 |
|
Голосовые сообщения, помеченные как старые
Политика: Следует уведомить администратора голосовой почты о возможном нарушении безопасности и немедленно сменить пароль, если есть непрослушанные сообщения, которые не отмечены как новые.
Пояснения/заметки: Социальные инженеры могут получить доступ к голосовому ящику множеством способов. Служащий, узнавший о непрослушанных сообщениях, которые не отмечены как новые, должен предположить, что кто-то получил несанкционированный доступ к голосовому ящику и прослушал сообщения.
Внешние приветствия голосовой почты
Политика: Работники компании должны ограничить оглашение информации в своем внешнем приветствии голосовой почты. Не следует раскрывать обычные сведения, связанные с распорядком рабочего дня или графиком поездки.
Пояснения/заметки:Внешнее приветствие (проигрываемое для внешних звонков) не должно содержать фамилию, номер телефона или причину отсутствия (поездка, отпуск). Атакующий может использовать эту информацию при попытке обмана других служащих.
Шаблоны паролей голосовой почты
Политика: Пользователи голосовой почты не должны задавать пароль с фиксированной частью, когда другая часть меняется по предсказуемому шаблону.
Пояснения/заметки: Например, не используйте такие пароли как 743501, 743502, 743503 и т.д., где две последние цифры соответствуют текущему месяцу .
Конфиденциальная или частная информация
Политика:В сообщении голосовой почты не должно быть конфиденциальной или частной информации.
Пояснения/заметки:Корпоративная телефонная система обычно более уязвима по сравнению с компьютерной системой. Пароли обычно представляют собой набор цифр, что существенно уменьшает число попыток, которое требуется взломщику, чтобы угадать пароль. Кроме того, в некоторых организациях пароли голосовой почты могут быть известны секретарям или другому персоналу, ответственному за получение сообщений для руководителей. Вывод: не следует передавать конфиденциальную информацию голосовой почтой.
{9-я часть}
Пароли
Телефонная безопасность
Политика:Пароли никогда не должны передаваться по телефону.
Пояснения/Заметки: Атакующие могут найти способ подслушивать телефонные переговоры, лично или при помощи специального устройства.
Раскрытие компьютерных паролей
Политика:Ни при каких обстоятельствах пользователи не должны сообщать свой пароль кому-либо ни для каких целей без письменного согласия ответственного IT-менеджера.
Пояснения/Заметки:Цель многих атак в социальной инженерии включает в себя получение обманным путем имен пользователей и паролей. Эта политика – ключевой шаг в снижении риска успешных атак против предприятия. Соответственно, этому правилу должны религиозно следовать во всей компании
Пароли в интернете
Политика: Сотрудники никогда не должны использовать на интернет-сайтах пароли похожие на используемые в корпоративных системах, или совпадающие с ними.
Пояснения/Заметки:Злоумышленники могут создать веб-сайт, на котором предлагается какая-либо ценность или возможность выиграть приз. Для регистрации на сайте пользователь должен ввести e-mail, имя пользователя и пароль. Поскольку многие используют одинаковые или похожие данные, злоумышленник попытается использовать выбранный и похожие пароли для проведения атаки на рабочий или домашний компьютер. В некоторых случаях возможно определение рабочего компьютера, используя введенный адрес e-mail.