ИНФОРМАЦИЯ КАК Объект защиты
Объекты защиты (что и кого защищать?)
Как защищать ИНФОРМАЦИЮ?
Методы защиты информации
Методы защиты информации
Средства защиты информации
Средства защиты информации
ЗАКОНОДАТЕЛЬНЫЕ СРЕДСТВА регулирования ИБ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПДн)
ВИДЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Роскомнадзор
Как защитить свои данные?
2.18M
Категория: ПравоПраво

3ЛК 3

1.

КАЗАНСКИЙ ГОСУДАРСТВЕННЫЙ
ЭНЕРГЕТИЧЕСКИЙ УНИВЕРСИТЕТ
Лекция №3
ОСНОВЫ ИНФОРМАЦИОННОЙ
Лектор: Зарипова Римма Солтановна
БЕЗОПАСНОСТИ

2. ИНФОРМАЦИЯ КАК Объект защиты

ИНФОРМАЦИЯ КАК ОБЪЕКТ ЗАЩИТЫ
Информация как объект защиты — это любые
данные (документы, базы данных, программные
коды, сведения), имеющие ценность для владельца
и требующие обеспечения конфиденциальности,
целостности и доступности.
Объектами
защиты
являются
как
сама
информация, так и инфраструктура её обработки:
физические лица, организации, ИТ-системы и каналы
связи, защищаемые от утечек, модификации или
блокирования.

3. Объекты защиты (что и кого защищать?)

ОБЪЕКТЫ ЗАЩИТЫ (ЧТО И КОГО ЗАЩИЩАТЬ?)

4. Как защищать ИНФОРМАЦИЮ?

КАК ЗАЩИЩАТЬ ИНФОРМАЦИЮ?
Обеспечение ИБ требует комплексного подхода,
объединяющего технические, организационные и
человеческие аспекты.
МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Препятствие
Маскировка
Регламентация
Управление
Принуждение
Побуждение

5. Методы защиты информации

МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Метод
Характеристика
Создание преград и помех для доступа к
информации (на охраняемую территории, в
Препятствие
помещение, к аппаратуре, к ресурсам
информационной системы).
Примеры средств
забор, замок на
двери
жалюзи
сейф
идентификация/
аутентификация
Сокрытие или преобразование информации маскировочная сеть
криптография
Маскировка в форму, не пригодную для восприятия
стеганография
посторонними лицами.
Установление норм, правил, стандартов и
процедур, ограничивающих и определяющих
Регламентация
формы работы с информацией (или другими
ресурсами информационной системы).
акты, регламенты
организационные
средства

6. Методы защиты информации

МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Метод
Характеристика
Примеры средств
Антивирусное ПО,
Поддержание штатного режима работы средства управления доступом,
ИС, обеспечение доступности и
контроля защищенности,
Управление целостности информации, а также
резервного копирования,
сохранности состава, структуры и
регистрации событий,
содержания других ресурсов ИС.
обнаружения вторжений
Наказание лиц (пользователей,
сотрудников обслуживающего персонала
законы, акты
Принуждение или злоумышленников), нарушающих ИБ
организационные
(выговор, лишение прав, штраф,
заключение).
Поощрение лиц (пользователей и
сотрудников обслуживающего персонала), организационные
Побуждение
соблюдающих ИБ (премия, грамота,
морально-этические
благодарность, повышение авторитета).

7. Средства защиты информации

СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
Физические
Аппаратные
Формальные
Программные
Средства
защиты
информации
Специфические
Законодательные (нормативноправовые)
Неформальные
Организационные
(административные)
Морально-этические

8. Средства защиты информации

СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
Средства
Формальные
Характеристика
Примеры средств
Выполняют защитные функции строго по заранее
предусмотренной процедуре без участия человека.
забор
замок на двери
жалюзи
сейф
Физические
Любые устройства и системы, которые функционируют
автономно от ИС, создавая препятствия на пути
дестабилизирующих факторов.
Аппаратные
Любые устройства, встраиваемые в ИС или сопрягаемые средства
с ней специально для ЗИ. (механические, электрические,
биометрической
электромеханические, электронные, электронноаутентификации,
механические, оптические, лазерные, радиолокационные и
видеорегистрации,
другие)
датчики движения
Программные
Программы для ЗИ.
антивирусное ПО,
средства обнаружения
вторжений, резервного
копирования
Используются для защиты информации в компонентах
криптография
ИС и в каналах связи. Преобразование информации может стеганография
Специфические
осуществляться аппаратными или программными средствами
с помощью механических устройств, вручную и т.д.

