Показаны сообщения с ярлыком защита информации. Показать все сообщения
Показаны сообщения с ярлыком защита информации. Показать все сообщения
вторник, 1 декабря 2020 г.
вторник, 22 сентября 2020 г.
ТОП Х7 инструментов информационной безопасности, которыми должен пользоваться каждый
ТОП Х7 автор: Шартрез
Материал подготовили специалисты Shartrez, Надежда Третьякова и Константин Крайнов
четверг, 4 июня 2020 г.
Продукты Acronis
 |
| Источник изображения |
Компания «Acronis» занимается решениями для защиты данных, они представляют продукты для управления средствами хранения информации, рассчитанные на пользователей, поставщиков услуг, а также на компании.
Для последних актуальна защита данных как никогда. Представим ситуацию: шифровальщик, попадает на компьютер, шифруют ценные файлы: документы, фотографии, базы данных и так далее. Для бизнеса такой расклад может обернуться большими потерями.
Тут возникает проблема с целостностью и доступностью. Тогда имеет смысл говорить о резервном копировании и восстановлении информации, столь необходимых для успешной работы любой организации.
Акронис в том числе может помочь справится с такими ситуациями. Даже если вся защита будет бесполезна, то восстановить данные можно из резервной копии. Для реализации этих целей у Акронис имеется ряд продуктов:
Защита помещений
Некоторые организации в погоне за выгодой могут
использовать нечестные методы получения информации, а повсеместное применение
электронных устройств и их разнообразие в этом помогают. Именно так Ваша
компания и данные, хранящиеся в ней, могут стать мишенью, причем, независимо от
профиля или размеров предприятия.
Astra Linux
Многие скептически относятся к отечественному ПО, но сегодня на примере Astra Linux мы узнаем, напрасны ли эти опасения. В стране последние несколько лет преобладают импортозамещающие направления производства, и именно они послужили основным толчком в развитии отечественных ОС. Можете не сомневаться ─ Российская операционная система может быть на равных с зарубежными ОС. А в некоторых функциях даже превосходит их. Предлагаем рассмотреть подробнее некоторые отечественные разработки НПО РусБИТех.
суббота, 4 апреля 2020 г.
Вопросы к Zoom!
Популярная платформа для видеоконференций Zoom привлекает пользователей своей актуальностью и раскрученностью, а специалистов по защите информации ─ отсутствием безопасности.
вторник, 29 января 2019 г.
Порядок установки СЗИ
За этот месяц вопрос порядка установки СЗИ на рабочую станцию возникал многократно, что и сподвигло на написание небольшого очерка о порядке - в помощь коллегам.
Для начала, посмотрите статью по подготовке компьютера к установке СЗИ, она тем более актуальна, если речь идет о последующей аттестации.
Давайте возьмем простой пример: один компьютер с выходом в сеть Интернет. Чаще всего, на компьютере используются СЗИ от НСД (средство защиты информации от несанкционированного доступа), антивирусное средство, межсетевой экран, СКЗИ.
Дополним условия:
- все продукты совместимы (Вы же заранее проверили);
- в инструкциях нет специальных указаний по порядку установки СЗИ.
Если считать, что все эти СЗИ - отдельные продукты, то я бы рекомендовала следующий порядок:
- СКЗИ (средство криптографической защиты);
- ПМЭ (персональный межсетевой экран);
- СЗИ от НСД (средство защиты от несанкционированного доступа);
- Антивирус.
СКЗИ желательно установить и затем протестировать соединение, пока точно нечему блокировать пакеты. Поставили, настроили, протестировали доступность необходимых узлов по шифрованному каналу. Работает? Поехали дальше.
Ставим ПМЭ. Поставили, настроили, проверяем еще раз доступность необходимых сетевых ресурсов, в том числе по защищенному каналу. Работает? Поехали дальше.
Ставим СЗИ от НСД. В данном случае я бы уточнила, что ставить СЗИ от НСД всегда лучше предпоследним или последним, независимо от количества СЗИ. СЗИ от НСД «берет» на контроль системные файлы, файлы операционной системы, директории установленных СЗИ, проверяя контроль целостности файлов.
