[ Pobierz całość w formacie PDF ]
.Uwagi.Celem tej instrukcji jest wyeliminowanie kont, które nie są już uży-wane, ponieważ stają się one częstym celem ataków hakerów.Proces ten za-pewnia, że jakiekolwiek konta należące do byłych pracowników lub współ-pracowników firmy, które przez niedopatrzenie pozostały w systemie, ule-gną automatycznej dezaktywacji.3183197.8.Wydziałowe adresy e-mailInstrukcja.Dział informatyki musi ustalić ogólny adres e-mail dla każdegowydziału w ramach organizacji, który zwykle wykorzystywany jest do ko-munikowania się ze światem zewnętrznym.Uwagi.Ogólny adres e-mail może być podawany przez recepcjonistkę przeztelefon lub umieszczany na witrynie internetowej firmy.Pracownicy powin-ni podawać swoje indywidualne adresy e-mail tylko wtedy, gdy jest to ko-nieczne.W ramach pierwszej fazy ataku socjotechnicznego napastnik często starasię uzyskać numery telefonów, nazwiska lub informacje o stanowisku pra-cowników.W większości przypadków informacje te są dostępne dla ogółuna stronie internetowej lub są udzielane przez telefon.Tworzenie ogólnychskrzynek poczty głosowej i elektronicznej utrudnia skojarzenie nazwisk pra-cowników z konkretnymi wydziałami i obowiązkami.7.9.Informacje kontaktowe podczas rejestracji domenInstrukcja.Podczas rejestracji domen internetowych informacje kontakto-we personelu administracyjnego czy technicznego nie powinny wskazywaćnazwisk konkretnych osób, a zamiast tego podawać listę adresów ogólnychskrzynek e-mail i numer telefonu do centrali firmy.Uwagi.Celem tej instrukcji jest zapobieżenie wykorzystaniu informacjikontaktowych przez hakera.Kiedy w informacjach kontaktowych wymie-nione są nazwiska osób i ich numery telefonów, intruz może próbować zma-nipulować którąś z tych osób, wyłudzając od niej informację lub nakłaniającją do wykonania czynności, która pomoże mu osiągnąć zamierzony cel.So-cjotechnik może też podawać się za osobę wymienioną z nazwiska, oszuku-jąc w ten sposób personel firmy.Zamiast adresu e-mail indywidualnego pracownika, informacje kontakto-we powinny zawierać adresy w formie np.administrator@firma.com.pl.Per-sonel działu telekomunikacji może ustanowić ogólną skrzynkę poczty głoso-wej na potrzeby kontaktów w sprawach techniczno-administracyjnych, abyograniczyć zakres ujawnianych informacji, które mogą przydać się socjo-technikowi.3203217.10.Instalacja aktualizacji systemów operacyjnych i zabezpieczeńInstrukcja.Wszelkie aktualizacje systemu operacyjnego i używanych apli-kacji powinny być instalowane, gdy tylko się pojawią.Jeżeli instrukcja ta ko-liduje z działaniem krytycznych systemów produkcyjnych, aktualizacje po-winny być dokonane, kiedy tylko pojawi się taka możliwość.Uwagi.Po wykryciu luki w systemie należy natychmiast skontaktować sięz jego producentem, by dowiedzieć się, czy została udostępniona nakładkałatająca tę lukę.Nie zaktualizowany system stanowi jedno z największychzagrożeń bezpieczeństwa w przedsiębiorstwie.Jeżeli administrator systemuzwleka z instalacją koniecznych aktualizacji, zostawia otwarte drzwi dla ha-kerów.Dziesiątki informacji o lukach w systemach są identyfikowane i publi-kowane każdego tygodnia w Internecie.Jeżeli personel informatyczny fir-my nie trzyma ręki na pulsie i nie pilnuje jak najsprawniejszej bieżącej ak-tualizacji systemu, niezależnie od jego rodzaju, bezpieczeństwo sieci firmo-wej zawsze będzie zagrożone.Bycie na bieżąco z publikowanymi informacja-mi o lukach w zabezpieczeniach systemów operacyjnych i wszelkich aplika-cji będących w codziennym użyciu firmy jest niezwykle istotne.7.11.Informacje kontaktowe na witrynach internetowychInstrukcja.Zewnętrzna witryna internetowa firmy nie powinna ujawniaćżadnych szczegółów dotyczących struktury firmy ani wymieniać nazwiskpracowników.Uwagi.Informacje o strukturze firmy, np.struktura organizacyjna, struk-tura podległości, listy pracowników, struktura raportowania, nazwiska, sta-nowiska, wewnętrzne numery kontaktowe, numery pracowników itp.niepowinny być udostępniane na zewnętrznej witrynie internetowej.Hakerzy często uzyskują wiele użytecznych informacji na stronach firm,które zamierzają zaatakować.Napastnik używa tych informacji, podając sięza obeznanego w sprawach firmy pracownika i starają się za ich pomocą zy-skać zaufanie rozmówcy.Oprócz tego napastnik może przeanalizować te in-formacje, aby odszukać