Здавалка
Главная | Обратная связь

Учетные записи пользователей у поставщиков услуг



Политика:Персонал компании, размещающий заказы у поставщиков критичных сервисов, должен иметь учетные записи с паролями, чтобы предотвратить размещение заказов на стороне компании от неавторизованных личностей.

Пояснения/заметки: Многие поставщики разрешают пользователям задавать пароль по требованию; компания должна задать пароли для всех поставщиков критичных сервисов. Эта политика особенна критична для провайдеров телекоммуникационных и Интернет-услуг. Для всех критичных сервисов необходимо убедиться, что звонящий имеет право размещать такие заказы. Обратите внимание на то, что для идентификации не следует использовать номер социальной защиты, корпоративный номер налогоплательщика, девичью фамилию матери и т.п. Социальный инженер может, например, позвонить в телефонную компанию и заказать такие услуги как переадресация звонков коммутируемых линий, или попросить Интернет-провайдера изменить трансляцию адресов, чтобы выдать фальшивый IP-адрес, когда пользователи выполняют поиск имени хоста.

Контактное лицо подразделения

Политика:Ваша компания может ввести программу, по которой каждое подразделение или рабочая группа назначит контактным лицом служащего, таким образом, любой работник может легко проверить личность неизвестного человека, утверждающего, что он из этого подразделения. Например, отдел технической поддержки может связаться с контактным лицом, чтобы проверить личность служащего, запросившего поддержку.

Пояснения/заметки:Этот метод проверки личности уменьшает число служащих, авторизованных ручаться за работников их подразделения, когда такие служащие делают запрос в службу поддержки по поводу сброса пароля или по другому вопросу, связанному с учетными записями. Атаки социальной инженерии отчасти успешны, потому что персонал техподдержки работает в условиях дефицита времени и не проверяет соответствующим образом личность людей, сделавших запрос.

Пароли пользователей

Политика: У представителей сервисной службы не должно быть возможности узнать пароли пользователей.

Пояснения/заметки: Социальные инженеры часто звонят в сервисную службу и под благовидным предлогом пытаются получить сведения об аутентификации пользователя, такие как пароль или номер социальной защиты. Располагая этими сведениями, социальный инженер может затем позвонить другому представителю сервисной службы, представиться пользователем и получить информацию или разместить обманные заказы. Во избежание таких попыток программное обеспечение сервисной службы должно допускать только ввод регистрационной информации, предоставленной звонящим, и получать ответ о правильности пароля.

Поиск уязвимостей

Политика: Во время обучения по безопасности требуется предупреждать о том, что компания использует тактики социальной инженерии для поиска уязвимостей.

Пояснения/заметки: Без предупреждения о попытках вторжения методами социальной инженерии персонал компании может испытывать неудобство, гнев или другие эмоциональные травмы от применения к ним обманных тактик другими служащими или наемными (временными, сезонными) работниками. Вы предотвратите подобные конфликты, предупредив новых работников о том, что в процессе адаптации они могут быть объектом проверки.







©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.