Add to collection(s) Add to saved
  1. No category

Khalimov

advertisement 
Проблемы информационной безопасности и
пути их решения
Докладчик
доктор технических наук, профессор,
заведующий кафедры
безопасности информационных технологий
Халимов Геннадий Зайдулович
Инструменты электронного
документооборота
Информационная (автоматизированная) система - система, в
которой реализуется технология обработки информации с
помощью технических и программных средств
Телекоммуникационная система - совокупность технических и
программных средств, предназначенных для обмена информацией
путем передачи, излучения или приема ее в виде сигналов, знаков,
звуков, подвижных или неподвижных изображений или иным
способом
Информационно-телекоммуникационная система (ИТС) совокупность взаимосвязанных информационных и
телекоммуникационных систем, которые в процессе обработки
информации действуют как единая система
Информационная безопасность
• Безопасность системы - свойство системы, которая заключается в
том, что риск получения последствий в процессе функционирования
системы минимален. Понятие безопасности связано с понятиями
целостности и защиты.
• Информационная безопасность - это состояние защищенности
информационной среды и информационных ресурсов общества, в
котором обеспечивается их формирование, использование и
развитие в интересах юридических и физических лиц, и государства.
• Обеспечение конфиденциальности, целостности, доступности и
наблюдательности позволяет успешно конкурировать на рынках
производства и сбыта товаров и услуг.
Основные услуги безопасности
информации в ИТС
•
•
•
•
•
Целостность - свойство информации, которая заключается в том, что она не
может быть изменена случайно или намеренно неавторизованными
пользователями и (или) процессами
Доступность - свойство доступности и использование активов по требованию
авторизованного объекта (ISO / IEC 13335-1: 2004, ГСТУ СУИБ1.0 / ISO / IEC
27001: 2010)
Конфиденциальность - свойство информации не становиться доступной и
раскрытой для неавторизованных лиц, объектов или процессов (ISO / IEC
13335-1: 2004, ГСТУ СУИБ1.0 /ISO/IEC 27001: 2010)
Наблюдательность - свойство ресурса системы позволяющей регистрировать
(фиксировать) работу и действия пользователей и процессов, использование
ресурса системы, однозначно устанавливать идентификаторы (имена)
причастных к определенным событиям пользователей и процессов, а также
реагировать на эти события с целью минимизации возможных потерь в системе
Неопровержимость - свойство предотвращению возможности отрицания
субъектами (пользователями) и объектами (процессами) фактов полного или
частичного принятия участия в информационном обмене или информационном
взаимодействии
Несанкционированный доступ
• Несанкционированный доступ (НСД) - доступ к информации,
осуществляется с нарушением правил разграничения доступа.
• Идентификация - процессы присвоения субъекту или объекту
уникального обозначения - имени или кода, характерных
признаков, наличие которых позволяет выделить данный
объект/субъект среди множества других, а также процесс
предъявления субъектом или объектом этого идентификатора.
• Установление подлинности (авторизация) - проверка того,
является ли объект / субъект (проверяется) тем за кого он себя
выдает.
• Определение полномочий - установление для объекта /
субъекта прав доступа к информации (ресурса), который
защищается.
Потери от кибер преступлений
[Norton/Symantec cybercrime report, 2013]
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
•
•
•
•
- Верховной Радой Украины 1 июня 2010 принят Закон Украины «О защите
персональных данных», а 6 июля 2010 ратифицирована Конвенция о защите
лиц в связи с автоматизированной обработкой персональных данных и
Дополнительного протокола к Конвенции о защите лиц в связи с
автоматизированной обработкой персональных данных относительно органов
надзора и трансграничных потоков данных.
- Указом Президента Украины 9 декабря 2011 создана Государственная служба
Украины по вопросам защиты персональных данных, как орган центральной
исполнительной власти, деятельность которого направляется через Министра
юстиции.
-Конвенция о защите лиц относительно автоматизированной обработки данных
личного характера, которую приняли государства - члены Совета Европы,
определяет обеспечение на территории каждой Страны для каждого лица,
независимо от его гражданства или места проживания, соблюдения его прав и
основных свобод, в частности права на неприкосновенность частной жизни, в
связи с автоматизированной обработкой персональных данных, касающихся
этого лица.
- Для реализации этой цели Европейским Союзом принята Директива 95/46/ЕС
по защите персональных данных, а в странах Европы - национальные законы в
сфере защиты персональных данных.
Персональные данные
• Персональные данные - сведения или совокупность сведений
о физическом лице, которые позволяют идентифицировать или
по которым может быть идентифицировано (Закон Украины «О
защите персональных данных»)
• Данное определение соответствует концепции широкого
определения, принятого в Европейском Союзе.
• Определение персональных должно быть настолько общее
насколько это возможно, чтобы включить всю информацию,
которая может и в будущем быть отнесена к лицу, может быть
использована для идентификации.
• В соответствии с законом «данные являются сведениями о
физическом лице, если они касаются идентичности,
характеристик или поведения человека, или если такая
информация используется для определения или влияет на
методы воздействия на поведение человека или на методы ее
оценки»
Принципы защиты персональных данных
•
•
•
•
•
•
•
•
законность
конкретность целей
пропорциональность
качество данных
ограничение срока обработки
прозрачность и оппозиция
защита данных
ограничение передачи иностранным субъектам
Организационные и технические меры защиты
персональных данных и оценки их эффективности
•
•
•
•
•
Субъекты отношений, связанных с персональными данными,
обязаны обеспечить защиту этих данных от незаконной
обработки, а также от незаконного доступа к ним.
Конкретные требования мер защиты законом не
регламентированы.
Реализуются требования, адекватные рискам нарушения
законодательства в сфере защиты персональных данных.
Использование международных стандартов рассматривается
как «инструментарий для перехода на уровень соответствия
процесса обработки персональной информации существующим
нормам законодательства»
Для защиты персональных данных используются как
традиционные, уже известные, средства защиты информации,
так и средства, которые позиционируются как технологии,
направленные на защиту персональных данных.
Технологии направленные на защиту персональных
данных (Privacy Protection Technologies)
• системы биометрического доступа на основе
криптографических методов, которые позволяют проверять
отпечатки пальцев в системах аутентификации, но не требуют
хранения образцов отпечатков пальцев;
• средства безопасного доступа к собственным персональным
данным с целью поддержания их актуальности и внесения
поправок;
• программные средства, которые позволяют автоматически
проверять соответствие политике безопасности сайтов с
заданными пользователем параметрами политики
безопасности;
• разнообразные средства обеспечения анонимности;
• надежные средства обезличивания персональных данных в
базах данных, и тому подобное.
Направления деятельности уполномоченного
государственного органа по защите персональных данных
• Первоочередные задачи - разработка проектов нормативных
правовых документов: "Положение о Государственном реестре баз
персональных данных и порядок его ведения" и "Типового порядка
обработки персональных данных"; создание первой очереди
информационной системы реестра.
• Разработка корпоративных кодексов поведения в целях
обеспечения эффективной защиты прав субъектов персональных
данных профессиональными объединениями
Благодарю за внимание
Необходимость безопасных решений для
клиентов на современном конкурентном
рынке потребительской электроники
Важность безопасных решений
• Смартфон - мобильный
телефон построенный на
мобильной операционной
системе, с более продвинутой
вычислительной мощностью и
подключения, чем обычный
телефон [Википедия]
• Мобильная операционная
система: Linux (Android, Tizen и
т.д.), IOS, и т.д., потенциально
уязвимы для вредоносного ПО
(вирусы, черви, троянские кони
и т.д.)
Финансовые угрозы пользователей
смартфонов через вредоносные программы
• Невидимый пользователь создает
автоматически большое количество
звонков и SMS
• Мобильный банкинг предоставляет
полномочия применения кражи с
помощью:
 банковского приложения мобильной
атаки (Зевс/SpyEye вредоносных
программ для мобильных телефонов и
т.д.)
• Доступ к читателям банковских карт,
подключенный к смартфону через порт
микрофона, чип NFC, и т.д.
Другие угрозы пользователей смартфонов
через вредоносные программы
• Угрозы конфиденциальности
(шпионаж) для
дистанционной передачи к
хакерской группе:
 запись голоса
 видео и фото
 список контактов, смс и т.д.
 расположение клиентов по
данным GPS и т.д.
• Инкриминирование клиентов,
так что он становится
источником нападения
киберпреступности, когда
его/ее смартфон является
частью ботнета
Новые нападения на смартфонах:
'вредоносных программ визуализации"
Автоматизированная
вредоносное программное
обеспечение на основе камеры
фотографий для создания 3D
модели внутренней среды и
кражи данных финансовых
документов, информации на
мониторе и т.д.
Важность безопасных решений
• Smart TV является понятием,
используемым для описания текущей
тенденции интеграции Интернета и
веб-2,0 функций в современные
телевизоры и телевизионные
приставки, а также технологической
конвергенции между компьютерами и
телевизорами [Википедия]
• Мобильная операционная система:
Linux (Android, Tizen и т.д.), IOS, и т.д.,
потенциально уязвимы для
вредоносных программ
Угрозы смарт ТВ: почти те же самые
• Финансовые:
 Кражи банковских данных
• Угрозы конфиденциальности (шпионаж) для дистанционной
передачи хакерской группе из дома заказчика:
 запись голоса
 видео и фото
 шантаж при конфиденциальной записи пользователя в
домашних условиях
 семейные цифровые данные (фото, видео, контакты и т.д.)
• Инкриминирование клиентов в источник нападения
киберпреступности, когда его/ее Smart TV является частью
ботнета или прокси-узлом хакера
Последствия для общества
[Norton/Symantec cybercrime report, 2013]
Последствия для общества
[Norton/Symantec cybercrime report, 2013]
Последствия для общества
[Norton/Symantec cybercrime report, 2013]
Кто будет быть обвинен в случае нарушения
безопасности?
[Norton/Symantec cybercrime report, Sep 2012]
Related documents
АНКЕТА Участника конкурса эссе «Молодежь – в политику!» Ф.И
АНКЕТА Участника конкурса эссе «Молодежь – в политику!» Ф.И
Заявление о согласии на обработку персональных данных
Заявление о согласии на обработку персональных данных
Заявление потребителя по взысканию неустойки по договору
Заявление потребителя по взысканию неустойки по договору
Защита персональных данных в органах государственной
Защита персональных данных в органах государственной
Приложение 3 к объявлению о проведении конкурса Заявление
Приложение 3 к объявлению о проведении конкурса Заявление
анкету - Курсы веб-дизайна, Херсон. Курсы Photoshop
анкету - Курсы веб-дизайна, Херсон. Курсы Photoshop
Ф.И.О., должность, наименование организации
Ф.И.О., должность, наименование организации
Информационная безопасность школы
Информационная безопасность школы
Download
advertisement