Искусство обмана

         

Инструментальные средства взлома (хакерские утилиты)


Правило: Сотрудники компании не имеют права загружать из сети и использовать утилиты, предназначенные для обхода механизмов защиты программного обеспечения.

Аргументация и примечания: В интернете можно найти бесчисленное количество сайтов, содержащих утилиты (cracks) для взлома условно бесплатного и коммерческого программного обеспечения. Использование этих утилит не только нарушает права производителя ПО, но и само по себе опасно. Хакерские средства могут содержать спрятанные от пользователя инструкции, например, устанавливающие троянского коня.



Использование информации о компании в сети интернет


Правило: Служащие не должны упоминать в новостных группах, форумах, на досках объявлений и в гостевых книгах параметры и другую информацию об установленных на фирме программных системах и устройствах. Это правило относится и к распространению контактной информации.

Аргументация и примечания: Любое сообщение в интернете может быть найдено злоумышленником и использовано на стадии сбора информации о компании или сотруднике. Социоинженер обязательно попытается найти как можно больше информации о компании, ее продуктах и персонале, используя анонимность сети интернет.

Некоторые сообщения – как золотая жила для шпиона. Например, сетевой администратор может обратиться в публично доступную конференцию с вопросом об установках фильтров межсетевого экрана конкретной модели конкретного производителя. Взломщик найдет это сообщение и получит более чем ценную информацию о защите атакуемой сети.

Такая проблема может быть преодолена благодаря правилу, в соответствии с которым все служащие обязаны пользоваться новостными конференциями, форумами и т.п. только анонимно, без предоставления корпоративной контактной информации и не упоминая названий, ассоциирующихся с компанией.



Гибкие диски и другие электронные носители


Правило: Никогда не вставляйте в приводы компьютера неизвестно кем принесенные дискеты или CD-диски, обнаруженные на рабочем месте.

Аргументация и примечания: Один из методов, используемый в атаке, заключается в том, что злоумышленник устанавливает зловредную программу на переносной диск, а на самом диске делает надпись вроде «Данные о заработной плате – конфиденциально». После этого такие диски оставляются на рабочих столах нескольких служащих, в надежде на то, что один из них «купится» и вставит его в дисковод. При этом сработает программа, компрометирующая систему, заражающая сеть или открывающая для компьютерного лазутчика брешь в информационной обороне.



Уничтожение съемных дисков


Правило: При уничтожении съемных дисков, на которых когда либо содержалась служебная информация (даже если такая информация уже удалена!), необходимо разрушить сам физический носитель так, чтобы тот не поддавался ремонту и восстановлению.

Аргументация и примечания: Не смотря на то, что уничтожение документов на бумаге уже стало привычным делом, электронные носители часто не разрушаются и просто выбрасываются в корзину. Компьютерные взломщики легко могут восстановить данные на выброшенных носителях, даже если файлы были удалены. Некоторые думают, что информацию нельзя восстановить, если файлы удалены и очищена «Корзина» файловой системы. Такое заблуждение приводит к тому, что конфиденциальная служебная информация попадает в руки злоумышленников. В соответствии с приведенным правилом, все носители, содержащие в настоящее время или когда-либо ранее содержащие ценную информацию, должны полностью разрушаться (ломаться, разбиваться, размагничиваться или разрезаться).





Экранные заставки, защищенные паролем


Правило: Все пользователи обязаны устанавливать защищенные паролем экранные заставки. Кроме того, компьютер должен блокироваться по истечении некоторого времени бездействия пользователя.

Аргументация и примечания: Это правило относится ко всем служащим. Время бездействия до блокирования не должно превышать 10 минут. Правило предназначено для предотвращения ситуации, когда вашим компьютером может воспользоваться посторонний человек или другой служащий, обычно не имеющий доступ к вашему компьютеру.



Разглашение пароля и обмен паролями


Правило: Перед созданием новой учетной записи будущий пользователь учетной записи должен подписать соглашение, в котором он обязуется не разглашать свой пароль третьим лицам и не предоставлять его другим пользователям.

Аргументация и примечания: Такое соглашение должно предусматривать дисциплинарные взыскания вплоть до увольнения сотрудника.