Антивирус (или предпоследний) исключительно из соображений соблюдения требований по установке большинства производителей СЗИ: для корректной установки других СЗИ (не антивирус) чаще всего необходимо отключить антивирус на время установки.
Для получение ответов - задайте вопросы ;)
Евгения Гуральник
Неравнодушная к защите информации
четверг, 17 января 2019 г.
Как самостоятельно подготовить компьютер к установке средств защиты информации
"Дел на пять минут" - думает русский человек и ставит полученное ПО. Через пять минут, действительно все устанавливается с помощью многократного нажатия кнопки "Далее", перезагрузка и дальше несколько вариантов:
Узнаете себя? Нет?
Тогда давайте на всякий случай пройдемся по мини-чек листу. Заходим в систему под учетной записью с администраторскими правами и приступаем:
1. Разделить жесткий диск на два логических диска. Диск C - для установки ОС, Диск D - для хранения документов. В случае, если ОС даст сбой, вероятность сохранить данные намного выше.
2. Перенести все данные с диска С на диск Д, желательно создав удобную структуру документов. И не забудьте про рабочий стол, на котором постоянно хранятся все самые ценные документы. Вы можете или скопировать документы с рабочего стола на диск Д, или перенести сам рабочий стол на хранение на диск Д. Во втором случае все Ваши документы также будут отражаться на рабочем столе.
3. Проверить учетные записи. У Вас должны быть учетные записи для каждого пользователя и отдельно учетная запись администратора. При этом Учетные записи должны исключать стандартные названия, такие как "Гость", "Администратор", "Пользователь", "User" и т.д. Не забудьте проверить встроенную учетную запись администратора - ее также нужно переименовать. Остальные учетные записи, неиспользуемые в системе, нужно заблокировать или удалить. Но иногда специализированное ПО использует автоматически создаваемую учетную запись для работы, поэтому перед удалением учетной записи убедитесь, что они не используются.
4. Назначить права пользователям. Назначьте группы для пользователей, которые им необходимы для выполнения служебных обязанностей. При назначении групп и разрешенных действий всегда руководствуйтесь правилом: запретить все, затем разрешить действия необходимые для работы. Аналогично для учетных записей, созданных для специализированного ПО.
Также назначьте права доступа для папок на диске Д, назначив и/или убрав права для пользователей и/или групп пользователей. Проверьте существующие доступы системных учетных записей
5. Задать пароли для учетных записей. Ни в коем случае не оставляйте пустые пароли - в некоторых случаях после установки средств защиты информации Вы просто не сможете войти в свою учетную запись. Для создании паролей воспользуйтесь генератором паролей или следуйте следующим правилам:
6. Сделать резервную копию данных. Перед установкой нового программного обеспечения скопируйте данные с диска Д на отчуждаемый носитель. Создайте точку восстановления системы встроенными средствами ОС или с помощью ПО, создаваемого образ системы, например Acronis.
7. Обновить все установленное программное обеспечение, включая операционную систему.
8. Проверить, все ли характеристики системы подходят под устанавливаемое ПО: совместимо ли ПО, есть ли необходимое место на диске С.
9. Удалить аналогичное ПО с компьютера. Пример аналогичных программ: Dallas Lock - Secret Net, Kaspersky Antivirus - Dr. Web.
10. Проверить диск С встроенной в ОС программой проверки жестких дисков, устранить дефекты.
11. Провести дефрагментацию жесткого диска.
12. Проверить компьютер на отсутствие вирусов.
13. Закрыть запущенные программы и приложения, т.к. установка потребует перезагрузки системы.
14. Отключить антивирусное ПО для установки средств защиты информации при необходимости. Обычно, информация об этом указана в инструкции на устанавливаемое ПО. Обязательно соблюдайте данный пункт, иначе ПО может быть установлено с ошибками и работать некорректно.
Вот и все. После подготовки можете установить ПО, перезагрузить систему и приступать к настройкам.
А как проверить приобретенное СЗИ читаем здесь
Как вы заметили, статья заточена под пользователей Windows, но, думаю, для тех, кто уже годами эксплуатирует другие операционные системы, не составит труда применить указанный чек-лист с необходимыми уточнениями.
- вроде все нормально, настраиваю!
