Информационная безопасность Ачкасов Павел Викторович 25 05 2015

Зарегистрируйтесь, чтобы просмотреть полный документ!

Информационная безопасность Ачкасов Павел Викторович 25. 05. 2015 Отдел безопасности информационных систем Департамент информационных технологий и общественных связей

Информационная безопасность Программа семинара Государственная система обеспечения информационной безопасности • Основные понятия обеспечения информационной безопасности (далее – ИБ) • Нормативно-правовые основы обеспечения ИБ в Российской Федерации Обеспечение информационной безопасности в Минпромторге России • Инциденты информационной безопасности • Реализация комплексной системы защиты информации • Организационные меры защиты • Архитектура системы защиты информации ИКС • Обучение и программа осведомленности по вопросам обеспечения ИБ 2

Информационная безопасность 1 Государственная система обеспечения информационной безопасности • Понятия и определения • Нормативно-правовые основы обеспечения ИБ в Российской Федерации 3

Информационная безопасность 4 Основные понятия и определения • Информационная безопасность – это состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры • Угрозы – потенциальные возможности определенным образом нарушить ИБ • Защита информации – это комплекс мероприятий правового, организационного и технического характера направленных на обеспечение информационной безопасности • Управление ИБ – процесс направленный на обеспечение конфиденциальности, целостности и доступности активов, информации, данных и деятельности организации

Информационная безопасность Нормативно-правовые основы обеспечения ИБ в Российской Федерации Конституция Федеральные законы Федеральное законодательство (включая федеральные конституционные законы, кодексы) Указа Президента Международные договоры Методические и руководящие документы государственных органов России Стандарты информационной безопасности Приказы и руководящие документы ФСБ России Приказы и руководящие документы ФСТЭК России Государственные стандарты России Международные стандарты Организационно – распорядительные документы по информационной безопасности Минпромторга России Концепция ИБ Положения Инструкции Регламенты 5

Информационная безопасность 6 Нормативно-правовые акты Российской Федерации в области ИБ • Конституция Российской Федерации • Доктрина информационной безопасности Российской Федерации от 09. 2000 г. № Пр-1895 • Закон Российской Федерации от 05. 03. 1992 г. № 2446 -1 «О безопасности» • Федеральный закон Российской Федерации от 27. 07. 2006 г. № 149 -ФЗ «Об информации, информационных технологиях и о защите информации» • Федеральный закон Российской Федерации от 27. 07. 2006 г. № 152 -ФЗ «О персональных данных» • Федеральный закон Российской Федерации от 06. 04. 2011 г. № 63 -ФЗ «Об электронной подписи» • Гражданский, Трудовой и Уголовный кодексы Российской Федерации • Указы Президента Российской Федерации • Постановления Правительства Российской Федерации • и т. д.

Информационная безопасность Методические, руководящие документы ФСТЭК России и ФСБ России Документы ФСТЭК России • • • Руководящий документ. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утвержден Приказом Государственной технической комиссии при Президенте Российской Федерации от 30. 08. 2002 г. № 282 -дсп. Руководящие документы. Защита информации от НСД. Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Утверждены Приказом ФСТЭК России от 11. 02. 2013 г. № 17 и т. д. Документы ФСБ России • • • Требования по защите информации, содержащейся в информационных системах общего пользования. Утверждены Приказом ФСБ России № 416, ФСТЭК России № 489 от 31. 08. 2010 г. Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21. 02. 2008 г. № 149/5 -144. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств……, от 21. 02. 2008 г. № 149/6/6 -622 и т. д. 7

Информационная безопасность 8 Стандарты информационной безопасности • • • ГОСТ Р 50922 -2006 «Защита информации. Основные термины и определения» ГОСТ Р 51275 -2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию» ГОСТ Р 5158 -2000 «Порядок создания автоматизированных систем в защищенном исполнении» ГОСТ Р 51583 -2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении» ГОСТ Р 51624 -2000 «Защита информации. Автоматизированные системы в защищенном исполнении» ГОСТ Р 51624 -2000 «Автоматизированные системы в защищенном исполнении» ГОСТ 34. 601 -90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» ГОСТ Р ИСО/МЭК 27001 -2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» ГОСТ Р ИСО/МЭК 15408 -2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»

Информационная безопасность 2 Обеспечение информационной безопасности в Минпромторге России 1. Инциденты информационной безопасности 2. Реализация комплексной системы защиты информации 3. Обеспечение безопасности при работе в ИКС 4. Архитектура системы защиты информации ИКС 5. Обучение и программа осведомленности 9

Информационная безопасность 10 Инциденты ИБ в госсекторе в 2016 году Март 2016 года • Ряд крупных российских ведомств, связанных с международной торговлей, столкнулись со сбоями в работе оборудования. Причиной послужил отказ американских поставщиков программного обеспечения от его поддержки из-за санкций в отношении России. Апрель 2016 года • Взломана база данных управления Федеральной службы государственной регистрации кадастра и картографии (Росреестр) по Кабардино-Балкарии. Хакеры зарегистрировали права собственности на земельные участки и недвижимое имущество, расположенные на территории республики. • Проведена атака на пресс-службу УФСКН по Челябинской области. Неизвестные разослали от имени пресс-службы УФСКН по Челябинской области сообщение об аресте высокопоставленного должностного лица из кадрового управления ГУ МВД по региону. Согласно поддельному пресс-релизу, чиновник был задержан за крупную взятку и наркотики. Май 2016 года • Почтовые ящики ряда сотрудников Министерства энергетики России подверглись хакерской атаке. В частности, были вскрыты почтовые ящики замминистра Антона Инюцына. По словам специалистов, скопирован и похищен весь личный архив с 2008 года.