9.

СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
Средства
Неформальные
Характеристика
Примеры средств
Регламентируют деятельность человека, требуют
участия человека
Законы и нормативно-правовые акты,
Конституция
регламентирующие правила использования,
ФЗ
обработки и передачи информации ограниченного
ГОСТы и РД
Законодательные
доступа и устанавливающие меры ответственности за Уголовный кодекс
нарушения. Устанавливаются и контролируются на
государственном уровне.
Предусматривают установление временных,
политика безопасности
территориальных, пространственных, правовых,
профиль защиты
Организационные
методических и других ограничений. Средства уровня задание по безопасности
организации, соответствующие законам.
должностная инструкция
Моральноэтические
Сложившиеся в обществе (коллективе) моральные
нормы и этические правила, соблюдение которых
способствует ЗИ, а нарушение приравнивается к
несоблюдению правил поведения в обществе
(коллективе). Ведет к потере престижа и авторитета.
Средства уровня сообщества людей.
Кодекс этики

10. ЗАКОНОДАТЕЛЬНЫЕ СРЕДСТВА регулирования ИБ

ЗАКОНОДАТЕЛЬНЫЕ СРЕДСТВА
РЕГУЛИРОВАНИЯ ИБ
ФЗ № 98-ФЗ «О коммерческой тайне».
ФЗ № 149-ФЗ «Об информации, информационных
технологиях и о защите информации».
ФЗ № 152-ФЗ «О персональных данных».
ФЗ № 63-ФЗ «Об электронной подписи».
Постановление Правительства РФ №1119 «Об утверждении
требований к защите персональных данных при их обработке в
информационных системах персональных данных».

11. ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПДн)

ПЕРСОНАЛЬНЫЕ ДАННЫЕ — это любая информация, которая
прямо или косвенно идентифицирует и описывает человека. Эта
личная информация может относиться к клиентам, коллегам, партнерам,
другим третьим лицам. Обрабатывается только с письменного
согласия.
Защита ПДн — это право людей знать и влиять на то, как и
почему их личная информация собирается и обрабатывается.
Повсеместно действуют законы о защите персональных данных.
Любое несоблюдение этих законов может привести к штрафам, судам,
вплоть до уголовной ответственности. Каждый человек несет
ответственность за соблюдение закона о защите персональных
данных (ФЗ №152 «О персональных данных»).
Высоки требования закона к обеспечению защищенности и
биометрических ПДн, которые позволяют идентифицировать субъекта
данных.

12. ВИДЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

В ФЗ №152 обозначены следующие виды персональных данных:
Общие. Это базовые личные данные: ФИО, адрес, место работы,
образование, паспорт, СНИЛС, ИНН, номер телефона, эл. почта;
Специальные. Информация о личности человека: расовая и
национальная принадлежность, политические, религиозные и
философские взгляды, состояние здоровья, подробности личной
жизни, информация о судимостях;
Биометрические.
Физиологические
или
биологические
особенности человека, которые используют для установления
его личности: фотографии, отпечатки пальцев, анализ ДНК,
группа крови, рост, цвет глаз, вес и др.;
Иные. Данные, не относящиеся к другим видам: социальное,
имущественное положение, корпоративные данные и др.

13. ПЕРСОНАЛЬНЫЕ ДАННЫЕ

В соответствии с ФЗ №152 «О персональных данных»
общедоступными являются персональные данные, доступ к
которым предоставлен самим субъектом персональных данных
или по его просьбе.
Сведения о заработной плате тоже являются персональными
данными и не подлежат публичному разглашению.
Стоит отметить, что не все фотографии и видеозаписи лица
являются биометрическими персональными данными, а только те,
которые позволяют установить личность и используются для
установления личности.
Согласно
требованиям
Роскомнадзора,
биометрическими
персональными данными не являются: ксерокопия паспорта,
предоставляемая при заключении договора с банком, фотография в
личном деле или рентгеновские и флюорографические снимки.

