Разработка методики противодействия социальному инжинирингу в организации (на примере Управления по обеспечению деятельности мировых судей Удмуртской Республики при Правительстве Удмуртской Республики)

Введение 3
ГЛАВА 1 ТЕОРЕТИЧЕСКИЕ И МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ 7
1.1 Цели социальной инженерии 10
1.2 Методы и типы атак 14
1.3 Известные социальные инженеры 25
ГЛАВА 2 АНАЛИЗ СОСТОЯНИЯ ИЗУЧАЕМОЙ ПРОБЛЕМЫ В ОРГАНИЗАЦИИ 26
2.1 Краткая характеристика организации 26
2.2 Выявление уязвимостей и оценка рисков 31
2.3 Принятые меры 43
ГЛАВА 3 РАЗРАБОТКА МЕТОДОВ ПРОТИВОДЕЙСТВИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ 48
3.1 Теоретические аспекты создания методологии противодействия 49
3.1.1 Создание обучающих и образовательных программ 49
3.1.2 Цели, структура и содержание методологии противодействия 54
3.2 Методы противодействия социальной инженерии 57
ЗАКЛЮЧЕНИЕ 67
СПИСОК ЛИТЕРАТУРЫ 69

Весь текст будет доступен после покупки

Использование компьютерных систем во всех сферах современной жизни, стремительное развитие сетевых технологий, помимо преимуществ, привели к возникновению большого количества специфических проблем. Одной из таких проблем является необходимость обеспечения эффективной защиты информации, что вызвано ростом правонарушений, связанных с кражей и несанкционированным доступом к данным, хранящимся в памяти компьютерных систем и передаваемым по линиям связи.
Сегодня компьютерные преступления происходят во всем мире и распространены во многих сферах человеческой деятельности. Эти преступления характеризуются высокой секретностью, сложностью сбора доказательств по установленным фактам их совершения и сложностью доказывания таких случаев в суде.
По данным зарубежных аналитиков, каждую неделю в мире регистрируется более 55 миллионов различных компьютерных взломов. Сумма ущерба, причиненного пользователям в результате хакерских атак, продолжает увеличиваться с каждым годом. К сожалению, даже такая угрожающая статистика не мешает огромному количеству компаний и пользователей персональных компьютеров (ПК) игнорировать любые правила компьютерной безопасности. По оценкам экспертов, только 1% офисных сотрудников в мире соблюдают корпоративные правила пользования персональным компьютером. Это обстоятельство приводит к возможности возникновения некоторых информационных угроз.

Весь текст будет доступен после покупки

ГЛАВА 1 ТЕОРЕТИЧЕСКИЕ И МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

Социальная инженерия - это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Основная цель социальных инженеров - получить доступ к защищенным системам с целью кражи информации, паролей, данных кредитных карт и т.д. Основное отличие от простого взлома заключается в том, что целью атаки выбирается человек, а не машина. Поэтому все методы и приемы социальных инженеров основаны на использовании слабых сторон человеческого фактора, который считается крайне опасным, поскольку злоумышленник получает информацию, например, с помощью обычного телефона или путем проникновения в организацию под видом сотрудника или другого лица.
Несмотря на то, что понятие "социальная инженерия" появилось относительно недавно, люди в какой-то степени используют эти методы с незапамятных времен, поскольку в основе лежит психология общения между людьми. Социальная инженерия появилась в мире вместе с первым сформировавшимся обществом, поскольку само слово "социальность" означает общественность, или гражданство. Суть социальной инженерии заключается в том, чтобы заставить человека совершить какое-то действие, которое ему не выгодно, но необходимо для социального инженера.
Социальная инженерия – это устоявшееся направление в хакерстве, и взлом компьютерных систем может осуществляться не только техническими методами, но и на уровне психологии.
Социальная инженерия сформировалась как отдельная часть прикладной психологии. Его обучают шпионы, секретные агенты. Все методы социальной инженерии основаны на особенностях человеческого принятия решений, называемых когнитивной основой.
Основные области применения социальной инженерии показаны на рисунке 1.

Рисунок 1 Основные области применения социальной инженерии
К счастью, подавляющее большинство социальных инженеров действуют по тем же или схожим шаблонам, поэтому изучение приемов их "работы" позволяет распознать обман и не выдавать секретную информацию.
Организации приобретают лучшие технологии безопасности, обучают и обучают сотрудников, нанимают охранников, но они по-прежнему остаются полностью уязвимыми.
Чем больше технологических уровней накапливается в организации, тем больше разнообразие этих уровней и, следовательно, тем сильнее должна быть защита сетей в организации. Однако организациям не всегда удается избежать неудач, потому что они упускают из виду внутренние проблемы. Даже очень надежно защищенная сеть может обойти очень простой и в то же время многогранный элемент – человеческий фактор.
Успешные злоумышленники чаще всего используют социальную инженерию и проводят атаку, манипулируя пользователями. По этой причине для бизнеса очень важно инвестировать время и деньги в подготовку, обучение и тестирование этого жизненно важного компонента безопасности.
Объяснение сущности социальной инженерии и, в частности, таких ее разновидностей, как гипноз и нейролингвистическое программирование (НЛП), заключается во взаимодействии сознания и подсознания. Люди верят, что принимают решения сознательно, но НЛП и гипноз уже давно продемонстрировали силу подсознания, а недавние исследования подтвердили, что подсознательное принятие решений иногда на 10 секунд опережает сознательное.
Это основано на технологиях, которые позволяют манипулировать людьми, чтобы заставить их совершать определенные действия и тем самым раскрывать конфиденциальную информацию.
Многие специалисты в области информационных технологий придерживаются неправильного представления о том, что они используют стандартные продукты безопасности: брандмауэры, системы обнаружения вторжений или серьезные устройства аутентификации, такие как биометрические смарт-карты. Кроме того, безопасность - это не технологическая проблема, это проблема людей и руководства.
Помимо технических методов защиты информации, необходима серьезная работа с персоналом, обучение сотрудников применению политики безопасности и приемам противостояния социальным инженерам – только в этом случае система информационной безопасности будет всеобъемлющей.

1.1 Цели социальной инженерии
Атака социального инженера делится на три этапа подготовки:
1. Определение точной цели (существует конкретное определение того, за какой информацией ведется охота и где она находится, более того, благодаря знанию точного местоположения информации на диске или на другом носителе, "операция" выполняется очень быстро, и как в результате никто не определяет такой доступ как НРД).
2. Сбор информации об объекте обработки (изучается жертва – это позволяет понять характер человека, его уязвимые места, привычки и т.д. Источником информации об объекте может служить практически все: анализ трафика, почта, даже денежные поступления).

Весь текст будет доступен после покупки

1. Гражданский кодекс Российской Федерации : офиц. текст : по состоянию на 1 мар. 2013 г. – М. : ЭЛИТ, 2013 г. – 321 с.
2. Об информации, информатизации и защите информации : ФЗ от 27 июл. 2006 г. №149-ФЗ // РГ – 2006. №4131. – 197 с.
3. Об утверждении Перечня сведений конфиденциального характера : Указ от 23 сен. 2005 г. №1111 // – РГ – 2006. №4531 – 3 с.
4. О защите коммерческой тайны : ФЗ от 29 июл. 2004 г. №98-ФЗ // ГАРАНТ – 2011. №3543. – 168 с.
5. Приказ МЧС России от 28.12.2009 года № 743 : офиц. текст – 3 с.
6. Технический регламент о требованиях пожарной безопасности : ФЗ от 22 июл. 2008 г. №123-ФЗ // РГ – 2008. №4720. – 140 с.
7. Трудовой кодекс Российской Федерации : офиц. текст : по состоянию на 19 мая 2013 г. – М. : ЭЛИТ, 2013 г. – 265 с.
8. Уголовный кодекс Российской Федерации : офиц. текст : по состоянию на 24 июл. 2009 г. – М. : ЭЛИТ, 2013 г. – 179 с.
9. Андреева Г. М. Социальная психология : учебник для вузов / Г. М. Андреева – М. : ЭЛИТ, 2003. – 270 с.
10. Баутов А. Экономический взгляд на проблемы информационной безопасности / А. Баутов // Открытые системы. – 2012. – № 2. – с. 12-23.
11. Большаков А. А. Основы обеспечения безопасности данных в компьютерных системах и сетях : учебник для вузов / А. А. Большаков, А. Б. Петpяев, В. В. Платонов – М. : РИЦ, 2008. – 528 с.

Весь текст будет доступен после покупки