26.09.2013  Экспертиза, Стандарты и процессы, Финансы, страхование, недвижимость

Многие слышали о стандарте поддержания безопасности ISO 27001:2005. Да, внедрение его дело хлопотное и долгое. Но результат того стоит. Хотя бы потому, что данный стандарт является не технологическим, а организационным. А это уже немало в борьбе с деятельностью злоумышленников. Не надо напоминать, как часто мошенники используют разного рода манипулятивные технологии. Еще пример Кевина Митника показал, что куда проще узнать пароль для доступа в сеть от самих сотрудников, представившись системным администратором или аудитором, чем пытаться взломать или обойти ту или иную защиту. Противостоять им без внедрения мер, охватывающих всю компанию, практически невозможно. Впрочем, об этом чуть ниже. Добрым словом и пистолетом Сейчас инструментом кражи все чаще является не традиционная фомка, а компьютер. Ведь деньги — это не только монеты или банкноты, но и записи в базе данных, которыми манипулирует та или иная ИТ-система как на стороне банка, так и на стороне клиента. А такие денежные потоки довольно легко развернуть в сторону злоумышленников, которые используют все сколько-нибудь уязвимые места на пути этих самых потоков. При этом многие злоумышленники для перехвата аутентификационных данных применяют всевозможные инструменты социальной инженерии, беря в качестве примера сценарии упомянутого Кевина Митника. В последнее время все чаще используются фишинговые технологии, когда оператора дистанционного банковского обслуживания заманивают на специальным образом подготовленную ... читать далее.