Информационная безопасность Реализация комплексной системы защиты информации Организационные меры • Концепция обеспечения ИБ в Минпромторге России • Положения по обеспечению ИБ в системах • Инструкции пользователям и администраторам ИКС Технические меры Технические средства • Защита периметра ИКС Минпромторга России • Защита серверов и рабочих станций • Защита среды виртуализации (СЭДО, Почта и т. д. ) Обучение Обученные пользователи сотрудников • Обучение • Повышение осведомленности 11

Информационная безопасность Обеспечение безопасности при работе в ИКС Минпромторга России Положение о доменной структуре единой службы каталогов информационно-коммуникационной системы Минпромторга России. Утверждено Приказом от 11. 06. 2015 г. № 1502 Каждый пользователь в ЕСК ИКС имеет собственную учетную запись Пароль должен отвечать требованиям сложности: - не содержит имя учетной записи пользователя - не содержит частей полного имени пользователя длинной более двух рядом стоящих знаков - иметь длину пароля не менее 8 знаков - не должен повторяться Пароль имеет ограниченный срок действия – 3 месяца Для авторизации учетной записи предоставляется - 10 попыток В ДС ЕСК ИКС по умолчанию создаются информационные ресурсы на сетевом диске для каждого структурного подразделения На АРМ пользователей запрещается обработка информации и сведений, составляющих государственную тайну

Информационная безопасность 13 Сервис ведомственной электронной почты (ВЭП) Положение о Подсистеме ведомственной электронной почты доменной структуры единой службы каталогов информационнокоммуникационной системы Минпромторга России. Утверждено Приказом от 15. 06. 2015 г. № 1537 Что разрешено • Использовать для ведения служебной переписки и обмена служебной информацией между должностными лицами и взаимодействия со сторонними организациями и гражданами. • Указывать адрес электронного почтового ящика в качестве контактной информации • Пересылать по ВЭП вложения (файлы) суммарным объемом не более 7 Мбайт • Для поддержания приемлемого объема почтового ящика удалять ненужные письма либо переносить в архивную папку на свой компьютер Что запрещено • Передавать через ВЭП информацию, содержащую сведения, составляющие государственную тайну, и информацию, имеющую пометки «ДСП» , «Для служебного пользования» • Использовать электронный почтовый ящик (адрес) в личных целях • Передавать информацию ограниченную федеральными законами, нормативной базой ФОИВ и приказами Минпромторга России • Активировать ссылки и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей • Использовать адрес для оформления подписок на рассылки из Интернет • Предоставлять третьим лицам доступ к электронному почтовому ящику • Переадресовывать электронные сообщения с личных электронных почтовых ящиков на ведомственный При выявлении нарушений требований проводится служебная проверка в соответствии с порядком, установленным Минпромторгом России.

Информационная безопасность Сервис доступа к ресурсам сети Интернет Положение по обеспечению информационной безопасности при использовании информационно-коммуникационных сетей международного информационного обмена в Минпромторге России. Утверждено Приказом от 11. 04. 2015 г. № 432 Что разрешено • Получение свободного доступа к информации о деятельности Минпромторга России • Поиск и получение общедоступной информации по направлению деятельности структурных подразделений Минпромторга России • Размещение заказов на поставку товаров, выполнение работ, оказание услуг в интересах Минпромторга России Что запрещено Использовать ресурсы сети Интернет следующего характера: • сайты эротического и порнографического содержания • сайты развлекательного характера • сайты, связанные для встреч, общения • сайты, связанные с хакерством, взломом систем различного характера • удаленные прокси-серверы, анонимайзеры, интернет-пейджеры, файлообменники 14

