1 / 74

Подготовка по безопасности-сознательности по информатике

Янош Шипош , Юрай Фиглар , Аттила Полингер Информационные услуги. Подготовка по безопасности-сознательности по информатике. Подготовка по безопасности-сознательности по информатике. Цель :.

george-foster
Download Presentation

Подготовка по безопасности-сознательности по информатике

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Янош Шипош, Юрай Фиглар, Аттила Полингер Информационные услуги Подготовка по безопасности-сознательности по информатике

  2. Подготовка по безопасности-сознательности по информатике Цель: Ознакомление и освоение знаний и успешных методов, необходимых для безопасного и правильного выполнения ежедневной работы на компьютере. Это важно, потому… … что безопасное выполнение работы обеспечивает как Вашу защиту, так и защиту собственности Группы МОЛ по информации и информатике. 2

  3. Подготовка по безопасности-сознательности по информатике Почему важно освоение знаний по безопасности информатики? • Инфраструктура информатики и хранимая в ней информация является частью имущества Группы МОЛ. В сфере собственной компетенции все сотрудники должны позаботиться о соответствующей защите имущества предприятия. • Материал обучения содержит основную информацию, необходимую для защиты данных, находящихся в собственности Группы МОЛ, и рассматривает надежность использования электронной переписки и Интернета, включая соблюдение правил по защите данных, использованию пароля, физической и логической безопасности, вредным программам, атакам, использующим доверие человека, а также значение событий по безопасности информатики и других важных принципов безопасности. • Внутренние требования, предъявляемые к безопасности информатики, определены в уставах Группы МОЛ. • Материал обучения представит только самые важные требования безопасности информатики и их применение через несколько типичных примеров. Знание материала обучения не заменяет знание предписаний Группы МОЛ! Что стоит знать… • Правила безопасности информатики на уровне группы: Справочник по Безопасности Информатики (краткое название: Справочник БИ). • Правила безопасности информатики на местном уровне: местные предписания предприятий Группы МОЛ. 3

  4. Informatikai biztonság-tudatossági képzés Кто должен участвовать в данной подготовке? • … все лица, использующие - сейчас или в будущем – инфраструктуру информатики Группы МОЛ, должны участвовать в подготовке по безопасности-сознательности по информатике. • Знания по безопасности информатики нужно возобновить в каждые два года (т.е. В каждые два года нужно участвовать в соответствующей подготовке). • После окончания подготовки нужно сдать экзамен. Что содержит материал обучения? 39 фольг, представляющих самые важные требования по безопасности информатики, 7 фольг с идеями и сообщениями, полезными на практике 26 типичных примеров. Каков будет экзамен? • Нужно ответить на 30 вопросов. • Часть вопросов похож на структуру типичных примеров, а остальные служат непосредственно для контроля знаний данных требований. • Для успешного экзамена нужно ответить правильно хотя бы на 23 вопроса. • Экзамен можно повторить в любое время, число успешных попыток не ограничено. 4

  5. Основные принципы безопасности информатики • Предписания по безопасности информатики являются действующими для всех, кто используют или намерены использовать инфраструктуру информатики Группы МОЛ, технические или программные средства, применяемые или установленные Группой МОЛ, независимо • от юридического статуса (сотрудник, подрядчик, внешний поставщик и т.д.), • от происхождения решения (собственная разработка, решение, разработанное внешним подрядчиком для Группы МОЛ, решение «под ключ», закупленное у внешнего поставщика и т.д.), и • От правовой и финансовой классификации решения (собственный, нанятый, арендованный в форме лизинг, свободно используемый и т.д.). • По возможности нужно предотвратить а не наладить инциденты по безопасности информатики. • Компетентную организацию Безопасности Информатики нужно проинформировать без задержки при любом недостатке безопасности информатики. Если Вы не уверены в том, кто является соответствующим лицом, пошлите письмо по электронному адресу itsecurity@mol.hu или наберите любой номер телефона Безопасности Информатики, которые указаны на предпоследнем диапозитиве. • Уровень безопасности информатики нельзя уменьшить. Почему это важно? Инфраструктура информатики и хранимая в ней информация является частью собственности Группы МОЛ. На своем уровне все сотрудники должны позаботиться о их защите. 5

  6. Сеть информатики и инфраструктура Компьютерную сеть Группы МОЛ нужно защищать как физически, так и логически. Нужно позаботиться о физической защите всех средств сети, т.е. нужно поместить в закрываемой стойке (rack) или в комнате с ограниченным доступом. Если технически реализуемо, тогда средства сети нужно снабдить защитой с паролем. Почему это важно? Средства сети нужно защитить как от повреждения, физических эффектов, так и от неуправомоченного доступа. А ДЛЯ ВАС что это все значит? Если Вы проводите надзор над любым элементом сети, Вы должны позаботиться о физической и логической защите этого элемента. 6

  7. Сеть информатики и инфраструктура • Подключение компьютера со связью с внутренней сетью коммуникации/передачи данных Группы МОЛ разрешается подключить к внешней сети любым способом (через модем с набором телефонного номера, беспроводный интерфейс, связь широкого диапазона и т.д.) разрешается только со специальным разрешением Безопасности Информатики. Почему это важно? Сеть информатики Группы МОЛ нужно защитить и таким образом от угроз, возможных со стороны Интернета (например от вредных программ). А ДЛЯ ВАС что это все значит? Никогда не подключайте свой компьютер со связью с внутренней сетью информатики или коммуникации Группы МОЛ одновременно И к внешней сети, поскольку таким образом вредные программы могут проникать во внутреннюю сеть предприятия. 7

  8. Сеть информатики и инфраструктура Средства информатики своей собственности или неизвестного происхождения разрешается подключить к сети информатики Группы МОЛ исключительно с разрешением руководителя информатики на уровне группы или местного уровня или Безопасности Информатики группового или местного уровня. В таких случаях нужно позаботиться о том, что средство информатики своей собственности соответствовал требованиям безопасности информатики Группы МОЛ. Почему это важно? Ваши средства информатики своей собственности могут содержать такие вредные программы, которые могут заразить сеть информатики Группы МОЛ. А ДЛЯ ВАС что это все значит? Никогда не подключайте средство информатики (компьютер, ручной компьютер, PDA, USB драйвер, USB ключ и т.д.) своей собственности или неизвестного происхождения к сети информатики Группы МОЛ без разрешения руководителя информатики на уровне группы или местного уровня или Безопасности Информатики группового или местного уровня (с Безопасностью Информатики группового уровня вы можете вступить в контакт простейшим образом в помощью электронного письма по адресуitsecurity@mol.hu). 8

  9. Сеть и инфраструктура информатики – Типичный случай Юлия на стоянке автомашин нашла средство для хранения данных «pendrive», которое показалось таким как те, что используются своими коллегами на месте работы. Она решила, что вернет его к владельцу. Она подумала, что проще всего будет, если подсоединит найденный «pendrive» к своему компьютеру и таким образом может определить фамилию владельца. Она подсоединила «pendrive» к компьютеру фирмы и компьютер больше не реагировала... на «pendrive» такой вирус был, который уничтожил все данные, хранимые на компьютере. Как поступили бы Вы на месте Юлии. Как поступили бы Вы на месте Юлии? Меня тоже интересовал(а) бы какие данные имеются на «pendrive», и поступил(а) бы так же. Меня тоже интересовал(а) бы какие данные имеются на «pendrive», и подсоединил бы к своему домашнему компьютеру. Я передал(а) бы «pendrive» для Безопасности Информатики или Службе Клиентов по Информатике. Передал(а) бы «pendrive» своему начальнику. Без разрешения Безопасности Информатики никогда не подключайте компьютер своей собственности или неизвестного происхождения к сети Группы МОЛ! 9

  10. Серверы и рабочие станции С точки зрения безопасности информатики важно, чтобы новые закупленные технические средства и/или программы соответствовали предписаниям Группы МОЛ, и не уменьшали актуальный уровень безопасности информатики. Для обеспечения необходимой совместимости при закупке новых программных и технических средств перед подключением к инфраструктуре информатики Группы МОЛ нужно провести анализ. Перед установкой усовершенствованных программных средств в реальной (рабочей) среде нужно провести тест с привлечением специалиста. Почему это важно? Нужно обеспечить, чтобы в Группе МОЛ только протестированные технические и программные средства надлежащей совместимости и с лицензией были использованы. А ДЛЯ ВАС что это все значит? Перед закупкой новых технических и программных средств для обеспечения соответствия и совместимости нужно провести согласование с организацией ИС (IS). 10

  11. Серверы и рабочие станции На компьютерах и в информационной сети Группы МОЛ разрешается использовать только программные средства надежного происхождения. На средства информатики Группы МОЛ разрешается установить исключительно легальные программные средства. Устарелые или нелегальные программные средства не разрешается установить на средства информатики или сеть Группы МОЛ и не разрешается там использовать. Новые технические средства и/или программные средства разрешается установить только специалистам, правомочным на это. „Обычные пользователи” не могут иметь разрешение, требуемое для установки программных средств. Почему это важно? Нужно обеспечить, чтобы в рамках Группы МОЛ только лишь легальные программные средства использовались, и установку программных средств осуществили исключительно правомочные пользователи. А ДЛЯ ВАС что это все значит? На средства информатики или сеть, находящиеся в собственности Группы МОЛ никогда не установите программные средства без соответствующих правомочий. 11

  12. Серверы и рабочие станции – Типичный случай Петр дома использует программу применения “SuperKomander”, который он скачал с Интернет еще в прошлом году. Эта является ограниченно используемой, передаваемой и/или распространяемой программой, т.е. программой с «shareware licensе», использование которой является бесплатным в течение 30 дней, а потом нужно заказать или стереть с компьютера. Петр хотел бы использовать эту программу и на своем месте работы. Как вы поступили бы на месте Петра? Я скачал бы программу с Интернет и использовал бы максимум 30 дней.. Яскачал бы программу с Интернет и использовал бы без учета временного ограничения. Я попросил бы своего начальника (получателя бюджетных средств), чтобы закупить полную версию программных средств. Я попросил бы своего друга, работающего у организации ИС (IS) чтобы он установил бы программу на мой компьютер. На средства информатики или сеть, находящиеся в собственности Группы МОЛ разрешается установить исключительно легальные программные средства и это разрешается делать только правомочному лицу! 12

  13. Серверы и рабочие станции Пользователи, на основе обоснованного запроса и с разрешением Безопасности Информатики могут получить правомочие администратора и/или локального администратора. Учет пользователей, имеющих правомочие администратора всегда нужно актуализировать. В учете нужно определить период, обоснование и факт выдачи надлежащего разрешения на правомочие локального администратора. Правомочие администратора и/или локального администратора разрешается использовать исключительно в целях, указанных в запросе. Почему это важно? Правомочием администратора обладают исключительно сотрудники с соответствующим правомочием. Правомочие администратора (и локального администратора) дает много возможностей, и ненадлежащее использование может привести к сложным проблемам. А ДЛЯ ВАС что это все значит? Вы можете просить правомочие локального администратора с соответствующим обоснованием, определением периода и одобрением своего начальника у Службы Клиентов ИС, если Вам это необходимо. Ваша просьба будет передана к Безопасности Информатики для одобрения. Правомочие администратора или локального администратора разрешается использовать исключительно по назначению, заданном в запросе. 13