- что-то медленно загружается...
- синий экран (один раз не страшно!)
- что это за сообщения? что эта дурацкая программа имеет ввиду?
Узнаете себя? Нет?
Тогда давайте на всякий случай пройдемся по мини-чек листу. Заходим в систему под учетной записью с администраторскими правами и приступаем:
1. Разделить жесткий диск на два логических диска. Диск C - для установки ОС, Диск D - для хранения документов. В случае, если ОС даст сбой, вероятность сохранить данные намного выше.
2. Перенести все данные с диска С на диск Д, желательно создав удобную структуру документов. И не забудьте про рабочий стол, на котором постоянно хранятся все самые ценные документы. Вы можете или скопировать документы с рабочего стола на диск Д, или перенести сам рабочий стол на хранение на диск Д. Во втором случае все Ваши документы также будут отражаться на рабочем столе.
3. Проверить учетные записи. У Вас должны быть учетные записи для каждого пользователя и отдельно учетная запись администратора. При этом Учетные записи должны исключать стандартные названия, такие как "Гость", "Администратор", "Пользователь", "User" и т.д. Не забудьте проверить встроенную учетную запись администратора - ее также нужно переименовать. Остальные учетные записи, неиспользуемые в системе, нужно заблокировать или удалить. Но иногда специализированное ПО использует автоматически создаваемую учетную запись для работы, поэтому перед удалением учетной записи убедитесь, что они не используются.
4. Назначить права пользователям. Назначьте группы для пользователей, которые им необходимы для выполнения служебных обязанностей. При назначении групп и разрешенных действий всегда руководствуйтесь правилом: запретить все, затем разрешить действия необходимые для работы. Аналогично для учетных записей, созданных для специализированного ПО.
Также назначьте права доступа для папок на диске Д, назначив и/или убрав права для пользователей и/или групп пользователей. Проверьте существующие доступы системных учетных записей
5. Задать пароли для учетных записей. Ни в коем случае не оставляйте пустые пароли - в некоторых случаях после установки средств защиты информации Вы просто не сможете войти в свою учетную запись. Для создании паролей воспользуйтесь генератором паролей или следуйте следующим правилам:
- пароль должен состоять из случайно подобранных символов, исключая слова, имена, даты и т.п.;
- содержать не менее 8 символов, для администратора рекомендуемая длина пароля - не менее 12 символов;
- содержать буквы разного регистра (большие, маленькие), цифры, специальные символы (&%@#$).
6. Сделать резервную копию данных. Перед установкой нового программного обеспечения скопируйте данные с диска Д на отчуждаемый носитель. Создайте точку восстановления системы встроенными средствами ОС или с помощью ПО, создаваемого образ системы, например Acronis.
7. Обновить все установленное программное обеспечение, включая операционную систему.
8. Проверить, все ли характеристики системы подходят под устанавливаемое ПО: совместимо ли ПО, есть ли необходимое место на диске С.
9. Удалить аналогичное ПО с компьютера. Пример аналогичных программ: Dallas Lock - Secret Net, Kaspersky Antivirus - Dr. Web.
10. Проверить диск С встроенной в ОС программой проверки жестких дисков, устранить дефекты.
11. Провести дефрагментацию жесткого диска.
12. Проверить компьютер на отсутствие вирусов.
13. Закрыть запущенные программы и приложения, т.к. установка потребует перезагрузки системы.
14. Отключить антивирусное ПО для установки средств защиты информации при необходимости. Обычно, информация об этом указана в инструкции на устанавливаемое ПО. Обязательно соблюдайте данный пункт, иначе ПО может быть установлено с ошибками и работать некорректно.
Вот и все. После подготовки можете установить ПО, перезагрузить систему и приступать к настройкам.
А как проверить приобретенное СЗИ читаем здесь
Как вы заметили, статья заточена под пользователей Windows, но, думаю, для тех, кто уже годами эксплуатирует другие операционные системы, не составит труда применить указанный чек-лист с необходимыми уточнениями.
Для получение ответов - задайте вопросы ;)
Евгения Гуральник
Евгения Гуральник
Неравнодушная к защите информации
Как проверить полученное средство защиты информации
Да-Да.
Недостаточно просто купить средство защиты информации.
