Автор: Пользователь скрыл имя, 12 Сентября 2015 в 14:22, дипломная работа
Исходя из актуальности темы, была поставлена следующая цель дипломной работы: разработать методику противодействия социальному инжинирингу на предприятиях Башкортостанское региональное отделение общероссийской общественной организации «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа»).
Задачами дипломной работы являются:
Определение угроз, связанных с социальным инжинирингом, и основных существующих методов, используемых социальными инженерами.
Описание основных способов противодействия социальному инжинирингу.
Введение……………………………………………………………………………...4
1 Теоретические и методологические основы социального инжиниринга…….8
1.1 Цели социального инжиниринга………………………………………..12
1.2 Техники и виды атак…………………………………………………….17
1.3 Известные социальные инженеры……………………………………...27
2 Анализ состояния изучаемой проблемы в организациях……………………...28
2.1 Краткие характеристики организаций………………………………….28
2.2 Выявление уязвимостей и оценка рисков..…………………………….34
2.3 Предпринятые меры……………………………………………………..44
3 Разработка методики противодействия социальному инжинирингу…………49
3.1 Теоретические аспекты создания методики противодействия….……50
3.1.1 Создание тренировочной и образовательной программы…………..50
3.1.2 Цели, структура и содержание методики обучения персонала…….54
3.2 Методика противодействия социальному инжинирингу…….……….57
Заключение………………………………………………………………………….91
Библиографический список………………………………………
Это 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулирования [41, с. 124]:
Организация ответственна за то, чтобы предупредить сотрудников насколько серьезной может быть выдача непубличной информации. Хорошая продуманная информационная политика безопасности вместе с надлежащим обучением и тренировками улучшат понимание сотрудников о надлежащей работе с корпоративной информацией.
Обучение безопасности в рамках политики организации по защите информации должно проводиться для всех сотрудников без исключения, а не только для сотрудников, у которых есть электронный или физический доступ к информационным активам организации.
В сегодняшних условиях почти все, чем занимаются сотрудники, связано с обработкой информации. Вот почему политика безопасности организации должна распространяться по всему предприятию, независимо от положения сотрудников [3, с. 2].
Разработку противодействий социальному инжинирингу необходимо начать с создания группы людей, которые будут отвечать за безопасность. Они должны отвечать за разработку политик и процедур безопасности, которые должны быть направлены на защиту отдельных сотрудников и сети организации в целом. Эта группа должна включать в себя сотрудников из разных отделов.
В задачи этой группы должны входить такие вещи как:
Сотрудник, ответственный за разработку программы информационной безопасности должен выработать специфические требования для отдельных групп сотрудников, участвующих в работе с информацией, обрабатываемой организацией. Тренинги должны проводиться для следующих групп персонала:
Технические методы обучения должны включать:
Организация обязана не только иметь прописанные правила политик безопасности, но и побуждать сотрудников, работающих с корпоративной информацией или компьютерной системой, старательно изучать и следовать этим правилам. Более того, необходимо убедиться, что все сотрудники организации понимают причину принятия тех или иных положений в правилах, тогда они не будут пытаться обходить эти правила ради извлечения собственной выгоды.
Правила безопасности должны быть реалистичными, они не должны призывать сотрудников выполнять слишком обременительные вещи, которые, скорее всего, будут ими проигнорированы. Также, программа обучения по безопасности должна убедить сотрудников, что необходимо выполнять поручения по работе быстро, но кратчайший путь, который пренебрегает системой безопасности, оказывается вредным для организации самой и сотрудников.
Но, даже ознакомившись со всеми документами и обучением, многие сотрудники вряд ли изменят свое ежедневное поведение. Для этого необходимо позаботиться о соответствующем подкреплении. Оно может быть двух типов:
Негативное означает наказание за какой-либо проступок в отношении соблюдения мер безопасности (пример: если во время проверки оказалось, что сотрудник прилепил лист с паролем на монитор, то ему должен быть сделан выговор).
Другой метод – «привязать» заботу о безопасности к годовому отчету о деятельности сотрудника, что, в свою очередь, заставляет понять ее важность и, в конце концов, ответственность за безопасность ложится на каждого.
Негативное подкрепление может служить для предотвращения серьезных нарушений (например: установка неавторизованной точки доступа или модема).
Позитивное подкрепление обеспечивает воодушевлением сотрудников по заботе о безопасности (пример: вместо поиска нарушителей политики – установление, кого из пользователей следует поощрить за точное следование инструкциям).
3.1.2 Цели, структура и содержание методики противодействия
Главной целью любой обучающей программы является необходимость переосмысления сотрудниками своего поведения и отношения, мотивирования [37, с. 197] их желания защитить и сохранить информацию организации. Хорошей мотивацией является демонстрация вознаграждения за участие не самой организации, а конкретных сотрудников.
Основными целями при разработке методики обучения персонала и защите информации, является фокусировка внимания на том, что:
Организация может считать цели достигнутыми, если все сотрудники привыкнут к мысли, что защита информации – это часть их обязанностей.
Сотрудники должны полностью понять, что атаки социальных инженеров реальны, что потеря обрабатываемой организацией информации угрожает не только организации, но персонально каждому из сотрудников, их работе и благосостоянию.
В своей основе обучающий тренинг должен быть построен таким образом, чтобы посещался всеми сотрудниками. Вновь принятые на работу сотрудники должны проходить тренинг как часть первоначального ознакомления и знакомства с новой работой [38, с. 75]. Рекомендуется вообще не допускать сотрудника до работы с компьютером, пока он не ознакомится с обучающим тренингом и основами информационной безопасности.
Самым первым рекомендуется занятие, которое посвящено внештатным ситуациям и системам оповещения. Ознакомление с набором коротких важных сообщений заметно облегчит восприятие материала сотрудниками.
Особое значение первого занятия следует выразить в особой роли гармонии, которая будет царить в организации, после того как станут руководствоваться данной программой. Более важным, чем обучающие тренировки, будет мотивация, которая должна побудить сотрудников принять персональную ответственность за безопасность.
В ситуациях, когда какие-либо сотрудники не могут посещать общие занятия, организация должна прибегнуть к другим формам обучения, таким как видео, компьютерные программы, онлайн-курсы или печатные материалы.
После короткого вводного занятия остальные более длинные занятия должны быть спланированы так, чтобы все сотрудники внимательно ознакомились со слабыми местами и техниками атак, которые могут применяться конкретно на них.
Завершающим этапом программы следует проводить получение подписей сотрудников о соглашении следованию установленных политик безопасности и принципов поведения. Ответственность, которую должны будут брать на себя сотрудники, подписав соглашение, поможет избегать сомнений (т.е. поступать как кто-либо просит, или поступать как того требует политики безопасности).
Как минимум один раз в год необходимо проводить занятия для повторения всех этих правил.
Начальники отделов должны быть готовы к тому, что им придется тратить время на подчиненных для того, чтобы помочь им понять и самим поучаствовать в процессе обучения.
Тренинг следует делать в рабочее время. Это стоит помнить и при ознакомлении со всеми положениями организации, новых сотрудников.
Сотрудники организации, которые получили повышение, должны пройти тренинг еще раз в соответствии с их новыми должностными обязанностями.
Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социального инжиниринга, включает:
3.2 Методика противодействия социальному инжинирингу
Необходимые действия и меры соблюдения правил. Для защиты организаций и их сотрудников следует применять комплексные многоуровневые системы безопасности. Ниже перечислены особенности и обязанности таких систем: