ЦЕНТР ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Информационная безопасность в образовательных учреждениях г.о. Тольятти Кокорин Сергей Викторович заместитель директора (8482) 22-34-81 [email protected] Тольятти 7 мая 2016 г. Security is a process, not a product Безопасность это процесс, а не результат. Bruce Schneier • • • • Безопасный доступ в Интернет Антивирусная безопасность Социальная инженерия Безопасность персональных данных Безопасные корабли - это вытащенные на берег корабли. Анахарсис Скифский БЕЗОПАСНЫЙ ДОСТУП В ИНТЕРНЕТ Безопасный доступ в Интернет • Пакет документов, регламентирующих организацию и обеспечение информационной безопасности • Комплекс программно-аппаратных средств Пакет документов в МОУ • Приказ Департамента образования г.о.Тольятти от 16.02.2007 г № 49 «Об информационной безопасности». • Распоряжение МОиН СО от 16.04.2007 №200-р «О внедрении системы контентной фильтрации доступа общеобразовательных учреждений Самарской области к ресурсам сети Интернет». Пакет документов в МОУ • Правила использования сети Интернет в образовательном учреждении • Документ ознакомления и согласия с Правилами использования сети Интернет в образовательном учреждении, удостоверенное подписью в документе ознакомления и согласия с правилами • Регулярное (периодичное) заполнение документа ознакомления… Пакет документов в МОУ • Инструкция для сотрудников ОУ о порядке действий при осуществлении контроля за использованием учащимися и работниками учреждения ресурсов Интернет • Администратор точки доступа к сети Интернет • Должностная инструкция администратора точки доступа к сети Интернет в ОУ. Пакет документов в МОУ • Положение о Совете образовательного учреждения по вопросам регламентации доступа к ресурсам сети Интернет • Персональный состав Совета • Поддержание актуальности персонального состава Совета • Регламент работы учащихся, учителей (преподавателей) и сотрудников ОУ. Пакет документов в МОУ • Документ регистрации посетителей точки доступа к сети Интернет в образовательном учреждении • Документ регистрации ресурсов, посещаемых с точки доступа к сети Интернет в образовательном учреждении • Регулярное (периодичное) заполнение документов регистрации Пакет документов в МОУ • Ответственный за антивирусную безопасность ОУ • Локальные акты регламентирующие обязанности ответственных за антивирусную безопасность ОУ Лучше быть в безопасности, чем потом сожалеть Американская пословица АНТИВИРУСНАЯ БЕЗОПАСНОСТЬ Антивирусная безопасность • Лицензионное антивирусное программное обеспечение на ВСЕ АРМ в ОУ • Регулярное обновление антивирусных баз (сигнатур и т.п.) Антивирусная безопасность • Контроль на входе Антивирусная безопасность • Контроль на выходе "Человек - самый надежный и одновременно самый уязвимый источник информации" Анатолий Брединский СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ Определения Социальная инженерия (Social engineering) — совокупность подходов в прикладных социальных науках, ориентированных: • на изменение поведения и установок людей; • на разрешение социальных проблем; • на адаптацию социальных институтов к изменяющимся условиям; • на сохранение социальной активности. Источник: http://www.glossary.ru Определения Социальная инженерия - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Источник: http://ru.wikipedia.org Определения Спам (англ. spam) — рассылка коммерческой, политической и иной рекламы или иного вида сообщений лицам, не выражавшим желания их получать. Легальность массовой рассылки некоторых видов сообщений, для которых не требуется согласие получателей, может быть закреплена в законодательстве страны. Например, это может касаться сообщений о надвигающихся стихийных бедствиях, массовой мобилизации граждан и т. п. В общепринятом значении термин «спам» в русском языке впервые стал употребляться применительно к рассылке электронных писем. Источник: http://ru.wikipedia.org Электронная переписка •Не отвечать СПАМерам •Не открывать подозрительных вложений •Не КРИЧАТЬ в письмах •Отложенный телефонный звонок Пароли • • • • • • Алфавитно-цифровой Большие, маленькие буквы Спецсимволы (!»№;%:?*,) Не менее 6-8 символов Не должен содержать личных сведений Не словарное слово Пароли • • • • 4KitzKLQ B64Gtw5j3S 0,hf0jdfybt (Образование) R0:3uca (Каждый Охотник Желает Знать Где Сидит Фазан) Пароли • Не сообщать никому ни обстоятельствах • Хранить в надежном месте при каких Общие ресурсы в сети • Конфиденциальная информация в общем доступе • Типовые формы документов (шаблоны) Мероприятия • Упорядочивание всех процессов обработки информации • Политика безопасности • Инструкции и регламенты по использованию средств обработки информации • Правила предоставления доступа к информационным ресурсам • Соглашение о конфиденциальности • Регулярное обучение по вопросам информационной безопасности • Ответственность за невыполнение требований В России все секрет, и ничто не тайна. А. Сталь ПЕРСОНАЛЬНЫЕ ДАННЫЕ Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в редакции Федеральных законов от 25.11.2009 №266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ, от 29.11.2010 № 313-ФЗ, от 23.12.2010 № 359-ФЗ, от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Сфера действия закона …законом регулируются отношения, связанные с обработкой персональных данных,.. с использованием средств автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. Изменения в 152-ФЗ «О персональных данных» За безопасность необходимо платить, а за её отсутствие расплачиваться. Уинстон Черчилль Ответственность • Трудовой кодекс • Кодекс об административных правонарушениях (КоАП) • Уголовный кодекс • Гражданский кодекс Поддержка, консультации •Сайт Центра технологий: информационных http://www.tgl.net.ru «Информационная безопасность» Поддержка, консультации Правовые системы: •Консультант Плюс: Интернет http://www.consultant.ru/online/ •Интернет-версия системы ГАРАНТ http://www.garant.ru/iv.htm Повышение квалификации •ИНТУИТ http://www.intuit.ru («Безопасность» (курсов: 29) •Центр профессиональной подготовки http://noucpp.ru/ В наибольшей безопасности тот, кто начеку, даже когда нет опасности Сайрус Спасибо за внимание!