Вы уже, надеюсь, знаете, что нужно обязательно проверять комплектацию купленных продуктов и бухгалтерские документы.
Но когда Вы приобретаете сертифицированное средство защиты информации, должны быть более бдительны.
В первую очередь проверяем состав полученного пакета, должно быть:
Недостаточно просто купить средство защиты информации.
Вы уже, надеюсь, знаете, что нужно обязательно проверять комплектацию купленных продуктов и бухгалтерские документы.
Но когда Вы приобретаете сертифицированное средство защиты информации, должны быть более бдительны.
В первую очередь проверяем состав полученного пакета, должно быть:
- диск с установочным дистрибутивом;
- паспорт или формуляр изделия (иногда и то, и другое);
- голографическая наклейка (обычно вклеена в формуляр/паспорт или наклеена на упаковку диска. Если куплено много лицензий, то может быть не одна наклейка, а лист с наклейками). На голографической наклейке напечатан индивидуальный номер сертификации, который дублируется в паспорте/формуляре;
- копия сертификата соответствия с описанием, документов, по которым сертифицировано изделие. Иногда его вклеивают в паспорт/формуляр;
- инструкции могут быть как распечатаны, так и записаны на диск.
Во вторую очередь проверяем содержимое диска, но не только состав.
Контрольная сумма сертифицированного средства защиты информации должна обязательно совпадать с той, которая указана в паспорте/формуляре. В противном случае, это может говорить о невнимательности производителя или, что хуже, о недекларированных возможностях дистрибутива, наличием вредоносного ПО, программ-шпионов.
Кстати, контрольные суммы рассчитываются не только для сертифицированного ПО. У любого производителя Вы можете запросить эту информацию, для проверки "чистоты" приобретенного ПО.
Алгоритм расчета контрольных сумм также можно посмотреть в паспорте/формуляре. Для проверки контрольных сумм Вам понадобится специальное ПО для расчета. Лучше использовать сертифицированное ПО, такое как ФИКС 2.0.2, например.
Контрольные суммы сверяются при обязательном отключении антивируса, т.к. он влияет на процесс и может исказить результат расчета.
Если контрольные суммы не совпали с указанными в формуляре/паспорте, обязательно обратитесь к поставщику или к производителю, в случае если Вы покупали напрямую.
Для получение ответов - задайте вопросы ;)
Евгения Гуральник
Неравнодушная к защите информации
четверг, 28 июня 2018 г.
Уголовная ответственность за нарушение ИБ
Одной из главных проблем в информационной безопасности является обоснование необходимости защиты информации. Можно сколь угодно долго описывать требования регуляторов, но руководство всегда будет интересовать вопрос, случалось ли что-то подобное в других организациях. Полезно также будет рассказать сотрудникам о возможных последствиях их вредных действий для них самих для более аккуратного соблюдения требований безопасности. Тут полезно было бы обратиться к судебной практике по защите информации.
Но не все так просто. Для эффективного поиска судебных решений полезно было бы знать основные статьи Уголовного кодекса, касающихся преступлений в сфере информационной безопасности. Однако законодательство в сфере информационной безопасности меняется достаточно быстро.
Так, 26 июля 2017 года вышел в свет Федеральный закон, вносящий изменения в Уголовный кодекс Российской Федерации, а именно в главу 28, посвященную преступлениям в сфере компьютерной информации. С первого января 2018 года глава обзаведется еще одной статьей, а именно 274.1, предусматривающей ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации. Данная статья достаточно полно описывает возможные нарушения защищенности информации критической информационной инфраструктуры с точки зрения триады «конфиденциальность-целостность-доступность». Так, первый ее пункт посвящен вредоносному программному обеспечению, которое всегда занимало особое место в 28 главе УК РФ. За создание, распространение и (или) использование компьютерных программ, предназначенной для неправомерного воздействия на критическую информационную инфраструктуру грозит лишение свободы от двух до пяти лет со штрафом в размере от пятисот тысяч до миллиона рублей. Второй пункт имеет дело с посягательством на конфиденциальность информации, содержащейся в критической информационной инфраструктуре. За подобное деяние преступник может получить от двух до шести лет лишения свободы со штрафом от пятисот тысяч до одного миллиона рублей. Третий пункт устанавливает ответственность за нарушение доступности и целостности критической информационной инфраструктуры и наказывается лишением свободы сроком до шести лет. В случае, если вред критической инфраструктуре причинен группой лиц по предварительному сговору, срок, очевидно, увеличивается – в этом случае грозит лишение свободы на срок от трех до восьми лет. А в случае, если деяние повлекло тяжкие последствия – от пяти до десяти лет.
