Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Работа с персоналом по вопросам ИБ

Придя в компанию, где отсутствуют (в качестве самостоятельных) процессы обеспечения ИБ, а также подразделение ИБ (или специально выделенные работники), отвечающее за эти процессы, можно наблюдать примерно следующую картину.

Основные элементы обеспечения информационной безопасности реализуют обычно работники службы автоматизации. Возможности доступа и использования сотрудниками информационных технологий и ресурсов предприятия характеризуются такими чертами, как:

- аутентификация персонала в информационных системах осуществляется с помощью пользовательских паролей;

- открытие нового (дополнительного) доступа пользователей к информационным ресурсам происходит по указаниям руководителей разного уровня, не согласованных со службами безопасности;

- минимизируется количество ролей в ИТ-службах в целях упрощения работы администраторов;

- ресурсы сети Интернет используются практически бесконтрольно и в значительной степени вне связи с выполнением служебных обязанностей;

- на рабочих станциях работников, имеющих неограниченный доступ в Интернет, присутствует шпионское ПО, которое отправляет конфиденциальные данные пользователей за пределы организации;

- практически бесконтрольно используются почтовые сервисы сети Интернет и корпоративной электронной почты;

- завышены возможности пользователей реализовывать на своих рабочих станциях (а иногда и на сетевых ресурсах) различные несанкционированные сценарии (запуск приложений, изменение настроек, использование портов для подключения внешних запоминающих устройств, использование беспроводных технологий и т. д.).

Работники могут, зачастую неосознанно, отдавать внешним структурам и лицам информацию, не подлежащую распространению. Политика "чистого стола", как правило, не выполняется - на столах персонала в открытом доступе может находиться конфиденциальная информация в бумажном и электронном виде. В помещения, где работают ИТ-специалисты, может практически бесконтрольно заходить вспомогательный персонал (а иногда и посторонние лица), не имеющий отношения к автоматизированным системам - уборщицы, специалисты по системам жизнедеятельности (отопления, кондиционирования, электропитания и т. д.).

Сотрудники имеют весьма туманное представление о методах социальной инженерии, с помощью которых злоумышленники узнают у них конфиденциальную информацию, ослабляющую или полностью ликвидирующую ИБ.

Методика использования парольной защиты часто основывается на генерации пользовательских паролей работниками ИТ с применением датчиков случайных чисел. Затем эти пароли сообщаются пользователям для работы. Подобная практика приводит к тому, что пароли никогда не меняются, и пользователи записывают их где-нибудь в доступном месте, так как запомнить их практически невозможно.Продолжение читайте в печатной версии журнала

Главная страница / Архитектура отрасли