867.21K
Категория: БЖДБЖД

Політика безпеки і практичні рекомендації. Дані і конфіденційна інформація

1.

Дані і конфіденційна
інформація
ПОЛІТИКА БЕЗПЕКИ І ПРАКТИЧНІ РЕКОМЕНДАЦІЇ
Липень 2024 р.

2.

Ми всюди й одночасно
.
.

3.

Небезпечні месенджери
Telegram - країна походження: Росія, нинішня юридична адреса в Дубаї, ОАЕ.
Facebook Messenger - країна походження: Сполучені Штати Америки. Не
використовує шифрування end-to-end за замовчуванням і збирає значний обсяг
даних користувачів.
Skype - країна походження: Естонія/Данія/Швеція. Хоча використовує деякі
форми шифрування, не всі дзвінки зашифровані end-to-end, і Microsoft має
доступ до комунікацій.
Slack - країна походження: Сполучені Штати Америки. Орієнтований на бізнесспілкування і не призначений для конфіденційних розмов через відсутність endto-end шифрування та зберігання даних на серверах.

4.

Умовно безпечні месенджери
.
WhatsApp - умовно безпечний. Країна походження: Сполучені Штати Америки.
Використовує шифрування end-to-end, але існують побоювання щодо збору
даних компанією Meta Platforms, Inc.
Viber - умовно безпечний. Країна походження: Ізраїль/Кіпр. Спочатку
заснований у Ізраїлі, Viber Media, до придбання японською компанією Rakuten,
також мав офіси на Кіпрі. Має шифрування end-to-end, але політика щодо даних
та використання інформації має деякі невизначеності.

5.

Безпечний месенджер
Signal - безпечний. Країна походження: Сполучені Штати Америки.
Signal відомий своєю фокусуванням на приватності з шифруванням
end-to-end і мінімальним збором даних.

6.

«Мистецтво» губити дані і файли
Якщо хочеш щось загубити, то надішли або отримай це у
месенджер

7.

Для обміну файлами з конфіденційними даними
використовуйте надійні електронні поштові сервіси

8.

Чи можна жити без Tik Tok ?
ТРЕБА !

9.

Так само потрібно навчитись жити без Telegram

10.

Що ви робите, коли зламався комп’ютер?

11.

Декілька порад як правильно відносити в ремонтний сервіс комп’ютер
Створення резервних копій даних (регулярна практика до виходу з ладу
техніки)
Шифрування важливих даних (регулярна практика до виходу з ладу техніки)
Видалення конфіденційних даних з загального доступу (регулярна практика
до виходу з ладу техніки)
Вимкнення автоматичного входу та захист паролем
Сервісний центр має мати добру репутацію яка викликає довіру (якщо такого
немає, то варто безпосередньо контролювати процес ремонту)

12.

Фішинг
Фішингові атаки - це вид шахрайства, коли «рибалки» виманюють
конфіденційну інформацію, таку як паролі, номери банківських карток
чи інші особисті дані, шляхом маніпуляцій.

13.

Ознаки фішингу
Підозрілі листи електронної пошти: Наприклад, отримання листів від
невідомих вам відправників з проханням негайно надати, або ввести куись
особисті дані.
Подібність до реальних сайтів: Фішери можуть створити підроблені веб-сайти,
що схожі на офіційні, щоб спровокувати вас введенням особистих даних.
Терміновість та паніка: Фішери можуть намагатися створити ситуацію, яка
змусить вас діяти швидко, не розмірковуючи логічно.
Нестандартні запити: Запити про передачу грошей, конфіденційних даних або
доступ до корпоративних чи особистих облікових записів завжди мають
викликати підозру.

14.

Як не «клюнути на гачок»
Уважність: Завжди уважно перевіряйте листи електронної пошти,
посилання та запити, навіть якщо вони виглядають офіційно.
Не діліться особистою інформацією: Ніколи не надсилайте особисті дані,
паролі чи іншу конфіденційну інформацію відправникам, в яких ви не
впевнені.
Використовуйте програмне забезпечення для захисту: Встановіть
антивірус та програмне забезпечення для захисту від фішингу.
Перевіряйте URL-адреси: Переконайтесь, що ви на вірному веб-сайті,
перш ніж вводити будь-які дані.

15.

Як не «клюнути на гачок»
Перевірте доменне ім'я: Подивіться на доменне ім'я веб-сайту
.
(наприклад, "privatbank.ua"). Фішери можуть використовувати схожі
домени, такі як "prlvatbank.ua" (замість “i" використовується “l"), тому
будьте уважними на такі різниці.
SSL-шифрування: Переконайтесь, що веб-сайт, на якому ви
перебуваєте, використовує SSL-шифрування. Це можна підтвердити за
наявності "https://" перед доменним ім'ям.

16.

.Як не «клюнути на гачок»
Перевірте сертифікат безпеки: Можна перевірити сертифікат
безпеки веб-сайту, натиснувши на значок замка біля URL-адреси в
браузері.
Уважно перегляньте URL: Якщо ви отримаєте лист або посилання на
електронну пошту чи в месенджер з проханням перейти на певний
веб-сайт, уважно перегляньте URL-адресу, щоб переконатися, що вона
співпадає з очікуваним.

17.

Шифрування носіїв інформації
.
.
BitLocker дозволяє користувачам захищати інформацію на своєму
жорсткому диску або на зовнішньому пристрої зберігання, шифруючи
його весь обсяг. Тільки особи з правильним паролем або ключем
можуть розшифрувати та отримати доступ до даних.

18.

Шифрування носіїв інформації
.
.

19.

Варіанти доступу до зашифрованих носіїв
Пароль
• Опис: Користувач вводить пароль при завантаженні системи або під час
спроби доступу до зашифрованих даних.
• Переваги: Простий для використання.
• Недоліки: Залежить від сили пароля, існує ризик втрати або забування
пароля.

20.

Варіанти доступу до зашифрованих носіїв
Файл ключа відновлення
• Опис: Файл, який може бути використаний для відновлення доступу в разі
втрати основного ключа або проблем з аутентифікацією.
• Переваги: Відновлення доступу в разі проблем з іншими ключами.
• Недоліки: Ризик втрати або несанкціонованого доступу до файлу
відновлення.

21.

Варіанти доступу до зашифрованих носіїв
USB-ключ
• Опис: Ключ зберігається на USB-накопичувачі, який потрібно вставити при
завантаженні системи або для доступу до зашифрованих даних.
• Переваги: Додатковий рівень безпеки, оскільки для доступу потрібно мати
фізичний ключ.
• Недоліки: Ризик втрати або крадіжки USB-накопичувача.

22.

Базові правила інституційної безпеки даних і конфіденційної інформації
• Регулярні інструктажі персоналу щодо важливості та методів
захисту даних.
• Визначення правил зберігання, обробки та обміну даними. Хто має
доступ до даних організації, рівень доступу типи даних і обсяг даних
до яких надається доступ для обробки визначеному колу осіб.
• Використання шифрування для захисту даних у стані зберігання та
під час передачі.
• Шифрування файлів, баз даних, а також засобів зберігання і передачі
даних.
• Встановлення суворих правил стосовно паролів (довжина,
використання букв, цифр та символів).

23.

Базові правила інституційної безпеки даних і конфіденційної інформації
• Регулярна зміна паролів.
• Впровадження системи багаторівневого доступу (різні рівні прав
доступу для різних користувачів).
• Встановити суворий контроль прав доступу до критичних систем
зберігання даних.
• Здійснювати на регулярній основі моніторинг та аудит для
виявлення недоліків у доступі до баз даних
• Контролювати доступ до даних і процес обробки даних.

24.

Базові правила інституційної безпеки даних і конфіденційної інформації
• Своєчасно оновлювати програмне забезпечення, яке використовується
для захисту баз даних
• Забезпечити захист фізичного доступу до серверних приміщень та
обладнання. Використовувати системи відеоспостереження та
обмеження фізичного доступу.
• Забезпечити фізичну безпеку серверних приміщень та фізичну безпеку
носіїв інформації.
• Використовувати програми та засоби для виявлення та захисту від
зовнішніх атак.
• Заборонити встановлення на робочих пристроях непередбачене для
роботи програмного забезпечення та піратське програмне
забезпечення.

25.

Базові правила інституційної безпеки даних і конфіденційної інформації
• Обмежити доступ даних та використовувати їх лише для
визначених цілей, тобто в процесі роботи надавати доступ лише до
тієї інформації, яка необхідна для виконання конкретних завдань.
• Регулярно здійснювати резервне копіювання для запобігання
втрати даних в разі критичних ситуацій.
• Впровадити процедури для швидкого відновлення робочого стану
після інцидентів.
• Впровадити політику зберігання і знищення даних на основі типу і
чутливості інформації для кожного типу даних.

26.

Декілька порад з особистої та інституційної безпеки
Подвійна авторизація в облікових записах
SIM-картка прив’язана до паспорта
Шифрування носіїв інформації
Складні паролів
Різні паролі до різних облікових записів
Регулярна зміна паролів

27.

Декілька порад з особистої та інституційної безпеки
Не залишати багато цифрових слідів
Не обмінюватись конфіденційною інформацією через файлообмінники
Резервне копіювання
Доступ до конфіденційної інформації має надаватися в обсязі, який
необхідний для виконання завдань
Доступ має бути багаторівневим
Серверне обладнання відключене від мережі інтернет

28.

