Главная страница
Форум
Промиздат
Опережения рынка
Архитектура отрасли
Формирование
Тенденции
Промстроительство
Нефть и песок
О стали
Компрессор - подбор и ошибки
Из истории стандартизации резьб
Соперник ксерокса - гектограф
Новые технологии производства стали
Экспорт проволоки из России
Прогрессивная технологическая оснастка
Цитадель сварки с полувековой историей
Упрочнение пружин
Способы обогрева
Назначение, структура, характеристики анализаторов
Промышленные пылесосы
Штампованные гайки из пружинной стали
Консервация САУ
Стандарты и качество
Технология производства
Водород
Выбор материала для крепежных деталей
Токарный резец в миниатюре
Производство проволоки
Адгезия резины к металлокорду
Электролитическое фосфатирование проволоки
Восстановление корпусных деталей двигателей
Новая бескислотная технология производства проката
Синие кристаллы
Автоклав
Нормирование шумов связи
Газосварочный аппарат для тугоплавких припоев
|
Главная страница / Архитектура отрасли Работа с персоналом по вопросам ИБ Придя в компанию, где отсутствуют (в качестве самостоятельных) процессы обеспечения ИБ, а также подразделение ИБ (или специально выделенные работники), отвечающее за эти процессы, можно наблюдать примерно следующую картину. Основные элементы обеспечения информационной безопасности реализуют обычно работники службы автоматизации. Возможности доступа и использования сотрудниками информационных технологий и ресурсов предприятия характеризуются такими чертами, как: - аутентификация персонала в информационных системах осуществляется с помощью пользовательских паролей; - открытие нового (дополнительного) доступа пользователей к информационным ресурсам происходит по указаниям руководителей разного уровня, не согласованных со службами безопасности; - минимизируется количество ролей в ИТ-службах в целях упрощения работы администраторов; - ресурсы сети Интернет используются практически бесконтрольно и в значительной степени вне связи с выполнением служебных обязанностей; - на рабочих станциях работников, имеющих неограниченный доступ в Интернет, присутствует шпионское ПО, которое отправляет конфиденциальные данные пользователей за пределы организации; - практически бесконтрольно используются почтовые сервисы сети Интернет и корпоративной электронной почты; - завышены возможности пользователей реализовывать на своих рабочих станциях (а иногда и на сетевых ресурсах) различные несанкционированные сценарии (запуск приложений, изменение настроек, использование портов для подключения внешних запоминающих устройств, использование беспроводных технологий и т. д.). Работники могут, зачастую неосознанно, отдавать внешним структурам и лицам информацию, не подлежащую распространению. Политика "чистого стола", как правило, не выполняется - на столах персонала в открытом доступе может находиться конфиденциальная информация в бумажном и электронном виде. В помещения, где работают ИТ-специалисты, может практически бесконтрольно заходить вспомогательный персонал (а иногда и посторонние лица), не имеющий отношения к автоматизированным системам - уборщицы, специалисты по системам жизнедеятельности (отопления, кондиционирования, электропитания и т. д.). Сотрудники имеют весьма туманное представление о методах социальной инженерии, с помощью которых злоумышленники узнают у них конфиденциальную информацию, ослабляющую или полностью ликвидирующую ИБ. Методика использования парольной защиты часто основывается на генерации пользовательских паролей работниками ИТ с применением датчиков случайных чисел. Затем эти пароли сообщаются пользователям для работы. Подобная практика приводит к тому, что пароли никогда не меняются, и пользователи записывают их где-нибудь в доступном месте, так как запомнить их практически невозможно.Продолжение читайте в печатной версии журнала Главная страница / Архитектура отрасли |