Информационная безопасность 15 Нарушения ИБ Использование ресурсов сети Интернет не по назначению: • youtube. com, rutube. ru, vk. com, instagram. com, facebook. com, ivi. ru, kino. ru • ТОП – 10 нарушителей месяца (средний трафик 4, 5 Gb): Ф. И. Петрович 65, 43 Ф. И. Владимировна 47, 31 Ф. И. Георгиевич 45, 01 Ф. И. Павловна 36, 41 Ф. И. Наумовна 35, 79 Ф. И. Максимович 32, 84 Ф. И. Алексеевич 32, 76 Ф. И. Александровна 31, 85 Ф. И. Анатольевич 31, 45 Ф. И. Михайлович 30, 81 allnetcorp. com, dfiles. ru, turbobit. net: 9023, turbobit. net: 9014, turbobit. net: 9019, fishki. net, gigapeta. com, rbc. ru, turbobit. net: 9007, filefactory. com vk-cdn. net, vk. com, fbcdn. net, wbstatic. net, facebook. com, youtube. com, mradx. net, mail. ru, yandex. ru, megafon. ru pikabu. ru, radiorecord. ru: 8102, vk. com, lifenewscontent. ru, youtube. com, fishki. net, ngenix. net, dofiga. net, mradx. net ororo. tv, fbvkcdn. com, fbcdn. net, ndv. ru, mebedev. ru, yandex. ru, kinogo. co 1 internet. tv, youtube. com, datalock. ru, videokub. me, vk. com, kinogo. co, vcdn. biz, mail. ru, vk-cdn. net, ytimg. com. ua, fishki. net, youtube. com, elle. ru, hsmedia. ru, cdninstagram. com, google. com, vk -cdn. net, anews. com, cc-tms. ru cdnvideo. ru, tvzavr. ru, hostingradio. ru: 8004, vgtrk. com, rtr-vesti. ru, s-ports. ru playkot. com, fotocdn. net, vesusa. ru, socialquantum. ru, instogramm. com, fotostrana. ru, mycdn. me, wbstatic. net, youtube. com rutube. ru, yandex. net, fishki. net, youtube. com, otclick-adv. ru, vk. com, ntv. ru, favoritmotors. ru, ytimg. com, yandex. ru boscooutlet. ru, msn. com, lifenewscontent. ru, std 3. ru, zaycev. net, youtube. com, cont. ws, yandex. ru, livejournal. com, bosco. ru Передача прав доступа к своему почтовому ящику Работа под учетной записью другого сотрудника

Информационная безопасность 16 Виды контроля нарушений ИБ • Контроль конфигурации рабочих мест (подключение посторонних устройств) • Контроль доступа пользователей к сетевым ресурсам ИКС • Антивирусный контроль • Контроль сервиса электронной почты • Контроль времени и доступа пользователей к ресурсам сети Интернет • Контроль объема скаченного трафика • Контроль тематики посещаемых сайтов

Информационная безопасность Архитектура системы защиты информации ИКС Функциональная структура ИКС Подсистема защиты от несанкционированного доступа Подсистема криптографической защиты информации Подсистема защиты среды виртуализации Подсистема межсетевого экранирования и обнаружения вторжений в среде виртуализации Подсистема антивирусной защиты и анти-спама Подсистема межсетевого экранирования и обнаружения вторжений 17

Информационная безопасность Программа осведомленности Обучение пользователей • Электронные курсы • Тестирование по вопросам ИБ Повышение осведомленности пользователей • Новости ИБ • Скринсейверы • Флеш-ролики • Календари и плакаты В сентябре 2016 г. в Минпромторге России запланирован тренинг по программе осведомленности 18

Информационная безопасность 19 «Тренинг по повышению осведомлённости в области угроз информационной безопасности» сентябрь 2016 г. Цели обучения: • понимание причин, по которым необходимо уделять внимание кибербезопасности; • умение различать безопасные и небезопасные формы поведения; • позитивные примеры «как нужно делать» , а не только «как нельзя» ; • понимание того, какую информацию хотят заполучить киберпреступники. План мероприятия: 1. За 1 неделю до начала обучения для тестовой группы 60 человек запускаем «Онлайн платформу обучения навыкам кибербезопасности» . Для подключения требуются подключить сотрудников к онлайнплатформе (прислать в «Лабораторию Касперского» внутренний e-mail сотрудников). 2. Сотрудникам в почту приходят уведомления о добавлении их в онлайнплатформу и просьба пройти обучающие модули. 3. Далее 25. 09. 2016 г. очное обучение на котором отрабатываются ситуации позволяющие получить навыки по информационной безопасности (игра соревновательная, будут победители и проигравшие. Победителям подарки от «Лаборатории Касперского» ).

Информационная безопасность Риски безопасности мобильных устройств Риски, возникающие при утрате устройства: 200 • Утечка конфиденциальной информации (ЭП, календарь, IM, адресная книга. . ) Комментарий enectum aut magniam hariam, optae nos molorenis qui cuptat aut es et litem • Утечка аутентификационной информации que ligent odissita cones (корпоративная сеть, мобильный банкинг) Риски, возникающие при использовании устройства: • Заражение устройства вредоносным ПО • Использование устройства для доступа к корпоративной сети 20

Информационная безопасность ВОПРОСЫ ? 25. 05. 2015 Ачкасов Павел Викторович Тел. 29 -68, E-mail: achkasov@minprom. gov. ru

Скачать презентацию Информационная безопасность Ачкасов Павел Викторович 25 05 2015

Обеспечение ИБ в МПТ v1.1.pptx

Количество слайдов: 21