Также уголовная ответственность грозит в случае таких же деяний в отношении некритических инфраструктур. За неправомерный доступ к информации, согласно статье 274 Уголовного кодекса Российской Федерации, грозит до двух лет лишения свободы, а в случае наступления тяжких последствий - семи лет лишения свободы. Аналогичное наказание ждет лиц, занимающихся созданием, использованием и распространением вредоносных компьютерных программ. А вот за нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей согласно статье 274 грозит максимум до пяти лет.
Помимо 28 главы Уголовного кодекса существует также целый ряд преступлений, который можно причислить к преступлениям в информационной сфере. Так, например, статья 138.1 Уголовного кодекса предусматривает ответственность за незаконный оборот специальных технических средств, предназначенных для негласного получения информации. Примером может послужить резонансное дело 2013 года, когда мужчина был осужден на год условно после покупки в китайском интернет-магазине ручку с встроенной видеокамерой. И можно сказать, что он еще легко отделался, ведь за подобное преступление грозит до четырех лет лишения свободы.
Также отдельно наказывается согласно статье 159.6 мошенничество в сфере компьютерной информации. Под эту статью подпадают различные уголовные дела. Например, известно несколько дел, когда бухгалтера, используя электронную подпись предприятия, перечисляли себе денежные средств сверх положенной заработной платы. За данное преступление можно получить до четырех месяцев ареста, а в случае совершения организованной группой либо в особо крупном размере уже до десяти лет лишения свободы со штрафом до миллиона рублей.
Кроме того, неправомерным действиям со сведениями, составляющими государственную тайну, также посвящено несколько статей Уголовного кодекса, а именно статья 283, предусматривающая ответственность за разглашение государственной тайны в виде лишения свободы до четырех лет и до семи, если деяние повлекло по неосторожности тяжкие последствия, статья 283.1, посвященная незаконному получению сведений, составляющих государственную тайну, с наказанием до восьми лет лишения свободы и статья 284, предусматривающая наказание до трех лет лишения свободы за утрату документов, содержащий государственную тайну.
Но одной государственной тайной не ограничивается Уголовный кодекс, он также охраняет и другие виды тайны. Так, например, статья 183 устанавливает уголовную ответственность за незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. За данное преступление грозит до двух лет лишения свободы, а в случае наступления тяжких последствий – до семи лет. Охраняется также и инсайдерская информация. За ее неправомерное использование согласно статье 185.6 следует наказание вплоть до лишения свободы на срок от двух до шести лет лишения свободы со штрафом от пятидесяти до ста тысяч рублей. Также грозит наказание до трех месяцев ареста за разглашение данных предварительного расследования согласно статье 310 Уголовного кодекса.
Законодательство в сфере информационных технологий изменяется очень быстро, поэтому составить список «лучших практик на все времена» не получится, однако в течение года или двух данный перечень будет сохранять свою актуальность. Если, конечно, за это время не произойдет кардинальных изменений.
Для Вас тему исследовала Иванова Мария, специалист по защите информации
среда, 27 июня 2018 г.
GDPR - новый способ манипулирования
"Голь на выдумки хитра", пронеслось у меня в голове после прочтения очередной новости о нашумевшем регламенте.
Теперь хакеры уже угрожают не уничтожением данных, а тем, что выложат добытую информацию на общедоступный сервер. Напомню, что GDPR касается защиты персональных данных, но теперь, помимо неудобств субъекта ПДн и возможных исков за моральный ущерб, компания, у которой похитили данные может попасть на приличный штраф - в размере 4% от годового оборота (верхней планкой называют 20 000 000 евро).