Декілька порад з особистої та інституційної безпеки
Жодного програмного забезпечення для особистого користування на
робочих пристроях не повинно бути
Згода на обробку персональних даних від особи чиї дані обробляються
Забезпечення конфіденційності даних. Всі працівники організації
мають підписати зобов’язання про нерозголошення конфіденційної
інформації
Без письмової згоди особи не передавати персональні дані третім
особам

29.

Декілька порад з особистої та інституційної безпеки
Використовуйте ліцензійне програмне забезпечення
Забудьте про програмне забезпечення, яке походить з держави
агресора
Заходи безпеки мають бути пропорційні до загроз і ризиків

30.

Іденифікація ризиків
• Ідентифікація ризиків
Збір інформації: Оцініть всі аспекти збору, обробки та зберігання даних і конфіденційної інформації.
Визначення загроз: Визначте потенційні загрози, які можуть вплинути на конфіденційність, цілісність або
доступність даних.
• Оцінка ризиків
Визначення ймовірності: Визначте, наскільки ймовірно реалізація конкретної загрози.
Оцінка впливу: Оцініть можливий вплив ризику на ваші операції та інтереси захисту даних.
• Класифікація ризиків
Ранжування ризиків: Ранжуйте ризики за їх важливістю, враховуючи як ймовірність, так і вплив.
Класифікація за видами: Розділіть ризики на категорії, такі як технічні, організаційні, правові тощо.
• Управління ризиками
Прийнятність ризику: Визначте, які ризики ви готові приймати, а які потребують додаткового управління
(вжиття додаткових заходів).
Уникнення ризику: Визначте заходи для уникнення або зменшення ризиків там, де це можливо.

31.

Іденифікація ризиків (ПРИКЛАД)
• Ідентифікація ризиків
Збір інформації: Аналізуючи свою систему збереження даних, відзначимо, що недостатній рівень захисту
доступу до даних може створювати загрозу конфіденційності.
Визначення загроз: Потенційна загроза - можливість несанкціонованого доступу до даних через слабкі
паролі користувачів та відсутність багаторівневої авторизації.
• Оцінка ризиків
Визначення ймовірності: Ймовірність несанкціонованого доступу може збільшитися в разі обміну паролів
через ненадійні канали та внаслідок фішингових атак.
Оцінка впливу: Втрата конфіденційної інформації може мати серйозний вплив як на організацію, особу, так і
на їхню фінансову чи фізичну безпеку.
• Класифікація ризиків
Ранжування ризиків: Ви визначаєте, що ризик несанкціонованого доступу є критичним, оскільки може
викликати серйозні наслідки.
Класифікація за видами: Цей ризик відноситься до технічних ризиків забезпечення інформаційної безпеки.
Управління ризиками
Прийнятність ризику: Ви вирішуєте, що цей ризик неприйнятний і потребує негайного управління.
Уникнення ризику: Ви встановлюєте строгі правила про створення та обмін паролів, використовуючи
зашифровані канали комунікації для зменшення можливості несанкціонованих доступів.

32.

Політика безпеки даних та конфіденційної інформації (загальні рекомендації)
• 1. Загальні засади:
Вся обробка даних виконується відповідно до закону та внутрішніх
стандартів безпеки організації
1.1. Дані збираються виключно з ясно визначених, законних цілей.
Використання даних відбувається лише у способи, сумісні з цими цілями.
1.2. Збір даних обмежується мінімально необхідним обсягом для досягнення
визначених цілей.
1.3. Забезпечується точність даних, вони своєчасно оновлюються і
виправляються або видаляються при необхідності.
1.4. Дані зберігаються не довше, ніж це необхідно для цілей, для яких вони
були зібрані.
1.5. Приймаються відповідні технічні та організаційні заходи для захисту
даних від несанкціонованого доступу, розкриття, втрати або знищення.

33.

Політика безпеки даних та конфіденційної інформації (загальні рекомендації)
• 2. Захист та збереження даних здійснюється шляхом:
2.1. Впровадження регулярних переглядів і аудитів систем безпеки даних для
виявлення та виправлення потенційних вразливостей.
2.2. Застосування методів шифрування для захисту даних під час їх зберігання та
передачі.
2.3. Обмеження доступу до даних лише для осіб, для яких це необхідно у зв'язку з
виконанням їхніх трудових обов'язків.
2.4. Організації регулярних тренінгів для співробітників на теми безпеки даних та
конфіденційності.
2.5. Впровадження правил використання робочих пристроїв для обробки і
збереження даних.

34.

