Искусство обмана

         

Информация о внутренних системах


Правило: Операционисты, работающие с компьютером, не имеют права раскрывать служебную информацию, касающуюся корпоративных сетей, оборудования и систем без предварительной процедуры удостоверения личности запрашивающего информацию.

Аргументация и примечания: Системные процедуры установки соединения, местоположение или адреса точек доступа к беспроводной сети, телефонные номера dial-in

модемов – все это представляет реальную ценность для взломщика, который наверняка попытается выяснить параметры корпоративных систем через операционистов, пользующихся этими системами.

В компаниях, в которых имеется собственная техническая служба поддержки (справочная службу), все запросы, поступающие к операционистам, должны расцениваться, по меньшей мере, как исключительные. Все запросы на получение информации должны тщательным образом рассматриваться с точки зрения классификатора данных. Необходимо установить, имеет ли инициатор запроса право на получение информации того или иного типа. Если запрашиваемая информация не попадает ни под один из определенных в классификаторе типов, то с такой информацией необходимо обращаться как с внутренней или служебной.

В некоторых случаях в информации нуждается технический персонал внешних компаний-производителей или поставщиков (дилеров). Поставщики должны заблаговременно связаться с отделом информационных технологий; конкретный сотрудник компании-поставщика должен представиться своему «куратору» в отделе информационных технологий, который впоследствии сможет подтвердить личность инициатора запроса.



Содержание раздела