Вложенные файлы писем электронной почты


Правило: Вложенные файлы (attachments) можно открыть, только если заранее ожидалось их получение в рамках делового процесса или если эти файлы были посланы доверенным лицом.

Аргументация и примечания: Необходимо обращать внимание на все приходящие вложенные файлы любых электронных писем. Кроме того, будет лучше, если отправитель – доверенное лицо – заранее предупредит о посылке вложенного файла. Это уменьшит риск в случае использования нападающим социоинженерных методов, способных заставить пользователя открыть вложенный файл.

Один из наиболее распространенных методов взлома компьютерной системы заключается в обмане пользователя, который может запустить предложенную социоинженером программу. Такая программа создает уязвимость в обороне и позволяет злоумышленнику получить доступ к защищаемым системам.

Социоинженер может отправить своей жертве письмо и после этого перезвонить пользователю, обманным путем заставляя его открыть письмо и вложенный файл.



Автоматическая переадресация на внешние адреса


Правило: Запрещается перенаправлять входящую почту на внешние электронные адреса.

Аргументация и примечания: Это правило ограждает от ситуации, когда злоумышленник может получить доступ к корреспонденции, отправленной на внутренний адрес служащего компании.

Иногда сотрудники устанавливают переадресацию служебной почты на внешний почтовый ящик (например, когда уезжают в командировку или находятся в отпуске). С другой стороны, нападающий может спровоцировать пользователя на создание внутреннего адреса с установками переадресации на внешний. Далее злоумышленник непременно воспользуется тем, что имеет доступ к ящику с корпоративным адресом, на который потенциально могут быть отправлены документы, содержащие служебную информацию.



Пересылка электронных сообщений


Правило: Любой запрос на пересылку письма, полученный от неустановленного лица, требует установления личности и проверки полномочий последнего.



Проверка достоверности электронного письма


Правило: Любое письмо, в котором запрашивается информация не для публичного пользования или которое касается действий с любой компьютерной техникой, требует дополнительной проверки. См. «Процедуры удостоверения и авторизации».

Аргументация и примечания: Атакующий может легко подделать сообщение и его заголовок, содержащий адрес отправителя. Кроме того, взломщик может послать сообщение с заранее скомпрометированного компьютера в локальной сети предприятия. И даже если вы внимательно изучите заголовки электронного письма, вы не сможете понять, что это письмо было отослано с взломанного компьютера.



Внесение данных в телефонный справочник


Правило: Сотрудники компании не имеют права принимать участия во всякого рода опросах, проводимых внешними организациями или частными лицами. Все запросы должны переадресовываться в отдел по связям с общественностью.

Аргументация и примечания: Социоинженеры часто звонят в компанию и, под предлогом проведения социологического опроса, получают нужную информацию. Удивительно, как много людей, готовых помочь социологу и ответить на его вопросы! Злоумышленник, для маскировки задавая ряд невинных вопросов, обязательно получит ответы и на интересующие его вопросы.



Разглашение номеров внутренних телефонов


Правило: Если неустановленное лицо спрашивает ваш номер телефона, то необходимо удостовериться в том, что такая информация нужна в целях делового процесса.

Аргументация и примечания: Это правило требует от сотрудника взвешенного решения о необходимости предоставления своего внутреннего номера. И если по мнению сотрудника запрашивающий не обязан знать его номер, то можно попросить последнего позвонить на общий номер компании, где его пересоединят.



Упоминание паролей в сообщениях голосовой почты


Правило: Запрещается упоминать какую-либо парольную информацию в сообщениях, оставляемых в ящике голосовой почты.

Аргументация и примечания: Часто ящики голосовой почты защищаются простым кодом доступа и социоинженер может легко прослушать оставленные сообщения. Кроме того, профессиональный взломщик даже может несанкционированно установить свой собственный ящик и попросить одного из служащих оставить ему сообщение, содержащее какой-либо пароль.



Релейная передача факсимиле


Правило: Ни одно факсимиле не должно никому перенаправляться сразу после получения без предварительной проверки запрашивающего переадресацию.

