возмещению ущерба организации (убытков, упущенной выгоды и морального ущерба) и других наказаний.
«__» _________ 201_ г. ___________________
(подпись)
Администрация организации подтверждает, что данные Вами обязательства не ограничивают Ваших прав на интеллектуальную собственность. Об окончании срока действия обязательства администрация организации уведомит Вас заблаговременно в письменной форме.
_______________ ___________________________ _________________
(должность) (подпись) (Ф.И.О.)
Один экземпляр обязательств получил
«__» ________ 201_ г. __________________
(подпись)
Приложение В
В данном приложении находятся списки и таблицы, которые представляют собой сжатую памятку методов и целей, используемых социальными инженерами, а так же помогут ответить на просьбы или действия, которые могут являться атакой социального инженера.
Таблица В.1 Определение атаки
|
Действие |
Описание |
|
|
Исследование |
Может включать в себя ежегодные отчеты, брошюры, открытые заявления, промышленные журналы, информацию с веб-сайта. А также выброшенное в помойки |
|
|
Создание взаимопонимания и доверия |
Использование внутренней информации, выдача себя за другую личность, называние имен, знакомых жертве, просьба о помощи |
|
|
Эксплуатация доверия |
Просьба об информации или совершении действия. В обратном социальном инжиниринге, жертва просит атакующего помочь. |
|
|
Применение информации |
Если полученная информация - лишь шаг к цели, то атакующий возвращается к более ранним этапам, пока цель не будет достигнута. |
Типичные методы действий социальных инженеров:
1. Представляется другом_сотрудником; сотрудником поставщика, партнерской организации; представителем закона; кем-либо из руководства; новым сотрудником, просящим о помощи; поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление.
2. Предлагает помощь в случае возникновения проблемы, потом создает эту проблему, принуждая сотрудника просить помощи.
3. Отправляет бесплатное ПО для установки; вирус или троянского коня в качестве приложения к письму.
4. Использует фальшивые всплывающие окна, для аутентификации.
5. Записывает вводимые сотрудником клавиши компьютера или программы.
6. Оставляет носитель с вредоносным ПО в организации.
7. Использует внутренний сленг и терминологию для возникновения доверия.
8. Предлагает приз за регистрацию на сайте.
9. Подбрасывает документ или папку в почтовый отдел организации для внутренней доставки.
10. Просит секретаршу принять, а потом отослать факс.
11. Просит отослать документ в место, которое кажется локальным.
12. Притворяется, что он из удаленного офиса и просит локального доступа к почте.
Предупреждающие знаки атаки:
1. Отказ назвать номер.
2. Необычная просьба.
3. Утверждение, что звонящий - руководитель.
4. Срочность.
5. Угроза негативными последствиями в случае невыполнения.
6. Испытывает дискомфорт при опросе.
7. Называет знакомые имена.
8. Делает комплименты.
9. Флиртует.
Таблица В.2 Типичные цели социальных инженеров
|
Тип жертвы |
Примеры |
|
|
Незнающая о ценности информации |
Секретари, телефонистки, помощники администрации, охрана |
|
|
Имеющая особые привилегии |
Отдел технической поддержки, системные администраторы, операторы, администраторы телефонных систем |
|
|
Поставщик/ Изготовитель |
Производители компьютерных комплектующих, ПО, поставщики систем голосовой почты |
|
|
Особый отдел |
Бухгалтерия, отдел кадров |
Факторы, делающие компанию более уязвимой к атакам:
1. Большое количество сотрудников.
2. Большое количество филиалов.
3. Информация о местонахождении сотрудников.
4. Информация о внутренних телефонах общедоступна.
5. Поверхностное обучение правилам безопасности.
6. Отсутствие системы классификации информации.
7. Отсутствие системы сообщения об инцидентах.