Конечно, "добрые" хакеры предоставляют выбор - Вы можете выкуп заплатить (размер до 20 000$). Но! Это инцидент , а согласно регламенту, Вы обязаны сообщить о произошедшем не позднее, чем через 72 часа после происшествия.
И что же выберите Вы?
Мы рекомендуем рассмотреть указанную ситуацию как возможный риск и уже сейчас принять меры для защиты персональных данных и Ваших информационных систем, содержащих другую конфиденциальную информацию.
Теперь хакеры уже угрожают не уничтожением данных, а тем, что выложат добытую информацию на общедоступный сервер. Напомню, что GDPR касается защиты персональных данных, но теперь, помимо неудобств субъекта ПДн и возможных исков за моральный ущерб, компания, у которой похитили данные может попасть на приличный штраф - в размере 4% от годового оборота (верхней планкой называют 20 000 000 евро).
Конечно, "добрые" хакеры предоставляют выбор - Вы можете выкуп заплатить (размер до 20 000$). Но! Это инцидент , а согласно регламенту, Вы обязаны сообщить о произошедшем не позднее, чем через 72 часа после происшествия.
И что же выберите Вы?
Мы рекомендуем рассмотреть указанную ситуацию как возможный риск и уже сейчас принять меры для защиты персональных данных и Ваших информационных систем, содержащих другую конфиденциальную информацию.
вторник, 5 июня 2018 г.
Правила защиты персональных данных GDPR
Как показывают появившиеся новости, GDPR не может оставить людей равнодушными и это ли не счастье: суета, деятельность, вопросы, поиск ответов. Не так уж много людей разделят мою радость - для ряда организаций GDPR уже стало проблемой.
Например, сайты популярных газет: Chicago Tribune, The Los Angeles Times и New York Daily News, - перестали работать из-за несоответствия новым правилам защиты персональных данных.
Как будут работать закон в Европе в отношении репортажной съемки тоже пока не ясно, ведь публиковать фотографии третьих лиц без их разрешения теперь тоже запрещено, а нарушения караются внушительными штрафами и даже тюрьмой.
Напомню, область действия GDPR:
соответственно в зависимости от размеров нарушений.
Список регуляторов по GDPR можно посмотреть по этой ссылке.
В дополнение хочу сказать, что для Российских организаций, которые "держат руку на пульсе" и отслеживают Российское законодательство в сфере ИБ требования GDPR не покажутся новыми: требования учитывать правила защиты персональных данных как на этапе эксплуатации системы, так и на этапе планирования, документировать процессы обработки ПДн, проводить оценку рисков и уведомлять об инцидентах надзорные органы - все это уже практикуется финансовыми компаниями и частично организациями в других сферах.
Центр защиты информации "Шартрез" готов предложить свои услуги по направлению GDPR.
Например, сайты популярных газет: Chicago Tribune, The Los Angeles Times и New York Daily News, - перестали работать из-за несоответствия новым правилам защиты персональных данных.
Как будут работать закон в Европе в отношении репортажной съемки тоже пока не ясно, ведь публиковать фотографии третьих лиц без их разрешения теперь тоже запрещено, а нарушения караются внушительными штрафами и даже тюрьмой.
Напомню, область действия GDPR:
- операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет
- обработка персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС, в тех случаях, когда такая деятельность по обработке относится к:
- Предложение товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе;
- Отслеживание их действий при условии, что таковые осуществляются в пределах ЕС».
соответственно в зависимости от размеров нарушений.
Список регуляторов по GDPR можно посмотреть по этой ссылке.
В дополнение хочу сказать, что для Российских организаций, которые "держат руку на пульсе" и отслеживают Российское законодательство в сфере ИБ требования GDPR не покажутся новыми: требования учитывать правила защиты персональных данных как на этапе эксплуатации системы, так и на этапе планирования, документировать процессы обработки ПДн, проводить оценку рисков и уведомлять об инцидентах надзорные органы - все это уже практикуется финансовыми компаниями и частично организациями в других сферах.
Центр защиты информации "Шартрез" готов предложить свои услуги по направлению GDPR.
Подписаться на:
Комментарии (Atom)
-
Первое, и самое важное, о чём необходимо помнить – думать о создании бэкапов надо ДО того, как все данные утеряны. На этом наши с...