Аргументация и примечания: Информационные грабители пользуются такой хитростью. Для того чтобы получить ценную информацию, атакующий просит у служащего, располагающего нужной информацией, послать факс на внутренний номер. Заранее делается звонок другому служащему, которому говорят, что сейчас на его номер придет факсимиле и что полученный документ якобы чуть позже заберет его получатель. А чуть позже уже знакомый голос говорит этому служащему по телефону, что пришедший факс нужно срочно перенаправить на другой номер, например, под предлогом экстренного совещания. И так как ничего не подозревающий сотрудник не имеет представления о ценности пересылаемой информации, факс отправляется на номер злоумышленника.



Проверка полномочий отправителя факсимиле


Правило: Прежде чем выполнить какие-либо инструкции, пришедшие по факсу, отправитель должен быть идентифицирован в роли доверенного лица или действующего сотрудника компании. Обычно для этого достаточно перезвонить на внутренний номер отправителя.

Аргументация и примечания: Служащие должны с особой внимательностью относиться к факсимиле, содержащим необычные инструкции или вопросы, особенно если дело касается предоставления информации или выполнение действий на компьютере. Корпоративный заголовок факсимиле может быть фальсифицирован настройками факс-машины и не явлться фактором подтверждения достоверности.



Передача ценной информации по факсу


Правило: Перед отсылкой факса, содержащего ценную служебную информацию, на аппарат, к которому имеют доступ многие сотрудники организации, отправитель должен передать титульную страницу. Получатель, в свою очередь, обязан отправить в ответ другую страницу, подтверждающую его присутствие у аппарата. Только после этого может быть отправлен весь документ.

Аргументация и примечания: Такая процедура позволяет убедиться в том, что ценная информация попадет лично в руки получателю. Более того, вы будете уверены в том, что факсимиле не переадресовано на другой номер.



Запрет на передачу паролей по факсу


Правило: Ни при каких условиях пароли не должны передаваться по факсу.

Аргументация и примечания: Передавать аутентификационную информацию по факсу просто опасно. Многие факс-машины доступны не одному, а нескольким сотрудникам. Кроме того, телефонная сеть может быть скомпрометирована и установлена переадресация на адрес злоумышленника.



Парольная защита голосовой почты


Правило: Никому и ни в каких целях нельзя разглашать пароли ящиков голосовой почты. Пароли (коды доступа) должны меняться не реже чем раз в три месяца.

Аргументация и примечания: Сообщения могут содержать конфиденциальную информацию. Для защиты этой информации пользователи голосовой почты должны регулярно менять коды доступа. Более того, пользователи не должны использовать пароли, схожие или повторяющие пароли, которые они устанавливали ранее.



Использование одного пароля для доступа к разным системам


Правило: Пользователи голосовой почты не должны использовать одинаковые пароли доступа к разным телефонным или компьютерным системам, независимо от того, являются эти системы внутренними или внешними.

Аргументация и примечания: Используя схожие или повторяющиеся пароли, вы тем самым упрощаете задачу взломщика. Узнав только один пароль, злоумышленник может получить доступ ко всем системам, которыми вы пользуетесь.



Установка пароля голосовой почты


Правило: Администраторы и пользователи голосовой почты должны использовать только стойкие к взлому (перебору) пароли. Такие пароли не должны ассоциироваться с личностью пользователя или с компанией и не должны содержать предсказуемых последовательностей.

Аргументация и примечания: Пароли $$В случае с голосовой почтой, паролями чаще всего являются тоновые коды доступа, т.е. числа.$$ не должны содержать числовых последовательностей (1111, 1234, 1010, 1357), не должны соответствовать или основываться на внутренних телефонных номерах и не должны иметь отношения к адресам, почтовым индексам, автомобильным номерам, коэффициенту умственного развития, весу пользователя и т.п.



Прослушанные сообщения


Правило: Если пользователь обнаружил, что сообщение, которое он раньше не слышал, уже отмечено системой, как прослушанное, он должен поставить в известность администратора голосовой почты. В этом случае пароль необходимо немедленно изменить.

Аргументация и примечания: Социоинженер может добраться до сообщений вашего ящика. И если вы поняли, что новое оставленное для вас сообщение уже прослушивалось, значит кто-то несанкционированно воспользовался ящиком.



Приветствие на автоответчике


Правило: Приветствия на автоответчике или на ящике голосовой почты, имеющем внешний (городской) номер, должны содержать минимум информации. В частности, стоит избегать упоминания о графике работы или о намечающихся поездках.

