- •Актуальность
- •Уровень потерь от киберпреступности в крупнейших экономиках
- •Лекция 1. Основные понятия информационной безопасности и защиты информации
- •Взаимосвязь кибербезопасности и смежных понятий
- •Кибербезопасность как культура (резолюция оон «создание глобальной культуры кибербезопасности»)
- •Экономический подход к кибербезопасности
- •Основные понятия защиты информации
- •Угрозы в финансовом секторе, pwc
- •Угрозы информационной безопасности
- •Атаки доступа
- •Атаки модификации
- •Атаки отказа в обслуживании
- •Комбинированные атаки
- •Интернет-атаки
- •Ботнеты
- •Шифровальщики
- •Политика информационной безопасности
- •1.Подходы к обеспечению информационной безопасности
- •2.Меры обеспечения информационной безопасности
- •3.Задачи комплексной защиты
- •4.Принципы обеспечения иб в бс
- •5.Соиб организации бс рф
- •6.Цели и задачи информационной безопасности банка
- •7.Разделы политики безопасности
- •8.Три уровня политик безопасности
- •9.Структура политики безопасности
- •10.Специализированные политики безопасности
- •Политика допустимого использования
- •Политика удаленного доступа
- •13.Процесс в иб
- •14.Физическая и логическая безопасность
- •14.Защита ресурсов
- •15.Определение административных полномочий
- •16.Роли и ответственности в безопасности сети
- •17.Аудит и оповещение
- •Два аспекта аудита
- •18.Типовые недостатки в реализации функций безопасности автоматизированных систем
- •Общие недостатки абс и банковских приложений
- •Типовые недостатки приложений дистанционного банковского обслуживания и электронных средств платежа Идентификация и аутентификация
- •Безопасность транзакций
- •Типовые недостатки веб-приложений
- •Типовые недостатки операционных систем
- •19.Уязвимости онлайн-банков 2016
- •20.Рейтинг самых распространенных уязвимостей систем дбо (доля уязвимых систем)
- •21.Распределение по субъектам
- •Лекция 4. Правовые основы обеспечения информационной безопасности
- •Глава 14. Защита персональных данных работника
- •Лекция 5. Стандарты информационной безопасности
- •Лекция 6. Безопасность операционных систем
- •Подходы к построению защищенных операционных систем
- •Административные меры защиты ос
- •Идентификация, аутентификация и авторизация субъектов доступа
- •Разграничение доступа к объектам операционной системы
- •Правила разграничения доступа
- •Основные модели разграничения доступа
- •Изолированная программная среда
- •Полномочное разграничение доступа с контролем информационных потоков
- •Типовые недостатки операционных систем. Управление доступом (рс бр иббс-2.6-2014)
- •Типовые недостатки операционных систем. Идентификация и аутентификация (рс бр иббс-2.6-2014)
- •Типовые недостатки операционных систем. Управление системой (рс бр иббс-2.6-2014)
- •Средства защиты в windows 7
- •Контроль учётных записей пользователей
- •Параметры управления учетными записями пользователя
- •Шифрование дисков bitlocker и bitlocker to go
- •Система шифрования файлов efs
- •Графический интерфейс шифрования файла с использованием efs
- •Служба управления правами
- •Защита данных от утечек и компрометации
- •Брандмауэр windows
- •Технология applocker для контроля используемого на компьютере по
- •Три типа правил в applocker
- •Лекция 7. Криптографическая защита информации основные понятия криптографической защиты информации
- •Шифрование данных
- •Классификации криптоалгоритмов
- •Действия, выполняемые криптоалгоритмом над числами
- •Алгоритм шифрования des
- •Комбинирование блочных алгоритмов
- •Другие симметричные криптоалгоритмы
- •Основные режимы работы блочного симметричного алгоритма
- •Порядок использования систем с симметричными ключами
- •Недостатки систем симметричного шифрования
- •Преимущества перед симметричными криптосистемами
- •Недостатки асимметричных криптосистем
- •Известныеалгоритмы ассиметричного шифрования
- •Функции хэширования
- •Свойства функции хэширования
- •Широко используемые функции хэширования
- •Основные процедуры цифровой подписи
- •Процедура проверки цифровой подписи
- •Возможности минимизации (компенсации) недостатков симметричного и асимметричного криптоалгоритмов
- •Инфраструктура открытых ключей pki поддерживает ряд приложений и стандартов
- •Лекция 8. Защита от вредоносных программ и спама
Глава 14. Защита персональных данных работника
Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты (обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества);
Статья 88. Передача персональных данных работника (не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника; не сообщать персональные данные работника в коммерческих целях без его письменного согласия)
Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя (работники имеют право на: полную информацию об их персональных данных и обработке этих данных; свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника; обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных
Кодекс об административных правонарушениях РФ
Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Статья 13.12. Нарушение правил защиты информации (Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от двух тысяч пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.)
Статья 13.13. Незаконная деятельность в области защиты информации (административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой)
Федеральный закон «Об информации, информационных технологиях и о защите информации»
Регулирует: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации.
