Похожие презентации:
Правовые аспекты использования информационных технологий и программного обеспечения
1.
Правовые аспекты использованияинформационных технологий и
программного обеспечения
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
ПРЕП. ГИЛФАНОВА С.А.
2.
Информационная безопасностьИнформационная безопасность
• состояние защищенности информационной среды, включая
данные, системы и инфраструктуру, от внутренних и внешних угроз.
Комплексная защита с помощью:
• Технических средств
• Организационных мер
• Правовых инструментов
3.
Современные виды угрозКража или утечка информации (Data Breach)
Разрушение или блокирование данных (Ransomware, Wiper-атаки)
Отказ в обслуживании (DDoS-атаки)
Компрометация целостности (Манипуляция данными)
Социальная инженерия (Фишинг, вишинг)
4.
Меры защитыРезервное копированиепо правилу3-2-1(3 копии, 2 типа носителей, 1 вне площадки)
Регулярное обновлениеПО и антивирусных баз, использование EDR-систем (Endpoint Detection and Response)
Использованиеисточников бесперебойного питания(ИБП) и систем гарантированного электропитания
Разграничение доступапо принципу наименьших привилегий (Zero Trust)
Шифрование данныхна всех этапах (at rest, in transit, in use), использование криптографии, электронной
подписи
Многофакторная аутентификация (MFA)
5.
Технические средства защитыКатегории:
• Аппаратные
• Программные
• Программно-аппаратные комплексы
Ключевые технологии:
• Шифрование информации (симметричное, асимметричное, гомоморфное). Наука о
шифровании — криптография. Стандарты: AES, RSA, ГОСТ 34.12-2018.
• Методы идентификации, аутентификации и авторизации (многофакторная
аутентификация, биометрия), использование электронной подписи и сертификатов.
• Средства обнаружения и предотвращения вторжений (IDS/IPS), системы SIEM/SOAR
(системы для анализа событий безопасности и автоматизации реагирования), файрволлы
нового поколения (NGFW).
6.
Правовые средства защитыПравовые средства защиты-совокупность нормативных правовых актов,
регулирующих вопросы защиты информации, включая международные
стандарты (ISO/IEC 27001, GDPR) и национальное законодательство.
Рассылка (спам): Запрещена без предварительного согласия (opt-in).
Обязательна возможность легкой отписки (opt-out).
Персональные данные-любая информация, относящаяся к прямо или
косвенно определённому или определяемому физическому лицу (субъекту
персональных данных). Регулируются Федеральным законом № 152-ФЗ.
7.
Правовые средства защитыНормативная база:
• Федеральный закон № 152-ФЗ «О персональных данных»
• Федеральный закон № 149-ФЗ «Об информации,
информационных технологиях и о защите информации»
• Часть IV Гражданского кодекса РФ (авторское право на ПО)
• Международные стандарты: ISO/IEC 27001, GDPR (для
работы с данными граждан ЕС)
8.
Классификация киберпреступниковПираты — нарушают интеллектуальные права, распространяя нелицензионное ПО и контент.
Хакеры (в широком смысле) — лица, осуществляющие несанкционированный доступ к
информационным системам. В профессиональной среде часто разделяются на «белых» (этичных),
«серых» и «чёрных» хакеров.
Кракеры (взломщики) — занимаются целенаправленным взломом систем для кражи данных, шантажа,
sabotage. Сюда же относятся создатели вредоносного ПО (малвар).
Кардеры — специализируются на краже и мошенничестве с платёжными данными.
Инсайдеры — сотрудники, злоупотребляющие своим доступом.
9.
ЗащитаПодразделения информационной безопасности (SOC,
CERT)
Компании в области киберзащиты (Positive
Technologies, Kaspersky, Group-IB)
Государственные структуры (ФСТЭК России,
Роскомнадзор, Центр кибербезопасности ФСБ).
10.
Этикет и безопасность в цифровойсреде
Используйте менеджеры паролей, не делитесь учетными данными.
Блокируйте компьютер (Win+L) при уходе.
Минимизируйте оцифрованный след (данные в соцсетях).
При столкновении с кибербуллингом или мошенничеством — обращайтесь к специалистам, а не решайте сами.
Проверяйте отправителей писем и ссылок (борьба с фишингом).
Соблюдайте цифровую гигиену и уважайте других.
Встреча в офлайне с интернет-знакомым должна происходить в публичном месте, о ней желательно сообщить
близким.
11.
Правовая охрана информацииРегулирование:
◦ Глава 70 Гражданского кодекса РФ (Часть IV, действует с 2008 г.).