Аргументация и примечания: Приветствие (которое обращено к звонящим извне компании) не должно содержать фамилии, внутреннего номера телефона или причины отсутствия на рабочем месте. Нападающий может использовать все эти данные для обмана других служащих.



Шаблонные пароли голосовой почты


Правило: Пользователи голосовой почты не должны выбирать пароли, в которых первая часть остается неизменной, а вторая состоит из предсказуемой последовательности цифр.

Аргументация и примечания: Не используйте пароли типа 743501, 743502, 743503 и т.д., где последние цифры, например, означают текущий месяц.



Огласка конфиденциальной и частной информации


Правило: В сообщениях голосовой почты не должна упоминаться конфиденциальная или частная информация.

Аргументация и примечания: В общем случае, корпоративная телефонная сеть менее надежна, чем компьютерная сеть. Пароли доступа к телефонным системам – это набор цифр, что существенно сужает задачу по подбору. Кроме того, паролями часто делятся с секретарями, которые отвечают на телефонные звонки своего начальника. В свете вышесказанного, конфиденциальная информация никак не предназначена для сообщений голосовой почты.



Телефонный разговор


Правило: В разговоре по телефону нельзя упоминать пароли.

Аргументация и примечания: Злоумышленник может прослушивать телефонную линию как лично, так и посредством некоторого устройства.



Огласка паролей доступа к компьютерной технике


Правило: Не существует причины, по которой пользователь должен делиться своим паролем с кем бы то ни было без специально заверенного разрешения менеджера из отдела информационных технологий.

Аргументация и примечания: Задача социоинженера нередко сводится к получению имени и пароля зарегистрированного пользователя. Это достаточное основание для того, чтобы пользователи беспрекословно следовали приведенному правилу.



Пароли в сети интернет


Правило: Служащие не должны использовать в интернете пароли, повторяющие те, которыми они пользуются для доступа к корпоративным системам.

Аргументация и примечания: На некоторых сайтах может предлагаться что-то полезное при условии заполнения формы регистрации, где необходимо ввести имя пользователя, пароль и адрес электронной почты. Так как большинство людей пользуются одними параметрами для обращения к разным системам, недобросовестный оператор может попытаться проникнуть на рабочий или домашний компьютер пользователя, используя предоставленные данные. Рабочий компьютер пользователя нередко можно «вычислить», исходя из адреса IP

или почтового адреса.



Использование одного пароля для доступа к разным системам


Правило: Служащие не должны использовать повторяющиеся пароли для доступа к разным системам. Это относится к разным типам устройств (компьютеры или системы голосовой почты), разному местоположению (дома или на рабочем месте), разным программам (базы данных или приложения).

Аргументация и примечания: Взломщики полагаются на слабости, присущие любому компьютерному пользователю. В частности они знают, что затруднительно пользоваться несколькими разными паролями. И если злоумышленник узнал один пароль, то он обязательно попробует ввести его для доступа ко всем системам компании.



Повторное использование пароля


Правило: Пользователь не должен устанавливать пароль, повторяющий или похожий на пароль, которым пользовался в последние 18 месяцев.

Аргументация и примечания: Частая смена пароля сокращает потери в случае, если злоумышленник знает пароль пользователя. Разнообразие используемых паролей уменьшает риск многократно.



Шаблонные пароли


Правило: Служащие не должны выбирать пароли, в которых первая часть остается неизменной, а вторая состоит из некоторой предсказуемой последовательности.

Аргументация и примечания: Не используйте пароли типа Kevin10, Kevin11, Kevin12, в которых последние две цифры указывают на текущий месяц.



Выбор устойчивого к взлому пароля


Правило: Компьютерные пользователи должны выбирать пароли, удовлетворяющие следующим критериям:

n Пароль должен состоять минимум из 8 символов для обычных учетных записей и из 18 символов для привилегированных.

n       Пароль должен содержать как минимум одну цифру, один символ (типа $, _, !, &), одну прописную и одну строчную букву (если это позволяет конкретная система).

n       Пароль не должен соответствовать ни одному слову ни на одном языке, не должен повторять часть или целое имени, названия хобби, марки машины, названия организации, номера автомобиля, адреса, телефона, клички питомца, примечательной даты и т.п.

n       Пароль не должен представлять собой вариацию ранее используемого пароля.