osoby, które warto zaatakować, ponieważ mogą po-siadać dostęp do cennych informacji.3203217.12.Tworzenie kont uprzywilejowanychInstrukcja.Zabrania się tworzenia uprzywilejowanych kont lub udzielaniaprzywilejów systemowych na którymkolwiek z kont bez autoryzacji admi-nistratora lub osoby zarządzającej systemem.Uwagi.Hakerzy często podają się za dostawców oprogramowania lubsprzętu, próbując oszukać personel informatyczny i nakłonić do stworzenianowych kont.Celem tej instrukcji jest zablokowanie takich ataków, poprzezustanowienie większej kontroli nad tworzeniem kont uprzywilejowanych.Administrator musi zatwierdzić każdą prośbę o utworzenie konta z przywi-lejami systemowymi.7.13.Konta dla gościInstrukcja.Konta dla gości powinny zostać zlikwidowane we wszystkichsystemach komputerowych i urządzeniach sieciowych, poza zaaprobowa-nym przez kierownictwo serwerem FTP, umożliwiającym dostęp anonimo-wy.Uwagi.Konta dla gości są tworzone, aby umożliwić tymczasowy dostęp dosystemu osobom, które nie muszą posiadać własnych kont.Kilka systemówoperacyjnych instaluje się domyślnie z włączonymi kontami dla gości.Kon-ta te powinny być zawsze wyłączane, ponieważ uniemożliwiają one jakąkol-wiek identyfikację użytkownika.Informatycy muszą mieć możliwość prze-śledzenia każdej operacji wykonanej na komputerze w powiązaniu z kon-kretnym użytkownikiem.Socjotechnicy są w stanie w prosty sposób wykorzystać konta dla gości,aby uzyskać dostęp do systemu.7.14.Szyfrowanie kopii zapasowych przechowywanych na zewnątrzInstrukcja.Wszelkie dane przechowywane przez firmę na zewnątrz powin-ny być zaszyfrowane, aby uniemożliwić dostęp do nich osobom nieupoważ-nionym.Uwagi.Personel odpowiedzialny za szyfrowanie musi się upewnić, czy daneda się przywrócić na wypadek, gdyby okazały się potrzebne.Wymaga to re-gularnych testów polegających na odszyfrowywaniu wybranych fragmen-tów zaszyfrowanych plików i upewnianiu się, czy można je odzyskać.Pozatym klucze stosowane do szyfrowania danych powinny być powierzone za-ufanemu kierownikowi na wypadek ich utraty lub zniszczenia.3223237.15.Dostęp dla gości do portów sieciInstrukcja [ Pobierz całość w formacie PDF ]
zanotowane.pl doc.pisz.pl pdf.pisz.pl milosnikstop.keep.pl
.Uwagi.Celem tej instrukcji jest wyeliminowanie kont, które nie są już uży-wane, ponieważ stają się one częstym celem ataków hakerów.Proces ten za-pewnia, że jakiekolwiek konta należące do byłych pracowników lub współ-pracowników firmy, które przez niedopatrzenie pozostały w systemie, ule-gną automatycznej dezaktywacji.3183197.8.Wydziałowe adresy e-mailInstrukcja.Dział informatyki musi ustalić ogólny adres e-mail dla każdegowydziału w ramach organizacji, który zwykle wykorzystywany jest do ko-munikowania się ze światem zewnętrznym.Uwagi.Ogólny adres e-mail może być podawany przez recepcjonistkę przeztelefon lub umieszczany na witrynie internetowej firmy.Pracownicy powin-ni podawać swoje indywidualne adresy e-mail tylko wtedy, gdy jest to ko-nieczne.W ramach pierwszej fazy ataku socjotechnicznego napastnik często starasię uzyskać numery telefonów, nazwiska lub informacje o stanowisku pra-cowników.W większości przypadków informacje te są dostępne dla ogółuna stronie internetowej lub są udzielane przez telefon.Tworzenie ogólnychskrzynek poczty głosowej i elektronicznej utrudnia skojarzenie nazwisk pra-cowników z konkretnymi wydziałami i obowiązkami.7.9.Informacje kontaktowe podczas rejestracji domenInstrukcja.Podczas rejestracji domen internetowych informacje kontakto-we personelu administracyjnego czy technicznego nie powinny wskazywaćnazwisk konkretnych osób, a zamiast tego podawać listę adresów ogólnychskrzynek e-mail i numer telefonu do centrali firmy.Uwagi.Celem tej instrukcji jest zapobieżenie wykorzystaniu informacjikontaktowych przez hakera.Kiedy w informacjach kontaktowych wymie-nione są nazwiska osób i ich numery telefonów, intruz może próbować zma-nipulować którąś z tych osób, wyłudzając od niej informację lub nakłaniającją do wykonania czynności, która pomoże mu osiągnąć zamierzony cel.So-cjotechnik może też podawać się za osobę wymienioną z nazwiska, oszuku-jąc w ten sposób personel firmy.Zamiast adresu e-mail indywidualnego pracownika, informacje kontakto-we powinny zawierać adresy w formie np.administrator@firma.com.pl.Per-sonel działu telekomunikacji może ustanowić ogólną skrzynkę poczty głoso-wej na potrzeby kontaktów w sprawach techniczno-administracyjnych, abyograniczyć zakres ujawnianych informacji, które mogą przydać się socjo-technikowi.3203217.10.Instalacja aktualizacji systemów operacyjnych i zabezpieczeńInstrukcja.Wszelkie aktualizacje systemu operacyjnego i używanych apli-kacji powinny być instalowane, gdy tylko się pojawią.Jeżeli instrukcja ta ko-liduje z działaniem krytycznych systemów produkcyjnych, aktualizacje po-winny być dokonane, kiedy tylko pojawi się taka możliwość.Uwagi.Po wykryciu luki w systemie należy natychmiast skontaktować sięz jego producentem, by dowiedzieć się, czy została udostępniona nakładkałatająca tę lukę.Nie zaktualizowany system stanowi jedno z największychzagrożeń bezpieczeństwa w przedsiębiorstwie.Jeżeli administrator systemuzwleka z instalacją koniecznych aktualizacji, zostawia otwarte drzwi dla ha-kerów.Dziesiątki informacji o lukach w systemach są identyfikowane i publi-kowane każdego tygodnia w Internecie.Jeżeli personel informatyczny fir-my nie trzyma ręki na pulsie i nie pilnuje jak najsprawniejszej bieżącej ak-tualizacji systemu, niezależnie od jego rodzaju, bezpieczeństwo sieci firmo-wej zawsze będzie zagrożone.Bycie na bieżąco z publikowanymi informacja-mi o lukach w zabezpieczeniach systemów operacyjnych i wszelkich aplika-cji będących w codziennym użyciu firmy jest niezwykle istotne.7.11.Informacje kontaktowe na witrynach internetowychInstrukcja.Zewnętrzna witryna internetowa firmy nie powinna ujawniaćżadnych szczegółów dotyczących struktury firmy ani wymieniać nazwiskpracowników.Uwagi.Informacje o strukturze firmy, np.struktura organizacyjna, struk-tura podległości, listy pracowników, struktura raportowania, nazwiska, sta-nowiska, wewnętrzne numery kontaktowe, numery pracowników itp.niepowinny być udostępniane na zewnętrznej witrynie internetowej.Hakerzy często uzyskują wiele użytecznych informacji na stronach firm,które zamierzają zaatakować.Napastnik używa tych informacji, podając sięza obeznanego w sprawach firmy pracownika i starają się za ich pomocą zy-skać zaufanie rozmówcy.Oprócz tego napastnik może przeanalizować te in-formacje, aby odszukać osoby, które warto zaatakować, ponieważ mogą po-siadać dostęp do cennych informacji.3203217.12.Tworzenie kont uprzywilejowanychInstrukcja.Zabrania się tworzenia uprzywilejowanych kont lub udzielaniaprzywilejów systemowych na którymkolwiek z kont bez autoryzacji admi-nistratora lub osoby zarządzającej systemem.Uwagi.Hakerzy często podają się za dostawców oprogramowania lubsprzętu, próbując oszukać personel informatyczny i nakłonić do stworzenianowych kont.Celem tej instrukcji jest zablokowanie takich ataków, poprzezustanowienie większej kontroli nad tworzeniem kont uprzywilejowanych.Administrator musi zatwierdzić każdą prośbę o utworzenie konta z przywi-lejami systemowymi.7.13.Konta dla gościInstrukcja.Konta dla gości powinny zostać zlikwidowane we wszystkichsystemach komputerowych i urządzeniach sieciowych, poza zaaprobowa-nym przez kierownictwo serwerem FTP, umożliwiającym dostęp anonimo-wy.Uwagi.Konta dla gości są tworzone, aby umożliwić tymczasowy dostęp dosystemu osobom, które nie muszą posiadać własnych kont.Kilka systemówoperacyjnych instaluje się domyślnie z włączonymi kontami dla gości.Kon-ta te powinny być zawsze wyłączane, ponieważ uniemożliwiają one jakąkol-wiek identyfikację użytkownika.Informatycy muszą mieć możliwość prze-śledzenia każdej operacji wykonanej na komputerze w powiązaniu z kon-kretnym użytkownikiem.Socjotechnicy są w stanie w prosty sposób wykorzystać konta dla gości,aby uzyskać dostęp do systemu.7.14.Szyfrowanie kopii zapasowych przechowywanych na zewnątrzInstrukcja.Wszelkie dane przechowywane przez firmę na zewnątrz powin-ny być zaszyfrowane, aby uniemożliwić dostęp do nich osobom nieupoważ-nionym.Uwagi.Personel odpowiedzialny za szyfrowanie musi się upewnić, czy daneda się przywrócić na wypadek, gdyby okazały się potrzebne.Wymaga to re-gularnych testów polegających na odszyfrowywaniu wybranych fragmen-tów zaszyfrowanych plików i upewnianiu się, czy można je odzyskać.Pozatym klucze stosowane do szyfrowania danych powinny być powierzone za-ufanemu kierownikowi na wypadek ich utraty lub zniszczenia.3223237.15.Dostęp dla gości do portów sieciInstrukcja [ Pobierz całość w formacie PDF ]