  14. Серверы и рабочие станции На всех компьютерах, используемых в Группе МОЛ нужно запустить программу предохранения экрана, защищенную паролем, которая активизируется если в течение заранее определенного времени (макс. 15 минут) не используют компьютер. Пользователь должен блокировать компьютер, оставленный без присмотра (т.е. нужно активизировать программу предохранения экрана, защищенную паролем). Почему это важно? Каждый может воспользоваться компьютером, оставленным без блокирования и эту деятельность регистрируется системой, как деятельность самого пользователя. А ДЛЯ ВАС что это все значит? Компьютер всегда нужно блокировать, если оставляете без присмотра. 14

  15. Серверы и рабочие станции - Идеи Как можно активизировать программу предохранения экрана, защищенную паролем? Нужно щелкнуть на икону „Desktop” : (Стол)(это находится около кнопки "Start”). Нужно щелкнуть на стол правой кнопкой мыши, а потом на „Properties” (Свойства), в меню. В окне „Display properties”(Свойства вывода на экран) нужно щелкнуть на ушко "Screen saver"(Предохранитель экрана). Щелкнув на появившийся меню "Screen saver"нужно выбрать один из программ предохранения экрана. В поле„Wait"(Ожидание) установите, что через сколько минут должна запуститься программа предохранения экрана после последнего нажатия кнопки или пользования мышью. Оставьте отмеченным квадрат „Jelszavas védelem” (Защита паролем) (если не активирован, тогда нужно щелкнуть на квадрат). Нужно щелкнуть на кнопку "OK”. Установленный период не должен быть больше чем 15 минут. 15

  16. Серверы и рабочие станции – Типичный случай Игорь, работающий над очень важной сводной таблицей Excel, который содержит данные о месячном доходе, должен выйти из комнаты на короткое время. «Я выхожу только на одну минуту; не должен блокировать компьютер» - думает он. Как Вы поступили бы на месте Игоря ? Не блокировал бы компьютер - вышел бы немедленно и вернулся бы через одну минуту. Попросил бы коллегу работающего в соседней комнате, чтобы он смотрел за мой стой и компьютер. Блокировал бы компьютер и закрыл бы даже дверь. Вышел бы позже на перерыв. 16

  17. Серверы и рабочие станции Основные принципы безопасности: Перед тем, как оставить свой компьютер без присмотра, нужно блокировать с комбинацией кнопок Ctrl-Alt-Del. Нужно обеспечить, чтобы никто не мог следить на печатанием пароля. Не допускайте, чтобы кто-нибудь работал на вашем компьютере когда вы не присутствуете. Если подозреваете, что кто-то без правомочия использует ваш компьютер, то немедленно сообщите Безопасности Информатики и Безопасности Предприятия. Почему это важно? Каждый может воспользоваться вашим идентификатором по информатике, если под вашим именем имеет доступ к данным, может модифицировать или стереть данные. А ДЛЯ ВАС что это все значит? Вы должны позаботиться о том, чтобы никто не имел доступ к вашему компьютеру, когда вы не присутствуете. 17

  18. Портативные средства и носители данных Портативные средства (компьютер, PDA, мобильный телефон и портативные носители данных (pendrive, USB драйвер, гибкие диски, CD, DVD) могут быть переданы только сотрудникам с правомочием, и эти средства могут быть использованы только ими исключительно по назначению. Данные, хранимые на портативных средствах и носителях данных, всегда нужно окончательно стереть перед выводом из пользования (выбрасыванием) или перед передачей коллеге, внешнему сотруднику, другому отделу, предприятию и т.д.. Данные, хранимые на носителе pendrive, гибком диске(floppy) или жестком диске не удаляются обычным способом стирания! В случае вывода из пользования нужно позаботиться о физическом уничтожении гибких дисков (floppy) и дисков CD и DVD. Почему это важно? Эти меры предосторожности предотвращают злоумышленное использование данных Группы МОЛ, хранимых на средствах и носителях данных, выведенных из пользования. А ДЛЯ ВАС что это все значит? Во всех случаях нужно позаботиться о физическом уничтожении гибких дисков (floppy), дисков CD и DVD. Когда вы хотите окончательно стереть данные с pendrive или жесткий диск, нужно вступить контакт с организацией безопасности соответствующего уровня (или послать электронное письмо по адресуitsecurity@mol.hu). 18

  19. Портативные средства и носители данных Для предотвращения кражи нужно обеспечить физическую защиты с достаточной эффективностью. Почему это важно? Вы лично являетесь ответственным за защиту полученных портативных средств. А ДЛЯ ВАС что это все значит? Никогда не оставляйте портативные средства без присмотра, если не обеспечили надлежащие меры безопасности.Для портативного компьютера нужно использовать кабельный замок или закрыть компьютер в шкаф. Портативные средства никогда не оставляйте в легковой машине без присмотра. 19

  20. Портативные средства и носители данных – Типичный случай Иван возвращается домой после официальной поездки, и остановится у ресторана. Его портативный компьютер, полученный от предприятия, находится тоже в автомашине. Перед входом в ресторан он положит свой компьютер (notebook) в багажник. Он так думает, что багажник является достаточно надежным местом. Как Вы поступили бы на месте Ивана? Я взял бы портативный компьютер с собой в ресторан. Я оставил бы портативный компьютер в машине на сидении. Я положил бы портативный компьютер в багажник. Я взял бы портативный компьютер с собой и сдал бы в гардероб. Портативные средства никогда не оставляйте без присмотра (даже в автомашине)! 20

  21. Операционные системы На средствах информатики, находящихся в собственности Группы МОЛ разрешается установить и использовать только легальную операционную систему с поддержкой поставщика. Устарелые операционные системы и/или системы без поддержки поставщика нельзя использовать на средствах информатики Группы МОЛ. Почему это важно? Т.н. пакеты усовершенствования безопасности, необходимые для защиты против вредных программ предоставляются исключительно для легальных операционных систем, с поддержкой поставщика. А ДЛЯ ВАС что это все значит? Не используйте устарелые программные средства, которые уже не поддерживаются поставщиком (например DOS, MS Windows 95, MS Windows 98, MS Windows NT). 21

  22. Обращение данными Доступ к данным, хранимым в электронной форме, обеспечивается исключительно правомочным лицам, после идентификации. Модификация и ведение данных разрешается только правомочным лицам. Почему это важно? Информация Группы МОЛ, хранимая в электронной форме, является частью собственности Группы МОЛ. Чтение, использование или модификация такой информации возможно исключительно разрешением Группы МОЛ (это конечно означает не непосредственное разрешение, а соответствующее определение ролей в связи с информационными системами). А ДЛЯ ВАС что это все значит? Вы можете иметь дело только такой информацией, хранимой в электронной форме, которая доступна для вас легально. Информацию, хранимую в электронной форме разрешается использовать только на назначению и соблюдением специальных условий. Информацию, хранимую в электронной форме никогда нельзя поделить с другими, если она не нужна больше, или если у вас нет разрешения на это. 22

  23. Обращение данными – Типичный случай Несколько дней назад Евгений был переведен на новую работу. Его коллега, Клара, занятая в другой организации попросила его занести несколько важных данных в информационную систему 'Perfect'. Евгений еще обладает несколькими правомочиями к системе "Perfect” (до сих пор никто не инициировал отмену его излишних правомочий), но эта деятельность не фигурирует среди новых задач. Как Вы поступили бы на месте Евгения? Я не занес бы данные, т.к. это оказалось бы неправомочным пользованием. Я не занес бы данные, но сообщил бы Кларе свое имя и пароль – ведь они мне больше не нужны и потом будут изменены для новой работы Я выполнил бы, в случае просьбы моего начальника. Я выполнил бы, если бы Клара подписала документ о фиксировании условий. Вы можете использовать ваше правомочие доступа на уровне системы исключительно для легальных и официальных целей. 23

  24. Обращение данными – Типичный случай Мира хотела бы изменить несколько данных в системе "Perfect” (которая является одной из важных информационных систем Группы МОЛ), но это может сделать только вместе с Изабеллой (ведь она сама не правомочна для модификации данных). Мира пойдет к офису Изабеллы, но не находит ее. Модификация данных была бы довольно срочной. Мира хорошо знает систему. Изабелла не блокировала свой компьютер, и даже сейчас находится в связи с системы "Perfect”. Как бы Вы поступили на месте Миры? Я подождал(а) бы Изабеллу, или позвонил(а) бы по мобильному телефону Без раздумья проделал(а) бы нужные модификации на компьютере Изабеллы, и оставил(а) бы записку на столе. Я блокировал(а) бы компьютер Изабеллы, потом подождал(а) бы ее или позвонил(а) бы по мобильному телефону. Без раздумья проделал(а) бы нужные модификации на компьютере Изабеллы, а потом подождал(а) бы ее и лично сообщил(а) бы о происшедшем. 24

  25. Обращение данными Уровень безопасности данных, хранимых в электронной форме, нельзя уменьшить. Конфиденциальные и персональные данные, связанное с правомочием доступа или вступлением в систему, могут храниться или передаваться исключительно в засекреченной форме. Всю информацию нужно хранить в первую очередь в инфраструктуре информатики Группы МОЛ с центральным надзором и регулярно созданной резервной копией (в центральных папках, на файл-серверах, на системах SPS и т.д.). Локально только копии можно хранить. Информацию, накопленную на портативных средствах разрешается локально хранить только кратковременно (например на самом носителе), но в таких случаях нужно позаботиться о регулярном создании резервной копии. Почему это важно? Информация Группы МОЛ, хранимая в электронной форме, является частью собственности Группы МОЛ, поэтому нужно ее защитить, т.е. не допускать повреждение носителя данных, или невозможность доступа (уничтожение, кража и т.д.). А ДЛЯ ВАС что это все значит? Данные нужно хранить на файл-сервере или на системе SPS.Портативное средство (например, портативный компьютер) используется исключительно для временного хранения данных. Если вы храните данные на портативном компьютере, ручном компьютере, интеллигентном телефоне и .т.д., тогда регулярно нужно сделать резервную копия. 25

  26. Обращение данными – Типичный случай Галина хранить очень много конфиденциальных данных на дисках CD. Эту информацию она составила, поэтому только у нее имеются в распоряжении. Поскольку она захотела уменьшить число дисков CD, она перезаписывала данные на DVD. Какие правила должна она соблюдать? Она должна подготовить одну копию обо всех дисках DVD и копии должна хранить отдельно друг от друга, в географически разных местах. Старые диски CD нужно уничтожить. Она должна подготовить одну копию обо всех дисках DVD, и положить их в разные шкафы. Старые диски CD нужно уничтожить в измельчителе документов. Она должна подготовить одну копию обо всех дисках DVD, и положить их в один и тот же сейф. Старые диски CD нужно выбросить. Она должна подготовить одну копию обо всех дисках DVD, и хотя бы один экземпляр положить в закрываемый шкаф. Старые диски CD нужно выбросить. Дальнейшую информацию можно получить у Службы Клиентов! Уничтожение дисков CD и DVD в нормальном измельчителе документов является очень опасным – лучше найти другой способ уничтожения! 26