14. ПЕРСОНАЛЬНЫЕ ДАННЫЕ

С номером телефона сложнее.
Сам по себе номер как набор цифр – это не ПДн, поскольку он не
может персонифицировать субъекта данных, он обезличен.
Но ситуация меняется, когда помимо номера есть информация о
человеке. В этом случае он может быть признан ПДн.
То есть записанный номер телефона без указания на человека,
которому он принадлежит, не относится к персональным данным. Но
если, например, на сайте вы нашли номер телефона и Ф.И.О. его
владельца, то он будет считаться ПДн.
Не являются персональными данными: гос.номер транспортного
средства, так как он относится не к человеку, а к автомобилю; лицевой
счет ЖКХ, поскольку он относится к квартире.

15. Роскомнадзор

РОСКОМНАДЗОР
Роскомнадзор — федеральный орган исполнительной
власти, осуществляющий функции по контролю и надзору
в сфере средств массовой информации, массовых
коммуникаций, информационных технологий и связи, а
также орган по защите прав субъектов персональных
данных.
Федеральная служба по надзору в сфере связи,
информационных технологий и массовых коммуникаций
(Роскомнадзор https://rkn.gov.ru/) находится в ведении
Министерства цифрового развития, связи и массовых
коммуникаций РФ.

16.

ТИПЫ УКРАДЕННЫХ ДАННЫХ У ЮРИДИЧЕСКИХ ЛИЦ ЗА 1 ГОД
Большую часть украденных
данных составили именно
персональные данные

17.

ТИПЫ УКРАДЕННЫХ ДАННЫХ У ФИЗИЧЕСКИХ ЛИЦ ЗА 1 ГОД
Большую часть украденных
данных составили именно
учётные и персональные
данные.

18.

КАК ВЫ СЧИТАЕТЕ:
1. Являются ли ФИО персональными данными?
2. Нужно ли согласие субъекта персональных данных,
если они обрабатываются в рамках исполнения
договора?
3. Что такое общедоступные персональные данные?
4. Являются ли сведения о доходах персональными
данными?

19.

КАК ВЫ СЧИТАЕТЕ:
5. В каком случае фотографию можно отнести к
биометрическим ПДн?
6. Является ли разглашением персональных данных
список именинников, размещенный на доске
объявлений с указанием ФИО, дня и месяца рождения?
7. В каком случае можно разместить список именинников?
8. Можно ли фото призеров олимпиад размещать на
доске почёта?

20.

КАК ВЫ СЧИТАЕТЕ:
9. Можно ли размещать ФИО должников на доске
объявлений / сайте управляющей компании?
10. Какие данные можно размещать на доске объявлений
/ сайте управляющей компании?
11. Почему в поликлинике требуют согласие на
обработку ПДн?
12. Вы директор компании. Нужно ли получать
письменное согласие на обработку ПДн у работников?
13. Возможно ли получение согласия на обработку ПДн
по телефону?

21.

КАК ВЫ СЧИТАЕТЕ:
14. Является ли персональными данными ФИО ректора
университета, директора школы?
15. Относится ли дата рождения к ПДн?
16. Каким документом запрещено распространение
информации о частной жизни человека?
17. Допустим, вы отправляете открытку дедушке и
пишете его индекс, адрес и ФИО. По сути, вы
обрабатываете персональные данные. Нужно ли
брать согласие на это?

22.

КАК ВЫ СЧИТАЕТЕ:
17. Какой набор сведений не является персональными
данными?
18. В каких случаях можно обрабатывать персональные
данные без согласия людей?
19. Является ли фотография на студенческом пропуске
биометрическими персональными данными?
20. Может ли человек предоставлять персональные
данные своих близких родственников?

23. Как защитить свои данные?

КАК ЗАЩИТИТЬ СВОИ ДАННЫЕ?
Рекомендуется использовать антивирусное ПО.
При загрузке ПО или приложения рекомендуется проверять
информацию о разработчике, а также внимательно изучать отзывы
других пользователей.
В социальных сетях и мессенджерах помните о безопасности личной
информации: не открывайте подозрительные вложения.
Если скачиваете приложение с сайта, убедитесь в надежности
ресурса.
Организациям стоит обращать внимание на обеспечение защиты
личных устройств сотрудников, если гаджеты используются для
подключения к корпоративным ресурсам.
Подозрительные файлы проверять в песочнице — изолированной
среде, предназначенной для анализа поведения файлов и выявления
вредоносной активности.

24.