Аргументация и примечания: Перечисленные параметры позволят установить пароль, который достаточно трудно предсказать или получить методом перебора. Как альтернатива, можно воспользоваться методом подстановки гласных и согласных букв, в результате чего можно получить легко запоминающийся и произносимый пароль. Чтобы собрать такой пароль, достаточно подставить в маске «СГСГСГСГ» гласные вместо «Г» и согласные буквы вместо «С». Примеры: «КОВАНУША», «РЕЛОЧАСА».



Запись пароля


Правило: Служащие могут записывать пароли на бумаге, только если эта записка хранится в надежном месте и вдали от компьютера.

Аргументация и примечания: Служащим запрещено записывать пароли, но, бывают случаи когда это необходимо. Например, если пользователь имеет несколько учетных записей в разных системах, которыми редко пользуется.

Ни при каких обстоятельствах не оставляйте записки с паролем лежащими под клавиатурой или приклеенными к монитору.



Запись пароля в текстовый файл


Правило: Пароли в открытом виде не должны содержаться в компьютерных файлах или отображаться при нажатии на некоторую кнопку. Для предотвращения несанкционированного доступа, пароли должны сохраняться в зашифрованном виде с помощью программы, одобренной отделом информационных технологий.

Аргументация и примечания: В случае взлома системы злоумышленник может получить доступ к незашифрованным паролям в файлах, командных файлах, файлах, содержащих настройки доступа, в любых файлах, содержащих пароли к FTP-серверам а также в макросах или скриптах.



Тонкие клиенты


Правило: Для удаленного подключения к корпоративной сети, сотрудники должны использовать технологию «тонкого клиента».

Аргументация и примечания: В планировании атаки социоинженер обязательно попытается найти пользователей с привилегиями удаленного доступа. Таким образом, дистанционные пользователи лучше всего подходят на роль жертвы. Удаленные компьютеры скорее всего защищены не так надежно, как локальная сеть и, вместе с тем, могут использоваться для взлома этой сети.

Стоит помнить о том, что любой компьютер может быть заражен и иметь «на борту» средства записи нажатия клавиш. Кроме того, само соединение может быть перехвачено злоумышленником. Тонкий клиент может предотвратить такие или схожие проблемы. Тонкий клиент – это аналог рабочей станции без жесткого диска, который похож на самый обычный терминал. Тонкий клиент – это средство, не взаимодействующее с другими программами на вашем компьютере, все приложения запускаются на сервере в корпоративной сети и данные, с которыми вы работаете, остаются там же. Доступ к корпоративной сети с помощью тонкого клиента – это хороший способ минимизировать риски, связанные с устаревшими операционными системами и удаленными системами, контролируемыми взломщиками. Кроме того, управление безопасностью и администрирование упрощается на порядок благодаря централизации данных и запускаемых программ, которые расположены в одном месте. Обязанности по контролю защиты лучше возложить на профессиональных системных и сетевых администраторов, чем на необученных дистанционных пользователей.



ПО, обеспечивающее защищенную работу дистанционных пользователей


Правило: Все внешние системы, с которыми работают дистанционные пользователи, должны оснащаться антивирусными системами и брэндмауэрами (программными или аппаратными). Банки данных антивирусных систем должны обновляться не реже одного раза в неделю.

Аргументация и примечания: Как показывает практика, дистанционные пользователи недостаточно компетентны в вопросах безопасности, что нередко приводит к бреши в обороне корпоративной сети. Без должной подготовки, таким образом,  удаленные пользователи представляют собой ощутимый риск информационной безопасности.

Риск пренебрежения этим правилом не может быть переоценен, и это доказывает атака на корпорацию Microsoft. Система дистанционного пользования, имеющая удаленный доступ к сети группы разработчиков Microsoft, была заражена троянским вирусом. В результате взломщики, используя доверенное соединение, смогли выкрасть исходные тексты программ, которые по сути относятся к категории конфиденциальной информации.



Увольняющиеся сотрудники


Правило: В случае если сотрудник увольняется, отдел кадров должен предпринять следующие действия:

·

Убрать ссылку на сотрудника из всех корпоративных справочников.