Что охраняется:
◦ Любое выражение программы (исходный/объектный код).
Что НЕ охраняется:
◦ Идеи, принципы, алгоритмы, методы (ст. 1259 ГК РФ).
Авторское право возникает автоматически при создании и для его защиты не требуется
регистрация.
Для программ ЭВМ и баз данных возможна факультативная регистрация в Роспатенте, что
облегчает доказывание авторства в спорных ситуациях.
12.
Авторское правоЗнак © (Copyright) состоит
из:
Исключительное право
автора/правообладателя:
• Символа ©
• Имени правообладателя
• Года первого опубликования
• Воспроизведение
• Распространение
• Переработка (модификация)
• Публичный показ
Права пользователя (лицензиата) определяются лицензионным соглашением (EULA).Как
правило, допускается установка на одно устройство или для одного пользователя, если иное
не предусмотрено лицензией (например, корпоративные, групповые лицензии).
13.
Электронная подписьФедеральный закон № 63-ФЗ «Об электронной подписи» (действует с 2011 г.).
Три вида ЭП:
• Простая электронная подпись (ПЭП) — подтверждает факт формирования подписи
определённым лицом (например, логин/пароль, код из SMS).
• Усиленная неквалифицированная электронная подпись (НЭП) — создаётся с
использованием криптографических средств, позволяет подтвердить неизменность
документа после подписания.
• Усиленная квалифицированная электронная подпись (КЭП) — соответствует всем
признакам НЭП, но создаётся с использованием сертифицированных ФСБ России средств
криптозащиты и ключей, выданных аккредитованным удостоверяющим центром. Только
КЭП приравнивается к собственноручной подписи без дополнительных условий.
14.
Электронная подписьПри получении электронной подписи в удостоверяющем центре абонент
получает два криптографических ключа:
• Закрытый (секретный) ключ — хранится на защищённом носителе (токен, смарт-карта, HSM) и
не должен раскрываться.
• Открытый ключ — содержится в сертификате, который распространяется среди контрагентов
для проверки подписи.
Процесс подписания заключается в создании уникальной криптографической
хэш-суммы документа с помощью закрытого ключа. Для проверки подписи и
целостности документа получатель использует открытый ключ и сертификат.
15.
Аутентификация и биометрияМногофакторная аутентификация (MFA): Пароль + одноразовый код (TOTP, SMS) + биометрия.
Принцип наименьших привилегий (PoLP): Выдача минимально необходимых прав.
Логирование: Обязательная запись всех событий доступа.
Биометрические системы:
• Распознавание лица (Face ID, Windows Hello)
• Сканер отпечатка пальца
• Сканер радужной оболочки глаза
• Голос и поведенческая биометрия
16.
Защита ПО от нелегальногоиспользования
Способы лицензирования и активации:
• Активация по ключу (online/offline) с привязкой к оборудованию или учётной
записи.
• Подписка (SaaS, subscription) — доступ к ПО предоставляется на период действия
лицензии.
• Аппаратные ключи (dongles) — USB-токены с криптозащитой.
• Защита обфускацией и антиотладочными техниками.
• Контроль лицензий в корпоративных сетях (например, с помощью систем типа
Microsoft Active Directory или специализированного ПО).
Управление доступом: ACL, RBAC, ABAC — детальные политики прав.
17.
Надежное хранение данныхТехнологии обеспечения отказоустойчивости:
• RAID-массивы (уровни 1, 5, 6, 10 для надежности).
• Системы хранения данных (СХД) с репликацией.
• Облачное резервное копирование.
• Планы аварийного восстановления (Disaster Recovery
Plan).
• Георазнесенные дата-центры.
18.
Защита в интернете: угрозы ипротиводействие
Современные угрозы:
Средства защиты:
• Вредоносное ПО
(malware):ransomware,spyware, трояны
• Фишинг и целевые атаки (spearphishing)
• Уязвимости в ПО и нулевые дни (zero-day)
• Атаки на маршрутизацию и DNS
• Утечки данных через сторонние сервисы и
API
• Атаки на цепочку поставок (supplychain)
• Межсетевые экраны нового поколения
(NGFW)
• Системы обнаружения и предотвращения
вторжений (IDS/IPS)
• Веб-приложения файрволлы (WAF)
• Антивирусы и EDR-решения
• VPN и шифрование трафика (TLS 1.3, IPSec)
• Регулярное обучение сотрудников
(SecurityAwareness)
• Аудит безопасности и пентесты
Файрвол (брандмауэр) остается ключевым элементомпериметровойзащиты.
Право