ИДЕНТИФИКАЦИЯ, АУТЕНТИФИКАЦИЯ И АВТОРИЗАЦИЯ
Применение открытых каналов передачи данных создает
потенциальные возможности для действий злоумышленников.
Поэтому одной из важных задач обеспечения информационной
безопасности при взаимодействии пользователей является
использование методов и средств, позволяющих одной стороне
убедиться в подлинности другой стороны.
Идентификация, аутентификация и авторизация — это
три этапа доступа к системе. Эти процессы работают вместе,
но обозначают разные вещи.
Каждый из трёх процессов отвечает за отдельный этап
взаимодействия пользователя с системой. Если не различать их,
то можно, например, предоставить лишние права, неправильно
настроить безопасность или даже «помочь» хакерам во взломе.

25.

ИДЕНТИФИКАЦИЯ, АУТЕНТИФИКАЦИЯ И АВТОРИЗАЦИЯ
Разница между этими тремя процессами заключается
в последовательности их выполнения.
1. Сначала система узнаёт, кто перед ней, — это
идентификация.
2. Затем система проверяет подлинность субъекта —
это аутентификация.
3. Только после этого система определяет, какие
действия разрешены субъекту, — это авторизация.

26.

СХЕМА ПРОЦЕССА ДОСТУПА К СИСТЕМЕ

27.

ИДЕНТИФИКАЦИЯ, АУТЕНТИФИКАЦИЯ И АВТОРИЗАЦИЯ
С каждым зарегистрированным в системе пользователем
(или процессом) связана информация, которая однозначно
идентифицирует его. Это может быть число или строка
символов. Это идентификатор.
Если
пользователь
имеет
идентификатор,
зарегистрированный в сети, то он считается легальным
(законным) пользователем. Остальные пользователи относятся к
нелегальным.
Прежде чем получить доступ к ресурсам системы,
пользователь
должен
пройти
процесс
первичного
взаимодействия с системой, который включает идентификацию и
аутентификацию.

28.

1.
Идентификация

это
процедура
распознавания
пользователя по его идентификатору, присвоенному ему и
занесенному в базу данных в момент его регистрации в качестве
легального пользователя системы. Эта функция выполняется в
первую очередь, когда пользователь делает попытку войти в сеть.
Пользователь сообщает свой идентификатор системе по её
запросу, и затем система проверяет его наличие в своей базе данных.
Обычно идентификация происходит в виде ввода или передачи
уникального идентификатора. Это может быть:
● логин;
● email;
● номер телефона;
● ID-ключ или токен;
● номер карты или пропуска;
● имя устройства в сети.

29.

2. Аутентификация – процедура проверки подлинности
пользователя, предъявившего свой идентификатор. Эта проверка
позволяет достоверно убедиться, что пользователь является тем, за кого
он себя выдаёт. Пользователь подтверждает идентификацию, вводя в
систему уникальную, неизвестную другим лицам информацию о себе
(пароль).
Подтвердить личность во время аутентификации можно с помощью
одного или нескольких факторов. Это может быть:
● То, что субъект знает. Пароль, PIN-код, секретное слово.
● То, что субъект имеет. Токен, смартфон для получения кода по
SMS / в приложении, пропуск.
● То, что является частью субъекта. Отпечаток пальца, лицо, голос,
радужка глаз (уникальные свойства пользователя).
Помимо классических факторов, могут применяться анализ почерка,
скорость печати, движение мыши, походка, проверка местоположения
пользователя, оценка времени входа устройства, браузера.

30.

В большинстве смартфонов сейчас есть возможность аутентификации либо по
отпечатку пальца, либо с помощью распознавания лица, и это уже давно никого не
удивляет. При правильной реализации биометрия серьезно упрощает жизнь
пользователей: не надо ничего вводить, достаточно приложить палец к датчику или
показать лицо в камеру. Но у биометрической аутентификации есть недостатки:
1. Биометрические данные, в отличие от паролей, нельзя изменить в случае
компрометации. Любые используемые для нее характеристики пользователя являются
его постоянными свойствами. Обычный пароль в случае утечки легко поменять —
можно делать это время от времени просто для профилактики. А вот сменить
зарегистрированный отпечаток пальца получится лишь ограниченное число раз.
2. Важная проблема состоит в том, что биометрические данные из-за своей
неизменности позволяют не только аутентифицировать пользователя, но и
идентифицировать человека. Поэтому к сбору и передаче биометрических данных
цифровым сервисам стоит относиться очень осторожно! Поэтому биометрические
данные используются только для локальной аутентификации — они хранятся и
обрабатываются прямо на устройстве так, чтобы не приходилось их передавать. Для
дистанционной биометрической аутентификации цифровому сервису пришлось бы
доверять производителю этого устройства, на что сервисы обычно не идут.