·         Предупредить охранников на пропускных пунктах и в фойе.

·         Добавить уходящего в список уволенных сотрудников, который рассылается служащим не реже, чем раз в неделю.

Аргументация и примечания: Охранников необходимо оповестить для того, чтобы уволенный не мог попасть на территорию компании. Других следует предупредить хотя бы для того, чтобы бывший сотрудник не смог нанести урон компании.

В некоторых случаях необходимо, чтобы сослуживцы из отдела уволенного сотрудника сменили свои пароли. (Когда меня уволили из GTE

только благодаря репутации хакера, администрация потребовала от всех сотрудников смены всех паролей.)



Оповещение отдела информационных технологий


Правило: В случае увольнения одного из сотрудников, отдел кадров должен немедленно выслать в отдел информационных технологий инструкцию, гласящую о блокировании всех учетных записей бывшего служащего, включая учетные записи доступа к базам данных и соединениям с интернетом и dial-up.

Аргументация и примечания: Непосредственно после увольнения необходимо блокировать все возможности для доступа бывшего сотрудника ко всем компьютерам, базам данных и к прочим компьютерным системам и устройствам. В противном случае вы оставляете для недовольного человека хорошую возможность навредить компании.



Найм сотрудников и конфиденциальная информация


Правило: По возможности, старайтесь не упоминать названия производителей и марки аппаратного и программного обеспечения в объявлениях найма на работу.

Аргументация и примечания: Лучше, если вы будете упоминать данные, которые необходимы для предоставления подходящего резюме.

Не сомневайтесь, компьютерные взломщики, в поисках объявлений о найме, посещают интернет-сайты, читают газеты и пресс-релизы. И часто администрация фирм, в попытке привлечь профессионала, предоставляет в этих объявлениях лишнюю информацию об используемых программах и оборудовании. Такая информация только помогает злоумышленнику в сборе данных, касающихся его цели. Для примера, взломщик, знающий что в компании установлена ОС VMS и предварительно уточнивший версию установленной системы, может подделать и отправить якобы официальное обновление, которое на самом деле поможет ему проникнуть в локальную сеть.



Личные данные


Правило: Отдел кадров не имеет права на разглашение личной информации как работающего, так и бывшего служащего, консультанта, контрактника, временного сотрудника или сотрудника, проходящего испытательный срок, без специального разрешения владельца информации или начальника кадрового отдела.

Аргументация и примечания: Для агентов кадровых служб и частных сыщиков наиболее привлекательной мишенью являются личные данные служащих (номера страховок, даты рождения, история заработной платы, финансовая история и данные депозита, льготы и история болезни). Располагая такой информацией, социоинженер может прикрываться именем и личными данными служащего. Кроме того, имена только что нанятых на работу служащих крайне привлекательны для информационных грабителей. Ведь такие сотрудники меньше других ориентируются в новой обстановке и больше других расположены к запросам старших по рангу или охранников, - тех, чьим именем нередко пользуется социоинженер.



Фоновые проверки


Правило: Прежде чем установить деловые отношения с нанятым на работу сотрудником, необходимо провести фоновую проверку его личных данных и рекомендаций.

Аргументация и примечания: Такие проверки не всегда оправданы. Это зависит от должности, которую будет занимать нанимаемый. Однако, стоит учесть, что любой новый сотрудник, который будет иметь физический доступ к помещениям компании, представляет собой явную угрозу безопасности. Для примера, уборщики имеют доступ во все офисы,  а значит у них есть потенциальная возможность доступа к компьютерам, расположенным на площадях этих офисов. Злоумышленник может установить аппаратное устройство считывания паролей меньше чем за минуту.

Компьютерные взломщики нередко устраиваются на работу только для того, чтобы получить доступ к сетям и системам предприятия.



Обнаружение посторонних лиц


Правило: Курьеры, служащие внешних компаний и частные лица, регулярно посещающие вашу фирму, должны носить специальные беджи или иметь при себе другой идентифицирующий документ, следуя принятой на предприятии политике безопасности.