Політика безпеки даних та конфіденційної інформації (загальні рекомендації)
• 3. Зберігання та знищення даних і конфіденційної інфомації:
3.1. Встановити відповідальність за несанкціонований доступ третіх осіб до
конфіденційної інформації або її втрати з вини чи ініціативи працівника (угода
про нерозголошення з серйозною санкцією покарання).
3.2. Визначення чітких термінів зберігання для різних видів даних, з урахуванням
їх цілей обробки та вимог законодавства.
3.3. Знищення або анонімізація даних, які більше не потрібні, за допомогою
безпечних методів, що унеможливлюють відновлення інформації.

35.

Політика безпеки даних та конфіденційної інформації (загальні рекомендації)
• 4. Співпраця з третіми особами:
4.1. Укладення договорів про обробку даних з усіма третіми особами, яким
передається інформація, з визначенням їх обов'язків у сфері захисту даних.
4.2. Регулярний аудит і перевірка третіх осіб, яким доручено обробку даних, для
гарантування дотримання встановлених стандартів безпеки та конфіденційності.
4.3. Дані не передаються третім сторонам якщо така передача прямо заборонена
законодавством або якщо треті сторони неспроможні забезпечити адекватний
рівень захисту до стандартів організації розпорядника даних.

36.

Політика безпеки даних та конфіденційної інформації (загальні рекомендації. ПРИКЛАД SOP)
SOP_001 Резервне копіювання даних
1. Мета Забезпечити цілісність та доступність даних в організації шляхом систематичного
резервного копіювання, з метою відновлення інформації у разі втрати або пошкодження
первинних даних.
2. Сфера застосування Ця процедура поширюється на всі відділи та працівників організації, що
використовують і зберігають важливі дані на внутрішніх та зовнішніх носіях.
3. Відповідальність
ІТ-відділ відповідальний за проведення резервного копіювання відповідно до цієї процедури.
Керівники відділів відповідають за інформування ІТ-відділу про критичні дані та їхнє
розташування.
Співробітники зобов'язані дотримуватися правил збереження файлів та повідомляти про
будь-які зміни в даних.

37.

Політика безпеки даних та конфіденційної інформації (загальні рекомендації. ПРИКЛАД SOP)
4. Процедура резервного копіювання
4.1 Визначення типів даних для резервного копіювання
Ідентифікація критичних даних (бази даних, документи, проекти).
Визначення частоти оновлення (щоденне, щотижневе, щомісячне).
4.2. Вибір методів копіювання
Повне резервне копіювання: створення повної копії усіх даних.
Диференціальне резервне копіювання: копіювання тільки тих файлів, які змінилися з часу
останнього повного резервного копіювання.
4.3. Графік резервного копіювання
Повне резервне копіювання: щотижня (кожної п’ятниці вночі).
Диференціальне резервне копіювання: щодня (крім неділі).
Додаткове резервне копіювання: за потреби додатково (щогодини у робочий час).

38.

Політика безпеки даних та конфіденційної інформації (загальні рекомендації. ПРИКЛАД SOP)
4.4. Місце збереження
Локальні сервери: на центральному сервері організації.
Віддалені сервери: хмарні сховища або резервні центри зберігання даних.
Зовнішні накопичувачі: мультикопії на зовнішніх носіях (жорсткі диски, USBнакопичувачі), що зберігаються у захищених місцях.
4.5. Процес резервного копіювання
1. Перевірка працездатності програмного та апаратного забезпечення.
2. Вибір методів копіювання та запуск відповідних програмних рішень.
3. Перевірка цілісності даних після завершення процесу копіювання.

39.

Політика безпеки даних та конфіденційної інформації (загальні рекомендації. ПРИКЛАД SOP)
4.6. Відновлення даних
Визначення потреби в відновленні даних (часткове або повне).
Процес відновлення з резервних копій згідно з інструкцією відповідного
програмного забезпечення.
Перевірка цілісності та функціональності відновлених даних.
4.7. Оцінка та оновлення
Регулярна оцінка ефективності процесів резервного копіювання.
Внесення необхідних змін у процедури та методи кожні 6 місяців або при
наявності інцидентів втрати даних.

40.

Політика безпеки даних та конфіденційної інформації (загальні рекомендації. ПРИКЛАД SOP)
5. Сповіщення та звіти
ІТ-відділ зобов’язаний звітувати керівництву про завершення кожного
значного резервного копіювання.
Ведення журналу помилок та інцидентів резервного копіювання.
6. Безпека
Шифрування резервних копій для забезпечення конфіденційності даних.
Обмеження доступу до резервних копій тільки авторизованими особами.
Відновлення резервних копій виконується лише у разі письмового схвалення від
керівництва.

41.

www.pard.org.ua
+380 63 777 0250
https://www.youtub
e.com/channel/UC53
xp94MzpiAjS16aU8Z
WIw
https://www.facebook.
com/pard.vn
English     Русский Правила