31.

МЕТОДЫ АУТЕНТИФИКАЦИИ

32.

Двухфакторная
аутентификация
(2FA,
также
известная как двухэтапная верификация) является типом
многофакторной аутентификации. Это технология,
обеспечивающая идентификацию пользователей с
помощью комбинации двух различных компонентов.
На практике это обычно выглядит так:
первый рубеж — это логин и пароль,
второй рубеж — специальный код, приходящий по SMS
или электронной почте.
Реже второй «слой» защиты запрашивает специальный
USB-ключ или биометрические данные пользователя.

33.

Гарантирует ли двухфакторная аутентификация
абсолютную безопасность?
Хакеры всегда учатся и могут взломать и ключи 2FA. Приложения для
отзеркалирования сообщений, которые могут видеть ваши тексты, уже
существуют. Появились и голосовые боты, крадущие коды двухфакторной
аутентификации. Но согласно недавней статистике, 99,9% взломанных
аккаунтов не использовали 2FA в качестве защитной меры! Это говорит о том,
что текущая целевая аудитория киберпреступников представляет собой
«легких пользователей», пользующихся классическими возможностями
идентификации.
Безусловно, ни один метод входа в систему не является полностью
надежным, но на сегодняшний день 2FA однозначно является безопаснее
альтернатив. Чтобы её обойти, злоумышленнику придется прервать 2 цикла
идентификации, а не один. Эта особенность поможет выиграть время и
обнаружить взлом на раннем этапе.
2FA не отменяет необходимости придумывать или генерировать сложные
пароли, которые нельзя подобрать.

34.

3. Авторизация – процедура предоставления пользователю
прав доступа к ресурсам системы после успешного прохождения
процедуры аутентификации. Авторизация устанавливает сферу
действия пользователя и доступные ему ресурсы.
То есть это процесс определения прав субъекта внутри системы.
После того как личность была идентифицирована и подтверждена,
теперь система должна проверить, что именно разрешено делать этому
субъекту:
● какие данные можно просматривать;
● какие функции доступны;
● какие действия можно выполнять;
● к каким разделам системы разрешён доступ.
Именно авторизация защищает данные и функции системы
от несанкционированного использования.

35.

Вопрос
Какой закон регламентирует защиту
информации в России?
a) ФЗ №152
б) ФЗ №149
в) ФЗ №115

36.

КЕЙС «ФИШИНГ»
Вы сотрудник компании.
Вы получили электронное письмо на
корпоративную почту от «Сбербанка», где
вас просят ввести свои личные данные.
Каковы ваши действия?
Опишите, что и как вы будете делать.

37.

1. Не вводить личные данные. Подозрительное письмо
не следует игнорировать, но и не нужно действовать на
него.
2. Проверить адрес отправителя. Убедиться в
легитимности отправителя (правильный домен,
дополнительные знаки).
3. Сообщить IT-отделу. Уведомить отдел информационной
безопасности о возможной попытке фишинга.
4. Удалить подозрительное сообщение из почты.
5. Проверка аккаунтов. Просмотреть свои банковские и
другие важные аккаунты на предмет несанкционированного
доступа.

38.

Домашнее задание (краткий конспект)
1. Напишите информационные угрозы для государства.
2. Напишите информационные угрозы для компании?
3. Напишите информационные угрозы для личности (физ. лица)?
4. Назовите причины информационных угроз.
5. Какие действия и события нарушают ИБ?
6. Какие личностно-профессиональные характеристики сотрудников способствуют
реализации угроз ИБ?
7. В чем разница между законом о персональных данных и законом о защите
информации?
8. В каком году создана служба, являющаяся органом по защите персональных данных и
контролирующая СМИ?
9. Нарушает ли требования федерального закона хранение в личных делах копий
паспортов родителей (законных представителей) учеников школ? Обоснуйте свой ответ.
10. Что такое материальные носители персональных данных? Назовите примеры.
11. Перечислите 4 вида тайн, относящихся к персональным данным. В случае если вам
известно больше видов тайн, относящихся к ПДн, перечислите их.
12. Напишите описание и принцип действия к каждому методу аутентификации, которые
представлены на лекционном слайде «Методы аутентификации» (см. выше в этой лекции).
English     Русский Правила