Таблица В.3 Подтверждение личности
|
Действие |
Описание |
|
|
Идентификационный номер звонящего |
Убедитесь, что звонок - внутренний, и название отдела соответствует личности звонящего |
|
|
Перезвонить |
Найдите просящего в списках организации и перезвоните в указанный отдел |
|
|
Подтвердить |
Попросите доверенного сотрудника подтвердить личность просящего |
|
|
Общий секрет |
Спросите известный только в организации секрет, к примеру, пароль или ежедневный код |
|
|
Руководитель |
Свяжитесь с руководителем сотрудника и попросите подтвердить личность и должность просящего |
|
|
Безопасная почта |
Попросите отправить сообщение с цифровой подписью |
|
|
Узнавание голоса |
Если звонящий знаком, убедитесь, что это его голос |
|
|
Меняющиеся пароли |
Спросите динамический пароль или другое аутентификационное средство |
|
|
Лично |
Попросите звонящего прийти с удостоверением личности |
Таблица В.4 Проверка, работает ли еще сотрудник
|
Действие |
Описание |
|
|
Проверка в списке сотрудников |
Проверьте, что сотрудник находится в списке |
|
|
Руководитель просителя |
Позвоните руководителю просителя, используя телефон, указанный в базе данных организации |
|
|
Отдел или группа просителя |
Позвонить в отдел просителя и узнать, работает ли он еще там |
Таблица В.5 Процедура, позволяющая узнать, может ли проситель получить информацию
|
Действие |
Описание |
|
|
Смотреть список отделов/ должностей/обязанностей |
Проверьте списки, где сказано, каким сотрудникам разрешено получать подобную информацию |
|
|
Получать разрешение от начальства |
Свяжитесь со своим начальством или начальством звонящего для получения разрешения выполнить просьбу |
|
|
Получить разрешение от владельца информации или разработчика |
Спросите владельца информации, надо ли звонящему это знать |
|
|
Получать разрешение от автоматического устройства |
Проверьте базу данных уполномоченных сотрудников |
Таблица В.6 Критерии подтверждения личности людей, не являющихся сотрудниками
|
Критерий |
Действие |
|
|
Связь |
Убедитесь, что у организации просителя есть поставщики, партнеры или другие соответствующие связи |
|
|
Личность |
Проверьте личность и статус занятости звонящего в его организации |
|
|
Неразглашение |
Убедитесь, что проситель подписал договор о неразглашении тайн |
|
|
Доступ |
Передайте просьбу руководству, если информация классифицирована секретней, чем «Внутренняя». |
Таблица В.7 Классификация информации
|
Классификация |
Описание |
Процедура |
|
|
Общедоступная |
Может быть свободно доступна для общественного пользования |
Не требует подтверждения личности |
|
|
Внутренняя |
Для использования внутри организации |
Проверьте, является ли просящий сотрудником в данный момент, подписал ли он соглашение о неразглашении, и попросите разрешение руководства для людей, не являющихся сотрудниками |
|
|
Личная |
Информация личного характера, предназначенная для использования только внутри организации |
Проверьте, является ли просящий сотрудником в данный момент, или у него есть разрешение. Свяжитесь с отделом кадров насчет раскрытия информации сотрудникам или людям не являющихся сотрудниками |
|
|
Конфиденциальная |
Известна только людям, которым необходимо это знать внутри организации |
Подтвердите личность звонящего и спросите у владельца, надо ли звонящему это знать. Отпускайте только с письменным разрешением сотрудника, владельца или создателя. Убедитесь, что проситель подписал договор о неразглашении тайн |
Рисунок В.1 Ответ на просьбу дать информацию
Рисунок В.2 Ответ на просьбу совершения действия
Размещено на Allbest.ru
Подобные документы
Информационная борьба как средство интеллектуального противодействия. Проблема создания и удержания защищенной среды информационного обмена в информационно-вычислительных сетях (ИВС). Анализ способов и методов информационной борьбы в корпоративной ИВС.
дипломная работа [5,9 M], добавлен 30.06.2011Методы противодействия сетевым атакам. Алгоритм действия на сетевом уровне. Методы осуществления парольных атак. Атаки типа Man-in-the-Middle. Сетевая разведка, несанкционированный доступ. Переадресация портов. Вирусы и приложения типа "троянский конь".
курсовая работа [110,1 K], добавлен 20.04.2015Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.
дипломная работа [207,4 K], добавлен 02.08.2012Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.
курсовая работа [488,5 K], добавлен 13.12.2011Основные вредоносные действия интернет-ботов, особенности противодействия их автоматическим действиям. Характеристика системы противодействия интернет-ботам CAPTCHA, написание программы, которая демонстрирует принцип ее работы. Алгоритм CAPTCHA-проверки.
курсовая работа [889,7 K], добавлен 17.02.2012Анализ основных атак на протокол TLS и определение методов противодействия этим атакам. Разработка метода перехвата и расшифровки трафика, передаваемого по протоколу HTTPS. Расшифровка передаваемых данных в режиме, приближенному к реальному времени.
статья [1013,4 K], добавлен 21.09.2017Организационное проектирование службы защиты информации (СлЗИ) и оценка допустимого уровня рисков. Разработка методики определения численного состава СлЗИ, постановка её задач и функций. Определение взаимодействия службы с другими подразделениями.
дипломная работа [173,2 K], добавлен 21.09.2012Покращення захисту інформаційно-комунікаційних безпек з точки зору вимоги доступності. Класифікація DoS-атак, розробка моделі методики виявлення DoS-атаки та реалізація відповідного програмного засобу. Захист критичних ресурсів корпоративної мережі.
дипломная работа [932,6 K], добавлен 02.09.2016Разработка программного обеспечения подсистемы имитаторов, входящей в состав комплекса средств обнаружения и противодействия беспилотным летательным аппаратам. Сравнительный анализ существующих аналогов. Требования к аппаратно-программному обеспечению.
дипломная работа [3,0 M], добавлен 16.01.2015Принципы создания электронного пособия по информатике. Требования к электронному учебнику, режим его работы и содержание. Достоинства и недостатки дистанционного обучения с использованием электронных учебников. Анализ электронных учебников Казахстана.
дипломная работа [552,2 K], добавлен 23.04.2015