  27. Обращение данными – Типичный случай Елизавета получила право доступа к многочисленным программам применения. Для большинства этих программ она должна использовать разные имена и пароли, которые она записала в своем (бумажном) дневнике, веденной заботливо. За последнее время она использует для этой цели документ Word, защищенный паролем, который ведется на своем компьютере с помощью SPS. Что Ваше мнение о методе, примененном Елизаветой? Компьютеры являются недостаточно надежными, лучше использовать бумажный дневник. Документ Word, защищенный паролем обеспечивает только ограниченную защиту, кроме того, файл разделен через SPS среди других пользователей. Поэтому Елизавета должна стереть этот файл немедленно Елизавета должна была хранить документ Word исключительно на SPS, ведь портативный компьютер могут украсть, и в таком случае могут злоупотреблять паролями. Елизавета полностью соблюдала предписания, определенные Безопасностью Информатики 27

  28. Обращение данными ВЫ что можете делать для защиты данных? Если вы для засекречивания используете программу применения на основе Microsoft Office, тогда нужно выбрать как можно длиннее пароли (хотя бы 20 символов). Свои документы поделите исключительно теми пользователями, которые затронуты в работе. В некоторых случаях (конфиденциальная деловая информация, и т.д.) нужно обеспечить безопасность более высокого уровня. Группа МОЛ уже начал установку необходимых для этого средств и инфраструктур (услуги по управлению правомочиями [RMS], инфраструктура с публичным ключом [PKI], и т.д.). Если вы работаете с конфиденциальными данными, тогда обязательно используйте имеющиеся средства безопасности(SafeNet ключ и т.д.). 28

  29. Обращение данными – Типичный случай Борис в течение двух недель использует компьютер, который не подключается к сети intranet Группы МОЛ. В этом периоде он хранит важные данные на своем ручном компьютере. Что должен делать Борис обязательно для обеспечения соответствующей безопасности данных? Он должен подготовить регулярно резервную копию данных заложенных в ручной компьютер. Например, ежедневную резервную копию (на pendrive или перезаписываемый диск CD или DVD) что существенно увеличивала бы надежное сохранение данных. Перед началом работы нужно сделать резервную копию данных. Перед возвращением на постоянное рабочее место, нужно сделать резервную копию данных. Регулярно нужно сделать резервную копию информации, занесенной в ручной компьютер, а потом нужно стереть архивы данных с ручного компьютера. 29

  30. Идентификация пользователя Перед началом использования компьютера, сети информатики, программ применения и т.д. Требуется идентификация. Идентификация возможна с помощью имени пользователя (идентификатор пользователя и имя пользователя) И с помощью пароля. Имя пользователя обычно отличается от «нормального» имени, поскольку имена пользователей являются сугубо индивидуальными, в то время как, например, в Группе МОЛ могут работать несколько лиц с одним и тем же именем, например «Иван Васильевич». Каждый может использовать исключительно свое имя пользователя. Передать, принимать или использовать чужое имя пользователя строго запрещается! Почему это важно? Деятельность, выполняемую в инфраструктуре информатики ( в системах и т.д.) регистрируется на основе имен пользователей. Если на время «передается» собственное имя пользователя (и пароль), тогда вся деятельность, осуществленная другим лицом регистрируется как деятельность, выполненная вами. A ДЛЯ ВАС что это все значит? Если лицо, действующее под вашим именем, совершит ошибку, тогда эта ошибка будет регистрирована как ваша ошибка.... Никогда не отдавайте свое имя или пароль «просто так». 30

  31. Идентификация пользователя – Типичный случай Константин за короткое время должен привести в окончательную форму один документ. Он очень нервный, поэтому не может вспомнить свой пароль. «Ничего страшного» - думает он, - «я попрошу пользовательское имя у Аллы, ведь она работает над той же задачей, т.е. может иметь такой же доступ к системе как я. Срок, это серьезное дело...» Как Вы поступили бы на месте Аллы? Я предоставил бы свое имя пользователя и пароль Константину. Я разрешил бы, чтобы он временно использовал мою информационную идентичность, но имя пользователя и пароль я сам записал бы на экране. Я предлагал бы Константину, чтобы он вступил контакт со Службой Клиентов ИС (IS). Я помог бы Константину вспомнить пароль. 31

  32. Идентификация пользователя Каждый человек может вступить в компьютер, сеть информатики и в разные программы применения исключительно с помощью своего имени пользователя И пароля. «Ключом» идентичности личности по информатике является пароль. Передавать пароль другому лицу запрещается! Если вы считаете, что кто-то мог узнать ваш пароль, немедленно замените его. Почему это важно? Тот, кто знает ваше имя пользователя и пароль, может осуществить деятельность от вашего имени. Вся деятельность, осуществленная другим лицом, регистрируется как ваша деятельность. A ДЛЯ ВАС что это все значит? Свой пароль держите с секрете, не поделите ни с кем. Ваш пароль не запишите никогда на бумажку закрепленную на экране или подложенную под клавиатуру. Ваш пароль не должен содержать информацию, которая связана с вами однозначно (имя пользователя, настоящее имя, место, дату рождения, информацию о семье, номер паспорта, номер водительских прав, номер автомашины, имена домашних животных, тип продуктов/средств, используемых вами и т.д.). 32

