Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Привязка представительств в социальных сетях к корпоративным учетным записям

Цель: противодействие перехвату управления над корпоративными аккаунтами.

Все аккаунты из под которых ведется официальная активность компании в социальных сетях и мессенджерах (паблики, группы, страницы) должны быть привязаны к корпоративной электронной почте и двойной проверке через корпоративный номер мобильного телефона.

Общий алгоритм:
  1. Провести инвентаризацию официальных представительств компании в социальных сетях
  2. Определить владельцев и администраторов из числа работников компании
  3. Перевести представительства на корпоративные адреса электронной почты и номера мобильных телефонов
Рекомендации к заполнению карточки:
  • Перечень официальных аккаунтов и их назначение вести в реестре активов в разделе Информация \ Социальные сети
  • Создать шаблон регулярной контрольной задачи по проверке корпоративных аккаунтов, включая проверку актуальности их владельцев/администраторов.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Направленные на организацию деятельности пользователей, включают выпуск документации.
Превентивная ? Превентивные меры Направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо, или что-либо.
Корректирующая ? Корректирующие меры Направлены на возвращение системы в нормальное состояние после инцидента безопасности.
Восстановительная ? Восстановительные меры Дополняют работу корректирующих мер, пытаются вернуть систему в нормальное состояние до того, как произошла атака.
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Перехват управления социальными сетями из-за возможности подбора пароля путем перебора (bruteforce) в представительстве в социальных сетях
Доступность Отказ в обслуживании Целостность Репутация Подмена пользователя Искажение НСД
Перехват управления социальными сетями
Доступность Отказ в обслуживании Целостность Репутация Подмена пользователя Искажение НСД
Возможность подбора пароля путем перебора (bruteforce) Представительство в социальных сетях 1
Перехват управления социальными сетями из-за увольнения ответственного за актив работника в представительстве в социальных сетях
Доступность Отказ в обслуживании Целостность Репутация Подмена пользователя Искажение НСД
Перехват управления социальными сетями
Доступность Отказ в обслуживании Целостность Репутация Подмена пользователя Искажение НСД
Увольнение ответственного за актив работника Представительство в социальных сетях 1