Проблема разработки комплекса мер по противодействию атакам направления «социальная инженерия» | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №46 (232) ноябрь 2018 г.

Дата публикации: 19.11.2018

Статья просмотрена: 359 раз

Библиографическое описание:

Лисичкин, А. Р. Проблема разработки комплекса мер по противодействию атакам направления «социальная инженерия» / А. Р. Лисичкин, Д. С. Булгакова. — Текст : непосредственный // Молодой ученый. — 2018. — № 46 (232). — С. 20-22. — URL: https://moluch.ru/archive/232/53863/ (дата обращения: 18.12.2024).



В данной статье рассматривается вопрос разработки комплексного решения задачи по противодействию атакам по вектору «Социальная инженерия» и возможные сложности, с которыми придется столкнуться в процессе работы.

Ключевые слова: информационная безопасность, социальная инженерия, информационная система, обучение персонала, знание, информация, сотрудник.

This article discusses the issue of developing a comprehensive solution to the problem of countering attacks on the Social Engineering vector and the possible difficulties that will have to be encountered in the process.

Keywords: information security, social engineering, information system, personnel training, knowledge, information, employee.

Социальная инженерия — один из наиболее опасных и актуальных векторов атак на информационные системы в наши дни, поскольку использует для проникновения самый уязвимый компонент — персонал. Программные и аппаратные средства защиты и обработки информации модернизируются каждый день, а скриптам (от англ. «script», в психоанализе — автоматизированные формы поведения, сложившиеся прижизненно, избавляющие от необходимости сознательно рассчитывать каждый шаг) [1, с. 10], по которым работает человеческая психология, уже несколько тысяч лет. Они остаются неизменными, и злоумышленники давно научились ими пользоваться. Знание этих скриптов позволяет социальному инженеру проникать в самые защищенные информационные системы, исключительно посредством влияния на персонал, не обладая при этом большим объемом технических знаний и умений.

Т. к. социальная инженерия подразумевает взлом информационной системы в обход технических средств защиты информации, то бороться с такими атаками можно лишь административными мерами. Однако зачастую в организациях административным мерам защиты информации, таким как разработка инструкций, политик, обучение персонала уделяется недостаточно внимания. Как итог, даже при наличии самых надежных аппаратно-программных средств защиты информации, информационные активы таких организаций находятся под угрозой. Для вышеописанной ситуации, когда сценарий информационной безопасности строится таким образом, что внешняя граница прочна и надежна, но внутренняя инфраструктура слаба, исследователями из Bell Labs Стивом Белловином и Стивеном Чесвиком был введен термин «Candy security» [2, с. 18]. Чтобы не допустить такой ситуации, специалисты по информационной безопасности должны обеспечивать как введение современных аппаратно-программных средств, так и разрабатывать и вводить организационные меры обеспечения информационной безопасности.

Какие же меры необходимо применить для защиты активов организации от атак социальных инженеров? Во-первых, это обучение персонала. Большинство пользователей информационных систем не обладают достаточными знаниями в области информационных технологий и не понимают, как работает эксплуатируемая ими система, какую реально ценностью обладает известная им информация и как правильно с ней работать, какие угрозы информационной безопасности существуют и как им противостоять. Эту информацию до рядовых пользователей должен доводить специалист по информационной безопасности, проводя для них различные семинары, инструктажи и тренинги. При этом обучение должно иметь периодический характер, чтобы пользователи не забывали представленную им информацию и постоянно обновляли знания в данной области.

Во-вторых, должен быть проработан набор внутрикорпоративных нормативных актов и документов (инструкций, политик) по правильной работе с информацией и противодействию социальной инженерии. Как правило, на каждую задачу выпускается отдельный документ и одного нормативного акта, который будет доведен до всех сотрудников, должно быть достаточно. Однако есть ряд нюансов. В первую очередь стоит помнить о том, что все сотрудники в силу исполняемых обязанностей и занимаемых должностей имеют доступ к разному уровню информации. Также есть сложности в проектировании содержания таких актов: как писал известный специалист в области информационной безопасности Кевин Митник: «…легко создать правила из разряда «Никогда не…», но могут возникнуть рабочие моменты, при которых из этих правил понадобятся исключения» [2, с 50]. Можно лишь добавить, что порядок действий, производимых при таких исключениях, должен быть также четко регламентирован.

Для защиты информационных активов компании также необходимо использовать упоминаемое выше разграничение прав доступа сотрудников. Да, казалось бы, парадоксально: то, что усложняет процесс разработки нормативных актов в области информационной безопасности компании, применяется для повышения уровня этой самой безопасности. Но это необходимая мера. В компании циркулирует огромное количество различной информации, и нет никакой необходимости в том, чтобы любой сотрудник имел доступ к ней в полном объеме. Права сотрудников в информационной системе настраиваются таким образом, чтобы пользователь имел доступ лишь к той информации, которая ему необходима для выполнения его служебных обязанностей. Такое разграничение позволяет сократить количество возможных утечек информации из компании.

Как можно заметить, создание комплекса мер по противодействию социальной инженерии — задача комплексная и нетривиальная. Заниматься ее решением должны подготовленные специалисты, регулярно актуализирующие свои знания и способные подготовить пользователей информационной системы к возможным угрозам.