  33. Идентификация пользователя – Типичный случай Василий хочет показать несколько важных рисунков Евгению, кто стоит при нем, когда он вступает в свой компьютер. Василий вспомнит, что Евгений мог узнать его пароль. Как Вы поступили бы на месте Василия? Сразу попросил бы Евгения отвернуться, пока я модифицирую свой пароль, а потом продолжил бы показ. Продолжил бы показ, а потом сразу выключил бы свой компьютер, когда Евгений возвращается на свое место. Сразу выключил бы свой компьютер. Продолжил бы показ, а потом сразу выключил бы свой компьютер, когда Евгений возвращается на свое место. Как Вы поступили бы на месте Евгения? Я сообщил бы Василию, что я случайно увидел его пароль и отвернулся бы, пока он модифицирует свой пароль, а потом продолжили бы осмотр рисунков Продолжил бы осмотр рисунков, а потом попросил бы Василия модифицировать его пароль. Мне нечего делать, все равно забуду его пароль. Мне нечего делать, это дело Василия. 33

  34. Идентификация пользователя • Сила пароля может быть разной, и зависит от некоторых особенностей. Зная это ниже приведем минимальные требования, предъявляемые к паролям: • должны иметь длину хотя бы в 8 символов (или – в зависимости от данной системы – должны содержать ровно 8 символов), • пароли действительны максимально в течение 90 дней, • пароли должны содержать малые и большие буквы, а также один номер, • последние 10 паролей нельзя повторно использовать, • первый пароль, заданный в компьютере нужно изменить при первом вступлении., • имя пользователя после трехкратной неудачной попытки вступления может быть заблокировано на 15 минут (в зависимости от системы). Почему это важно? Применением более сильного пароля вы сами можете увеличить безопасность. А ДЛЯ ВАС что это все значит? При изменении пароля нужно учитывать требования, указанные выше (на самом деле, в большинстве случаев сама система информатики требует соблюдение этих требований). 34

  35. Идентификация пользователя – Идеи Слабые пароли Сильные пароли • Aaaaaaa1 • Abcdefg1 • 123456Aa • Apple001, а после этого: Apple002 • Password01 • Bond_007 • 1) MnA1vAkV • 2) R4mAvLfNs • 3) hlnP7Hltfgk • 4) O1r1o1m2e1l1 • 5) HGNeTZeGJGZ3 Страшные пароли! Как можно их запомнить? 1) Белеет парус одинокий втумане моря голубом (каждая вторая буква малая, и после первой буквы вставится число) 2) Зенит является лучшей футбольной командой Санкт Петербурга. (это предложение легко запомнить, каждая первая буква слова большая, каждая вторя малая, а после первой буквы вставится числе соответствующее количеству букв первого слова) 3) Вчера поймал7карпов. (только согласные и большие буквы перед числом м после числа) 4) С радостью приветствую! (все буквы и порядковый номер букв по азбуке – символ с орфографическим знаком НИКОГДА не задавайте в качестве пароля) 5) Как можно их запомнить (попробуйте угадать правило сами) 35

  36. Идентификация пользователя – Идеи Как можно изменить пароль в системе Windows? Для изменения пароля вступления в Windows нажмите одновременно кнопки Ctrl, Alt и Delete, а потом в появившемся окне "Windows Security" (Безопасность Windows) нужно выбрать кнопку „Change Password” (Модификация пароля). Под „Old Password" (Старым паролем) задавайте актуальный пароль, а потом в поле „New Password" задавайте новый пароль, также как и в поле „Confirm New Password” (Подтверждение нового пароля). После этого нажмите кнопку"OK”. 36

  37. Идентификация пользователя – Идеи Как можно модифицировать пароль в отдельных системах? Системы по разному позволяют модифицировать пароли. Если вы не знаете как модифицировать пароль в программе применения, тогда вступите в контакт со Службой Клиентов ИС(IS) (контактные данные см. на предпоследнем диапозитиве). 37

  38. Идентификация пользователя – Идеи Михаилу позвонит одна женщина с приятным голосом и сообщает ему, что по просьбе его начальника она установит ему доступ к Интернету с более широким диапазоном. Для установки она попросила его номер работодателя, пользовательское имя и пароль. Как Вы поступили бы на месте Михаила? Я положил бы трубку и вызвал бы милицию. Я передал бы ей свое пользовательское имя и пароль. Мне нужен более широкий диапазон для выполнения задач и с этим согласен и мой начальник. Обещая, что позвоню, я попросил бы ее сообщить номер телефона, а потом позвонил бы Безопасности Информатики. Поскольку я сообщил этой женщине свой номер работодателя, то сообщение пользовательского имени и пароля уже не большое дело! Никто не имеет право спросить у вас пароль! 38

  39. Идентификация пользователя • Копирование паролей в буфер и вставка из него не разрешается. • Хранить пароли в браузере или в другой программе применения (т.е. проводить вступление без заполнения поля «Пароль», и предоставляя машине, чтобы она автоматически заполнила поля на основе предыдущего пароля). • Основной пароль, пароль, полученный от Службы Клиентов или пароль, предлагаемый программой применения нужно модифицировать при первом применении Почему это важно? Хранение пароля в браузере или в другой программе применения то же самое, что хранить ключ под ковриком перед дверью что не самое надежное решение. Первоначальные пароли компьютера могут быть известными и для других. А ДЛЯ ВАС что это все значит? При вступлении в Windows или другие программы применения каждый раз нужно напечатать имя пользователя и пароль. Если вы получите правомочие (доступ) к любым программным средствам, тогда немедленно приступите к модификациипервоначальный (исходный) пароль. 39

  40. Идентификация пользователя Идентификация пользователя возможно не только именем пользователя и паролем, но и специальными средствами (token, [smart card], специальный pendrive и т.д.) или биометрическими характеристиками (отпечатки пальцев, ретины и т.д.). Разные методы можно использовать параллельно: например, пользователь сначала идентифицирует себя со своим именем пользователя, а потом с помощью жетона (token) или отпечатки пальцев. Средства, «основанные на владении» нужно хранить в надежном месте. Почему это важно? Человек, который имеет доступ к вашему жетону (token), интеллигентной карте (smart card) и т.д. И знает ваш пароль, может выполнять деятельность в ваше имя. Вся эта деятельность будет регистрирована как деятельность выполненная вами. А ДЛЯ ВАС что это все значит? Ваш жетон (token), интеллигентную карту (smart card) нужно хранить в надежном месте. Ваш жетон (token), интеллигентную карту (smart card) никогда не передавайте никому! Эти средства могут быть использованы исключительно с помощью вашего имени пользователя и пароля. 40

  41. Идентификация пользователя – Типичный случай Фирма Géniusz Kft. (внешняя фирма по развитию) разработала программные средства, которые нужны Анне. Григорий, представитель фирмы Géniusz Kft. Хотел бы попробовать программу в среде информатики Группы МОЛ, но не имеет такое правомочие доступа, которое нужно для установки программных средств на компьютер, находящийся в собственности Группы МОЛ. Анна имеет правомочие локального администратора через свой портативный компьютер, следователь она может установить программные средства. Григорий попросил Анну сообщить пользовательское имя и пароль. Анна располагает и «собственным» средством для идентификации, поэтому может идентифицировать себя не только пользовательским именем, и паролем, но и другим способом. Как Вы поступили бы на месте Анны? Я сразу расторгнул бы контракт, заключенный с фирмой Géniusz Kft, потому что они могли бы злоупотреблять паролем. Я сообщил бы это Безопасности Информатики. Я сообщил бы Григорию свое пользовательское имя и пароль – ведь свой «собственный» идентификатор сильнее, чем простой пароль. Я не сообщил бы Григорию свое пользовательское имя и пароль. Эту просьбу я сообщил бы Безопасности Информатики о просьбе. Я сообщил Григорию нужную информацию, т.к. это еще мало для установки 41

  42. Идентификация пользователя Если воспользовались вашим паролем (например вы подозреваете, что кто-нибудь использовал ваше имя пользователя), или средством идентификации пользователя, или имеется на это возможность (вы потеряли RSA-token, специальный pendrive с секретным ключом, используемым в т.ч. для засекречивания электронных писем), тогда об этом нужно сообщить Безопасности Информатики и Информационной Безопасности. Они после рассмотрения ситуации примут надлежащие меры. Пользователь, сообщающий события с задержкой, должен нести убытки, возникающие вследствие задержки! Почему это важно? Если кто-то имел доступ к вашему паролю, или к средствам, способствующим идентификацию пользователя, используемым вами средствам, тогда как можно быстрее нужно принять необходимые меры для предотвращения возможного ущерба. А ДЛЯ ВАС что это все значит? Если вы потеряете свое средство идентификации пользователя, основанное на владении, или вы подозреваете, что кто-то другой мог воспользоваться именем пользователя, тогда об этом нужно сообщить Безопасности Информатики и Информационной Безопасности.Естественно, вы можете сообщит и своему начальнику. 42

  43. Правомочие Модификацию правомочий по доступу к системе должен одобрить начальник сотрудника. Пользовательские идентификаторы сотрудников в правовом штате (например, на декрете) нужно отключить [deactivation]. Пользовательские идентификаторы, после истечения срока действия пароля, тоже нужно выключить. Локальные правомочия администраторов систем могут быть использованы исключительно по назначению. Установка не разрешенных программных средств запрещается. Почему это важно? Правомочие является «паспортом» сотрудников для работы с программами применения. А ДЛЯ ВАС что это все значит? Если являетесь руководителем, тогда вы несете ответственность за ведение правомочий доступа своих подчиненных. Если вы имеете правомочие локального администратора для доступа к системе, тогда вы должны использовать его только по первоначальному назначению. 43

  44. Правомочие – типичный случай Подчиненный Катерины, Геннадий – по семейным причинам – уходит в отпуск на четыре месяца. Как Вы поступили бы на месте Катерины? Я попросил бы Геннадия сообщить свое пользовательское имя одному из коллег – ведь задачи нужно выполнить. Я ничего не сделал бы – все меры, связанные с правомочием Геннадия, относится к сфере компетенции Управления Кадров. Я попросил бы Службу Клиентов, чтобы передали бы правомочие доступа какому либо из его коллег. Я инициировал бы отмену правомочия Геннадия – с последующим возвратом после повторного начала работ. 44

  45. Правомочие – типичный случай Арон часто ездить в официальную командировку, поэтому имеет локальное правомочие администратора. Однажды он заметил, что свой портативный компьютер намного медленнее работает, чем раньше. Специалисты ИС (IS) определили, что очень много ненужных программ установлены на компьютер, Арон не знал об этих программах, Он вспомнил, что на экране портативного компьютера несколько раз различные окна появились с вопросами, требующими разрешаемый ответ (да или нет). Он обычно выбрал ответ «ДА», потому что, когда выбрал «НЕТ», тогда нужно было ответить на дальнейшие вопросы. Что должен был делать Арон иначе? Арону нужно было бы попросить Службу Клиентов ИС (IS) чаще для проверки своего компьютера. Применением своего правомочия администратора Арону нужно было бы установить дальнейшие программные средства безопасности, поскольку обычные установки не обеспечивают удовлетворительную защиту в случае портативного компьютера. Арону нужно было бы использовать свое правомочие локального администратора, и после этого нужно было бы выйти с помощью своего идентификатора локального администратора, а потом вступить со своим идентификатором нормального пользователя, а также не нужно было разрешить неизвестным программам никакую деятельность. Арону нужно было бы попросить специалистов информатики гостиницы контролировать требуемые установки. Это является часть услуг. 45

  46. Защита против вредных программных средств На компьютеры Группы МОЛ защитные программные средства были установлены против вредных программ, Общим названием они называются «антивирусами». Полный пакет защитных программ содержит или может содержать и такие элементы, которые проверяют пути доступа, по которым вредные программы могут проникать на компьютер. В защите против вредных программ постоянная актуализация необходима. Для всех компьютеров, используемых Группой МОЛ было введено эффективное решение, позволяющее легко проверить актуализацию пользователями. На локальных компьютерах, не подключенных к сети Группы МОЛ и на компьютерах не используемых непрерывно (например, из-за продолжительного отпуска) не актуализируются ни антивирусные программы, ни база данных, необходимая для описания отдельных вирусов, и способствующие из распознавание. Это может оказаться проблемой тогда, когда новая вредная программа (вирус) проникнет на такой компьютер. Почему это важно? Без надлежащей защиты против вирусов компьютеры могут угрожать инфраструктуре информатики и хранимой в ней информации Группы МОЛ. 46

  47. Защита против вредных программных средств - идеи Как вы можете убедиться в том, что ваш компьютер надлежащим образом защищен от вредных программ? Проверьте работу антивируса. Если антивирус выключен, тогда включите. Проверьте актуальность антивирусной программы и базы данных по описанию вирусов [signatures]. Проводите актуализацию программных средств и базы данных, если с даты последней актуализации прошла больше чем одна неделя. Как вы можете проверить работу антивируса? Передвигайте мышь на щитовидную икону антивирусной программы (смотрите около часов). Появившееся сообщение указывает на актуальное состояние антивируса. Если защита выключена [disabled] , тогда включите. Hogyan tudja bekapcsolni a vírusvédelmet? Правой кнопкой мыши нужно щелкнуть на щитовидную икону антивирусной программы около часов, а потом выберите меню"Valósidejű víruskeresés bekapcsolása” [Enable On-Access Scan](разрешение поиска вирусов в режиме реального времени). 47

  48. Защита против вредных программных средств - идеи Как вы можете проверить актуальность антивируса и базы данных по описанию вирусов? Правой кнопкой мыши нужно щелкнуть на щитовидную икону антивирусной программы около часов, а потом нужно щелкнуть на меню „Vírusvédelmi program névjegye” [About VirusScan Enterprise] (фирменный знак антивируса). Проверьте дату последней актуализации антивируса и базы данных по описанию вирусов. Проводите актуализацию антивируса и базу данных, если с даты последней актуализации прошло больше недели. Как вы можете актуализировать антивирус? Правой кнопкой мыши нужно щелкнуть на щитовидную икону антивирусной программы около часов, а потом нужно щелкнуть на меню "Frissítés most” [Update Now …” ] (Актуализация теперь). После этого как антивирус, так и база данных по описанию вирусов будут актуализироваться. Процедуры, указанные выше, действуют в такой форме в случае антивирусной программы McAfee. 48

  49. Использование Интернет Группа МОЛ для большинства своих сотрудников обеспечивает доступ к Интернету. Интернет не является безопасных местом, поэтому Группа МОЛ предприняла меры для надежного использования браузера сотрудниками. Не смотря на это, и вы должны соблюдать действующее законодательство. Это относится и для доступа через связь с дома или с места работы вне предприятия. Почему это важно? Безответственное поведение может привести к проникновению вредных программ или хакеры/мошенники могут воспользоваться вашими данными и причинять вред. Ответственным поведением является осмотрительный и осторожный подход, а соблюдение законодательства означает, что нелегальный материал не следует скачать с Интернета, а также не следует записать на сервер, или закупать с Интернета. А ДЛЯ ВАС что это все значит? Не следует использовать браузер для поиска на подозрительных веб сайтах. Не нужно даже щелкнуть на ссылки с таким содержанием. Не скачивайте ничего с Интернета, Не разрешайте установку на ваш Компьютер даже тогда, когда это специально требуют. Не задавайте никаких личных или официальных данных предприятия, за исключением случаев, когда на это выдается указ, или вы совсем уверены в том, что это безопасно. 49

  50. Использование Интернет – Типичный случай Александр часто посещает веб сайты, которые предлагают музыкальное содержание. В один день, когда искал самый последний диск любимого ансамбля, нашел много веб сайтов, предлагающих бесплатное скачание нового музыкального альбома. Перед скачанием нужно было задавать только несколько персональных данных, в том числе электронный адрес (e-mail), в «целях безопасности». Как Вы поступили бы на месте Александра? Я задал бы свой электронный адрес (e-mail) и скачивал бы песни нового альбома. Я нашел бы веб сайт, где никаких данных не нужно задавать. Я не занимался бы скачанием песен, т.к. это нелегально. Я радовался бы возможности, – может быть, они пошлют данные дальнейших альбомов. По Вашему мнению, кроме песен, он, на что еще может надеяться? Ни на что. Они хотели получить только его электронный адрес (e-mail). Может оказаться, что после этого очень много нежелательных сообщений и программ фишинг (phishing) для ловли данных будут поступать на компьютер для мошенничества данными. Может быть, вы получите несколько дальнейших песен. Ни на что. Это было бы указано на веб сайт, если они потупили бы иначе. 50

More Related