Аргументация и примечания: Лица, не являющиеся сотрудниками компании, но по роду своей деятельности обязанные регулярно посещать фирму (поставщики продуктов в кафе, ремонтники оборудования или установщики телефонов), должны носить специальные бэджи. Всех остальных необходимо расценивать как посетителей, которым необходимо иметь сопровождение.



Идентификация посетителей


Правило: Все посетители на входе должны предоставлять паспорт, водительские права или любое другое удостоверение государственного образца, содержащее фотографию.

Аргументация и примечания: Перед тем, как передать посетителю соответствующий бэдж, охранник или секретарь обязан сделать фотокопию удостоверения. Копия должна прилагаться к журналу регистрации посещений. Как альтернатива, идентификационная информация может переписываться в журнал посещений. Посетителям запрещается собственноручно заносить данные в журнал.

Социоинженеры, ищущие возможность попасть на территорию компании, обязательно предоставят фальшивые сведения. Но, в любом случае, процедура записи в журнал посещений устанавливает дополнительный уровень защиты.



Сопровождение посетителей


Правило: Посетителя всегда должен сопровождать один из сотрудников компании.

Аргументация и примечания: Социоинженеры нередко входят в здание компании под предлогом встречи с некоторым сотрудником (например, в качестве стратегического партнера по разработке продукта). После того, как охранник сопроводит такого посетителя к месту назначенной встречи, злоумышленник говорит, что сам найдет дорогу к выходу. Таким образом злоумышленник получает свободу действий на территории компании.



Временный пропуск (бэдж)


Правило: Сотрудники из других зданий компании (например, филиалов), не имеющие при себе корпоративного бэджа, должны предоставить удостоверение с фотографией. Такие сотрудники должны расцениваться охраной в качестве посетителей и им должны присваиваться соответствующие бэджи.

Аргументация и примечания: Нападающие нередко выступают в роли сотрудников других офисов или филиалов компании.



Экстренная эвакуация


Правило: В случае экстренной ситуации или учебной тревоги, охранники должны убедиться в том, что все служащие покинули здание.

Аргументация и примечания: Охранники должны проверить комнаты отдыха или офисы, в которых могли остаться посторонние.

Социоинженеры или компьютерные взломщики могут провести диверсию ради того, чтобы проникнуть на территорию компании. Например, злоумышленники могут применить безвредный газ бутил меркаптан. Этот газ производит эффект настоящей газовой атаки. Пока сотрудники эвакуируются, социоинженер пользуется плодами произведенного эффекта для получения ценной информации или для проникновения в компьютерную сеть. Другой способ заключается в том, что во время эвакуации злоумышленник прячется в туалетной комнате или комнате отдыха.



Посетители почтового отделения компании


Правило: Посетители не имеют права посещения помещений почтового отделения компании без соответствующего сопровождения.

Аргументация и примечания: Это правило предотвращает несанкционированную отправку или просто кражу внутренней почты.



Автомобильные регистрационные номера


Правило: Если компания имеет в собственном распоряжении охраняемую стоянку, то охранники обязаны переписывать регистрационные номера въезжающих и выезжающих автомобилей.



Мусорные контейнеры


Правило: Мусорные контейнеры должны постоянно находиться на территории компании и не должны быть доступны для прохожих.

Аргументация и примечания: Нередко компьютерные взломщики и социоинженеры получают нужную информацию в буквальном смысле из отходов. Суд признает, что мусор не является собственностью компании, так что копание в выброшенном мусоре, абсолютно легально, как бы смешно это не звучало. Учитывая это обстоятельство, важно размещать мусорные контейнеры на территории, которая является собственностью компании.



Внутренний справочник


Правило: Доступ к данным внутренних корпоративных справочников должен быть ограничен только сотрудники компании.

Аргументация и примечания: Должности, имена, внутренние номера и адреса должны расцениваться в качестве внутренней информации, которая распространяется в соответствии с правилами обращения данной категорией информации.



Телефонные номера определенных отделов или рабочих групп


Правило: Сотрудники не имеют права предоставлять телефоны внутренних отделов неустановленным лицам.

Аргументация и примечания: Не смотря на то, что во многих организациях это правило может показаться слишком ограничивающим, инструкция предотвращает те случаи, когда злоумышленник пользуется знаниями внутренних телефонов при общении с персоналом компании.