Из принципов: достоверность информации и своевременность ее предоставления; неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
Статья 9. Ограничение доступа к информации - Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
Статья 16. Защита информации - Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.
ЗАКОН РФ «О ГОСУДАРСТВЕННОЙ ТАЙНЕ»
Общие положения (определены такие понятия как государственная тайна, носители сведений, составляющих государственную тайну, допуск к государственной тайне; доступ к сведениям, составляющим государственную тайну; гриф секретности ; средства защиты информации , полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты)
Перечень сведений, составляющих государственную тайну
Отнесение сведений к государственной тайне и их засекречивание (принципы отнесения сведений к государственной тайне и засекречивания этих сведений (законность, обоснованность, своевременность), сведения, не подлежащие отнесению к государственной тайне и засекречиванию, степени секретности сведений и грифы секретности носителей этих сведений, порядок отнесения сведений к государственной тайне
Рассекречивание сведений и их носителей (порядок рассекречивания сведений, Исполнение запросов граждан, предприятий, учреждений, организаций и органов государственной власти Российской Федерации о рассекречивании сведений)
Распоряжение сведениями, составляющими государственную тайну (Передача сведений, составляющих государственную тайну, в связи с выполнением совместных и других работ)
Защита государственной тайны (Органы защиты государственной тайны , Допуск должностных лиц и граждан к государственной тайне)
ФЗ «О персональных данных»
Целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 7. Конфиденциальность персональных данных - Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер
Закон «О банках и банковской деятельности»
Основной документ, регулирующий создание и деятельность кредитных организаций на территории России. Глава 3 посвящена банковской стабильности и надежности, а также защите прав вкладчиков и кредиторов. Здесь же возлагается на Центральный банк установление нормативов, которыми должны руководствоваться банки. Вводится понятие банковских резервов, дается определение банковской тайны, а также описаны процедура наложения ареста и обращение взыскания на денежные средства, находящиеся в кредитной организации
Статья 26. Банковская тайна - Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.
Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов
Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов
За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, несут ответственность, включая возмещение нанесенного ущерба
ФЗ «О национальной платежной системе»
устанавливает правовые и организационные основы НПС и ее субъектов, определяет порядок оказания платежных услуг, в т. ч. проведения переводов электронных денежных средств, и осуществления надзора. В документе дано определение НПС. Вводится понятие «значимые платежные системы». Обозначены все участники НПС, обеспечивающие ее деятельность, установлены их функции и обязанности. Описан порядок оказания платежных услуг: общие правила перевода денежных средств, особенности перевода по требованию получателя средств и перевода электронных денежных средств, порядок исполнения распоряжения клиента, порядок использования электронных средств платежа, в т. ч. при переводе электронных денежных средств, идентификация клиентов.
Обратим внимание на следующие пункты:
П. 11. ст. 9 В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
П. 12 После получения оператором по переводу денежных средств уведомления клиента оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ И ПОЛОЖЕНИЯ ЦБ РФ
№ 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г.
№ 584 «Об утверждении Положения о защите информации в платежной системе» от 13.06.2012 г.
№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.
№ 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» от 03.03.2012 г.
№ 382-П «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012
Положение о защите информации в платежной системе
устанавливает требования к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации
создание и организация функционирования структурного подразделения по защите информации (службы информационной безопасности) или назначение должностного лица (работника), ответственного за организацию защиты информации;
включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;
осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
проведение анализа рисков нарушения требований к защите информации и управление такими рисками;
разработка и реализация систем защиты информации в информационных системах;
применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности);
обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;
определение порядка доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию;
Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты, операторы платежных систем, операторы услуг платежной инфраструктуры обеспечивают защиту информации при осуществлении переводов денежных средств
Защищаемая информация:
информации об остатках денежных средств на банковских счетах;
информации об остатках электронных денежных средств;
информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы,
информации о платежных клиринговых позициях;
информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;
ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;
информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования.
Требования к обеспечению защиты информации при осуществлении переводов денежных средств
При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации;
контроль (мониторинг) соблюдения установленной технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры; аутентификацию входных электронных сообщений;
взаимную (двустороннюю) аутентификацию участников обмена электронными сообщениями;
восстановление информации об остатках денежных средств на банковских счетах, информации об остатках электронных денежных средств и данных держателей платежных карт в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;
сверку выходных электронных сообщений с соответствующими входными и обработанными электронными сообщениями при осуществлении расчетов в платежной системе;
выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации.
ПРИКАЗ ФСТЭК «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Настоящий документ устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах для каждого из уровней защищенности персональных данных.
В состав входят такие меры:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
Защита машинных носителей персональных данных
Учет машинных носителей персональных данных
Управление доступом к машинным носителям персональных данных
Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны
Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах
Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных
Контроль ввода (вывода) информации на машинные носители персональных данных
Контроль подключения машинных носителей персональных данных
Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания