Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

·   оптовая торговля производственным электрическим и электронным оборудованием, включая оборудование электросвязи;

·   осуществление научно-технических, научно-исследовательских, технологических, конструкторских, опытно-конструкторских, информационных исследований и разработок, а так же тиражирование и разработка программного обеспечения и наукоемкой продукции с последующим внедрением в производство;

·   мониторинг охраняемых объектов по телерадиоканалам;

·   удаленный контроль состояния и местоположения объектов;

·   проектирование, монтаж и эксплуатационное обслуживание средств охранно-пожарной сигнализации;

·   проектирование, монтаж и обслуживание установок пожаротушения, систем противопожарного водоснабжения и дымоудаления;

·   монтаж, ремонт и обслуживание систем оповещения и эвакуации при пожаре;

·   проектирование систем и средств обеспечения пожарной безопасности зданий и сооружений;

·   тушение и разработка мероприятий по предотвращению пожаров;

·   иные виды деятельности в соответствии с действующим законодательством Российской Федерации [10, с. 2-3].

Основной деятельностью  организации является установка  и обслуживание программно-аппаратного  комплекса «Стрелец-Мониторинг» (ПАК  «Стрелец-Мониторинг), осуществляющего  вывод сигнала по радиоканалу, на специально выделенной для этого  частоте МЧС, о пожаре в автоматическом режиме (без участия человека) в  единую дежурно-диспетчерскую службу (ЕДДС), оповещение хозоргана и пожарные службы, на следующих объектах:

1. Детские дошкольные образовательные учреждения.

2. Специализированные дома престарелых и инвалидов (неквартирные).

3. Больницы.

4. Спальные корпуса образовательных учреждений интернатного типа и детских учреждений.

5. Гостиницы.

6. Общежития.

7. Спальные корпуса санаториев.

8. Спальные корпуса домов отдыха общего типа.

9. Кемпинги.

10.  Мотели.

11.  Пансионаты.

12.  Общеобразовательные учреждения.

13.  Образовательные учреждения дополнительного образования детей.

14.  Образовательные учреждения начального профессионального образования.

15.  Образовательные учреждения среднего профессионального образования.

16.  Образовательные учреждения высшего профессионального образования.

17.  Образовательные учреждения дополнительного профессионального образования (повышения квалификации) специалистов [6].

18.  Коммерческие организации.

Данное оборудование производит ЗАО «Аргус-Спектр» (г. Санкт-Петербург), оно было принято на вооружение МЧС  России «Приказом от 28.12.2009 № 743 «О принятии на снабжение в системе МЧС  России программно-аппаратного комплекса  системы мониторинга, обработки  и передачи данных о параметрах возгорания, угрозах и рисках развития крупных  пожаров в сложных зданиях  и сооружениях с массовым пребыванием  людей, в том числе в высотных зданиях» [5].

После монтажа данного  программно-аппаратного комплекса, организация занимается мониторингом всех сигналов, приходящих с объектов, а так же техническим обслуживанием  оборудования.

Башкортостанское региональное отделение Общероссийской общественной организации «Всероссийское добровольное пожарное общество» (БРО ООО «ВДПО») зарегистрировано Федеральной регистрационной  службой 19 декабря 2007 года, действует  на основании устава Общероссийской общественной организации «Всероссийское добровольное пожарное общество».

Основные задачи – содействие разработке и реализации государственной  политики, целевых и иных программ и проектов, совершенствованию законодательства и нормативно-правовой базы в сфере  пожарной безопасности и защиты от чрезвычайных ситуаций.

Организация имеет право  заниматься следующими видами деятельности:

·   монтаж, ремонт и обслуживание установок пожаротушения;

·   монтаж, ремонт и обслуживание установок пожарной и охранно-пожарной сигнализации;

·   монтаж, ремонт и обслуживание систем противопожарного водоснабжения;

·   монтаж, ремонт и обслуживание систем дымоудаления;

·   монтаж, ремонт и обслуживание систем оповещения и эвакуации при пожаре;

·   монтаж, ремонт и обслуживание противопожарных занавесов и завес;

·  монтаж, ремонт и обслуживание заполнений проемов в противопожарных преградах;

·   производство работ по огнезащите материалов, изделий и конструкций;

·   монтаж, ремонт и обслуживание первичных средств пожаротушения;

·   осуществление трубо-печных работ [9, с. 2-3].

На основании лицензии Управления по контролю и надзору  в сфере образования при Министерстве образования Республики Башкортостан от 26 мая 2010 года, БРО ООО «ВДПО» имеет  право осуществления образовательной  деятельности по следующим образовательным  программам: обучение мерам пожарной безопасности (пожарно-технический  минимум; противопожарный инструктаж).

Организации, помимо Уфы, имеют  филиалы и организации подрядчиков  в следующих населенных пунктах  Республики Башкортостан:

1. Агидель.

2. Акъяр.

3. Баймак.

4. Белебей.

5. Белорецк.

6. Бижбуляк.

7. Бирск.

8. Благовещенск.

9. Бураево.

10. Дюртюли.

11. Исянгулово.

12. Ишимбай.

13. Красноусольск.

14. Кумертау.

15. Месягутово.

16. Мишкино.

17. Нефтекамск.

18. Новобелокатай.

19. Раевский.

20. Салават.

21. Сибай.

22. Стерлибашево.

23. Стерлитамак.

24. Туймазы.

25. Учалы.

26. Федоровка.

27. Чишмы.

28. Янаул.

Суммарный штат сотрудников  составляет – 221 человек.

Организации работают в сотрудничестве с таким органами, как:

1. МЧС РФ по РБ.

2. ЗАО «Аргус-Спектр» (г. Санкт-Петербург».

3. Министерство жилищно-коммунального хозяйства по РБ.

4. Министерство здравоохранения по РБ.

5. Министерство образования по РБ.

6. Централизованная бухгалтерия муниципальных учреждений по РБ.

7. Централизованная бухгалтерия здравоохранения по РБ.

8. ООО «РОССПАС». 

 

 

 

2.2 Выявление уязвимостей  и оценка рисков

Для того чтобы произвести выявление уязвимостей в организациях, необходимо понять, какая информация обрабатывается. А информация обрабатывается следующего типа:

1. Персональные данные собственников и руководящего состава социально-значимых и других объектов.

2. Банковские реквизиты объектов.

3. Описания объектов, с полным перечислением технических характеристик строений и уязвимых мест.

4. Схемы и документация охранно-пожарных сигнализаций.

5. Схемы подъездных территорий, расположений пожарных гидрантов, поэтажные планы строений.

Каждый вид информации может служить социальным инженерам  для извлечения какой-либо выгоды, или  для использования в определенных целях (например: терроризм).

В связи с тем, что обрабатывается большой массив информации о социально-значимых, медицинских, образовательных и  коммерческих объектах, то к подобной базе данных имеет доступ большое  количество сотрудников, которые потенциально могут быть подвержены социальным атакам, что может привести к разглашению  конфиденциальной информации, в том  числе: персональных данных, коммерческой тайны и другой служебной информации.

Осознав всю широту спектра  существующих угроз, необходимо было выполнить  три действия для создания системы  защиты сотрудников от угроз, связанных  с использованием социального инжиниринга. Необходимо помнить, что эффективность  защиты во многом определяется во время  ее планирования. Чтобы не допустить  угроз, было выполнено три следующих  действия:

1. Разработаны стратегии управления обеспечением безопасности. Были определены задачи защиты от угроз, связанных с социальным инжинирингом и назначены сотрудники, отвечающие за их выполнение.

2. Оценка риска. Была проанализирована каждая угроза и определена, насколько она опасна для организации.

3. Интеграция принципов защиты от атак социальных инженеров в политики безопасности. Были разработаны и задокументированы политики и процедуры, которые  регламентируют действия сотрудников в ситуациях, которые могут оказаться атаками социальных инженеров.

Стратегия управления обеспечением безопасности дает общее представление  об угрозах социального инжиниринга, которым подвергается организация, и определены сотрудники, отвечающие за разработку политик и процедур, блокирующих эти угрозы:

1. Куратор по безопасности - руководитель высшего звена (уровня совета директоров), который следит за тем, чтобы все сотрудники относились к обеспечению безопасности серьезно, и обладает необходимым для этого авторитетом.

2. Администратор по безопасности - руководитель, который отвечает за организацию разработки политик безопасности и их обновление в соответствии с изменениями требований.

3. Администратор по безопасности IT-систем - технический специалист, который отвечает за разработку политик и процедур обеспечения безопасности IT-инфраструктуры и операций.

4. Администратор по безопасности на объекте - член группы, обслуживающей здание, который отвечает за разработку политик и процедур обеспечения безопасности на объекте.

5. Администратор по информированию сотрудников о способах обеспечения безопасности - руководящий сотрудник (из отдела кадров), который отвечает за разработку и проведение кампаний по информированию сотрудников об угрозах и способах защиты от них.

Сотрудники, выполняющие  эти роли, формируют руководящий  комитет по обеспечению безопасности, который определяет главные цели стратегии управления обеспечением безопасности. Связано это с тем, что без определения целей, будет  сложно привлекать к участию в  проектах по обеспечению безопасности других сотрудников и оценивать  результаты таких проектов. Первой задачей, которая была выполнена  руководящим комитетом по обеспечению  безопасности, является обнаружение  в корпоративной среде уязвимостей, делающих возможными атаки социальных инженеров. Для быстрого получения  представления о возможных векторах атак, была использована таблица 2:

Таблица 2 Уязвимости корпоративной среды, допускающие  проведение атак, основанных на методах  социального инжиниринга

Направление атаки	Нынешнее положение  дел	Комментарии
Сетевые атаки
Электронная почта	На компьютерах всех сотрудников  установлена программа Microsoft Outlook	У каждого сотрудника свой свой электронный ящик, что не дает доступность контроля за входящей почтой
Интернет	Сотрудники используют интернет в рабочих и личных целях	Пользование интернетом в  личных целях усугубляет положение  не возможностью контроля за действиями сотрудников
Всплывающие приложения		На текущий момент никакие  технические средства защиты от всплывающих  приложений в организации не используются
Служба мгновенного обмена сообщениями	Принятые в организации  методики работы допускают неконтролируемое использование различных систем мгновенного обмена сообщениями
Телефонные атаки
Корпоративная телефонная станция	Телефоны используются без  определителя внутренних и внешних  номеров
Служба поддержки	В настоящее время функции  «службы поддержки» бессистемно  выполняет технический отдел.	Процессы оказания услуг  поддержки необходимо сделать системными
Поиск информации в мусоре
Внутренний мусор	Каждое отделение избавляется  от собственного мусора самостоятельно
Внешний мусор	Мусорные контейнеры располагаются  на территории организации. Вывоз мусора осуществляется по четвергам

Продолжение таблицы 2

Направление атаки	Нынешнее положение  дел	Комментарии
Личностные подходы
Физическая безопасность
Безопасность офисов	Все офисы остаются незапертыми  в течение всего рабочего дня
Сотрудники, работающие дома	Письменные стандарты  обеспечения безопасности систем сотрудников, работающих дома, отсутствуют.
Другие направления  атак и уязвимости, специфические  для компании
Подрядчики, работающие на объектах организации		Нет никакой информации о  ее сотрудниках и не приняты для  них политики безопасности

После основательного понимания  имеющихся уязвимостей, была составлена таблица уязвимостей корпоративной  среды, допускающих проведение атак, основанных на методах социального  инжиниринга. В этой таблице описаны  рабочие процессы организации в  потенциально уязвимых областях. Информация об уязвимостях позволила членам руководящего комитета разработать  предварительные варианты требований, которые должны быть включены в политики безопасности (ПБ).

Сначала были определены области, которые могут подвергнуть организацию  риску. Выполняя эту задачу, было необходимым  учесть все направления атак, описанных  в данном документе

При разработке мер по обеспечению  безопасности всегда нужно оценить  уровень риска, которому подвергается организация при различных атаках. Опираясь на информацию о главных  элементах стратегии управления обеспечением безопасности, определенных руководящим комитетом по обеспечению  безопасности, были сгруппированы факторы  риска в категории и назначены  их приоритеты. Ниже перечислены категории  риска:

·   утечка конфиденциальной информации (УКИ);

·   урон репутации организации (УРО);

·   снижение работоспособности организации (СРО);

·   трата ресурсов (ТР);

·   финансовые потери (ФП).

Используя таблицу уязвимостей  корпоративной среды, допускающих  проведение атак социальных инженеров, руководящим комитетом по обеспечению  безопасности были определены для организации  требования политик безопасности, типы и уровни риска. При этом была использована таблица 3.

Таблица 3 Форма  для определения требований к  обеспечению безопасности и оценки факторов риска

Направление атаки	Возможные требования политик	Тип риска	Уровень риска:	Действие
	Изложить ПБ защиты от угроз, основанных на методах социального  инжиниринга, в письменной форме
	Внести пункт о необходимости  соблюдения ПБ в стандартный контракт с сотрудником
	Внести пункт о необходимости  соблюдения ПБ в стандартный контракт с подрядчиком
Сетевые атаки
Электронная почта	Принять ПБ, регламентирующую действия сотрудников при получении  вложений конкретных типов	УКИ УРО ФП	3	Разработана ПБ использования  электронной почты, создан единый почтовый клиент-сервек
Интернет	Принять ПБ, регламентирующую использование интернета	УКИ СРО ТР ФП	4	Разработана политика использования  интернета
Всплывающие приложения	Включить в политику использования  интернета явные указания по поводу того, что следует делать при появлении  всплывающих диалоговых окон	УКИ ТР ФП	3	Разработана политика использования  компьютеров