Литература:

  1. Кузнецов М. В., Симдянов И. В. «Социальная инженерия и социальные хакеры». — Петербург: БХВ, 2007. — 368 с.
  2. Кевин Митник, Вильям Л. Саймон. «Искусство обмана». — Компания АйТи, 2004. — 360с.
Основные термины (генерируются автоматически): информационная безопасность, социальная инженерия, информационная система, обучение персонала, знание, информация, сотрудник.


Похожие статьи

Информационная безопасность и человеческий фактор

В статье рассмотрены основные способы нарушения информационной безопасности предприятия, связанные с непреднамеренными действиями сотрудников, их анализ, способы борьбы с ними.

Перспективные направления совершенствования системы мониторинга и прогнозирования ЧС

В статье автором рассматриваются ключевые направления развития системы мониторинга и прогнозирования чрезвычайных ситуаций. Особое внимание уделяется определению роли информационно-коммуникационных технологий в процессе мониторинга, а также вопросам ...

Научно-технический аспект принятия управленческих решений с учетом требований пожарной безопасности

Статья посвящена актуальным проблемам альтернативного выбора принятия управленческого решения требований пожарной безопасности на объектах социальной сферы.

Методический инструментарий исследования мотивационного развития персонала в сфере информационных технологий

Статья посвящена изучению развития сегмента рынка труда в сфере информационных технологий. В статье рассмотрены этапы развития отношений с персоналом, исследования мотиваций к повышению профессиональной и управленческой компетенции.

Стратегия развития организации в условиях угрозы ее экономической безопасности

В статье рассматривается важность и необходимость учета уровня экономической безопасности при разработке стратегии развития организации. Предложен подход к формированию стратегии развития предприятия на основе управления экономической безопасностью.

Технологии преподавания дисциплины «Безопасность жизнедеятельности» в педагогическом ВУЗе

В статье проанализированы вопросы, связанные с процессом изучения в педагогическом вузе дисциплины «Безопасность жизнедеятельности». Изложены истоки создания образовательной системы в области безопасности жизнедеятельности Рассмотрены актуальные аспе...

Вопросы развития профессиональной компетенции преподавателя вуза

В статье рассматриваются актуальные проблемы профессиональной компетентности преподавателей вуза и пути их решения.

К проблеме классификации и формирования понятий в области безопасности жизнедеятельности для школьников

Статья посвящена проблеме становления и классификации предметных понятий в области безопасности жизнедеятельности. На основе проведенного исследования выявлена и обоснована актуальность создания системы предметных понятий в школьном курсе «ОБЖ».

Методика предотвращения угроз информационной безопасности на предприятии

Актуальность выбранной темы обусловлена необходимостью совершенствования информационной безопасности на территории Российской Федерации.

Перспективы развития управления персоналом в удаленном режиме

В данной статье рассматривается система управления персоналом и особенности управления персоналом в процессе удаленной работы. В процессе перехода сотрудников на удаленный режим работы выявлены разные проблемы.

Похожие статьи

Информационная безопасность и человеческий фактор

В статье рассмотрены основные способы нарушения информационной безопасности предприятия, связанные с непреднамеренными действиями сотрудников, их анализ, способы борьбы с ними.

Перспективные направления совершенствования системы мониторинга и прогнозирования ЧС

В статье автором рассматриваются ключевые направления развития системы мониторинга и прогнозирования чрезвычайных ситуаций. Особое внимание уделяется определению роли информационно-коммуникационных технологий в процессе мониторинга, а также вопросам ...

Научно-технический аспект принятия управленческих решений с учетом требований пожарной безопасности

Статья посвящена актуальным проблемам альтернативного выбора принятия управленческого решения требований пожарной безопасности на объектах социальной сферы.

Методический инструментарий исследования мотивационного развития персонала в сфере информационных технологий

Статья посвящена изучению развития сегмента рынка труда в сфере информационных технологий. В статье рассмотрены этапы развития отношений с персоналом, исследования мотиваций к повышению профессиональной и управленческой компетенции.

Стратегия развития организации в условиях угрозы ее экономической безопасности

В статье рассматривается важность и необходимость учета уровня экономической безопасности при разработке стратегии развития организации. Предложен подход к формированию стратегии развития предприятия на основе управления экономической безопасностью.

Технологии преподавания дисциплины «Безопасность жизнедеятельности» в педагогическом ВУЗе

В статье проанализированы вопросы, связанные с процессом изучения в педагогическом вузе дисциплины «Безопасность жизнедеятельности». Изложены истоки создания образовательной системы в области безопасности жизнедеятельности Рассмотрены актуальные аспе...

Вопросы развития профессиональной компетенции преподавателя вуза

В статье рассматриваются актуальные проблемы профессиональной компетентности преподавателей вуза и пути их решения.

К проблеме классификации и формирования понятий в области безопасности жизнедеятельности для школьников

Статья посвящена проблеме становления и классификации предметных понятий в области безопасности жизнедеятельности. На основе проведенного исследования выявлена и обоснована актуальность создания системы предметных понятий в школьном курсе «ОБЖ».

Методика предотвращения угроз информационной безопасности на предприятии

Актуальность выбранной темы обусловлена необходимостью совершенствования информационной безопасности на территории Российской Федерации.

Перспективы развития управления персоналом в удаленном режиме

В данной статье рассматривается система управления персоналом и особенности управления персоналом в процессе удаленной работы. В процессе перехода сотрудников на удаленный режим работы выявлены разные проблемы.

Задать вопрос