Томас Лёшке: «Кибербезопасность для юристов: что делать?»ProjectMateRu
Руководитель отдела технической поддержки компании «Авиком» Томас Лёшке, в рамках первой Конференции "Кибербезопасность для юристов", выступил с докладом, посвященным IT-рискам и способам их преодоления в юридических фирмах.
Томас Лёшке: «Кибербезопасность для юристов: что делать?»ProjectMateRu
Руководитель отдела технической поддержки компании «Авиком» Томас Лёшке, в рамках первой Конференции "Кибербезопасность для юристов", выступил с докладом, посвященным IT-рискам и способам их преодоления в юридических фирмах.
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Применение криптографических средств при построении системы защиты персональн...КРОК
Семинар «Защита персональных данных: соблюдение Федерального Закона. Практический опыт».
Подробнее о мероприятии http://www.croc.ru/action/detail/2221/
Презентация Евгения Дружинина, эксперта по информационной безопасности компании КРОК
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...IBS
Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
Совокупность последних положений регуляторов предполагает построение замкнутого и адаптивного комплекса требований, создающего предпосылки для построения систем со "встроенной безопасностью", что является необходимым условием обеспечения ИБ современных информационных систем.
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
Доклад: Правовые и технические аспекты защиты персональных данных в электронной коммерции
Форум: Экосистема электронной коммерции
(30 марта 2017, Москва, Шератон Палас)
Решения Cisco для защиты персональных данныхCisco Russia
Мы постоянно находимся под контролем различных государственных и муниципальных органов власти, коммерческих и правоохранительных структур. Паспортные столы и поликлиники, банки и пенсионные фонды, гостиницы и ЖЭКи, ГИБДД и избирательные комиссии, кадровые агентства и HR-подразделения работодателей... Все они собирают, группируют, анализируют, систематизируют, передают, получают персональные данные о нас. И не всегда они прилагают усилия для охраны этих сведений; зачастую теряя их или продавая мошенникам и нечистым на руку покупателям.
Защита персональных данных (ПДн) последние годы была и остается одной из острейших проблем в информационной сфере и взаимоотношениях государства, граждан и бизнеса. Постоянные утечки информации из государственных органов, банков, операторов связи и медицинских учреждений, продажа этих данных в Интернете или на компьютерных лотках; все это наносит ущерб и нарушает основные права на неприкосновенность частной жизни, дарованные каждому гражданину Конституцией РФ.
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Применение криптографических средств при построении системы защиты персональн...КРОК
Семинар «Защита персональных данных: соблюдение Федерального Закона. Практический опыт».
Подробнее о мероприятии http://www.croc.ru/action/detail/2221/
Презентация Евгения Дружинина, эксперта по информационной безопасности компании КРОК
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...IBS
Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
Совокупность последних положений регуляторов предполагает построение замкнутого и адаптивного комплекса требований, создающего предпосылки для построения систем со "встроенной безопасностью", что является необходимым условием обеспечения ИБ современных информационных систем.
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
Доклад: Правовые и технические аспекты защиты персональных данных в электронной коммерции
Форум: Экосистема электронной коммерции
(30 марта 2017, Москва, Шератон Палас)
Решения Cisco для защиты персональных данныхCisco Russia
Мы постоянно находимся под контролем различных государственных и муниципальных органов власти, коммерческих и правоохранительных структур. Паспортные столы и поликлиники, банки и пенсионные фонды, гостиницы и ЖЭКи, ГИБДД и избирательные комиссии, кадровые агентства и HR-подразделения работодателей... Все они собирают, группируют, анализируют, систематизируют, передают, получают персональные данные о нас. И не всегда они прилагают усилия для охраны этих сведений; зачастую теряя их или продавая мошенникам и нечистым на руку покупателям.
Защита персональных данных (ПДн) последние годы была и остается одной из острейших проблем в информационной сфере и взаимоотношениях государства, граждан и бизнеса. Постоянные утечки информации из государственных органов, банков, операторов связи и медицинских учреждений, продажа этих данных в Интернете или на компьютерных лотках; все это наносит ущерб и нарушает основные права на неприкосновенность частной жизни, дарованные каждому гражданину Конституцией РФ.
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Запись вебинара: https://www.youtube.com/watch?v=fIk9IU7FNEc&index=4&list=PLvxhSg-LXXAcKhaBFL6zrIBKVlMz2Pd1X
Аудит информационной безопасности АСУ ТП – первый и поэтому крайне важный шаг в ходе обеспечения информационной безопасности промышленных систем управления и автоматизации. В ходе вебинара специалисты УЦСБ поделятся своим практическим опытом проведения аудитов и расскажут о тех нюансах, на которые стоит обратить внимание в первую очередь.
Security of Information and Communication SystemsSSA KPI
AACIMP 2010 Summer School lecture by Andrey Rodionov. "Information Technologies" stream. "Security of Information and Communication Systems" course.
More info at http://summerschool.ssa.org.ua
2. План
1. Что такое ИСОП?
2. Современные угрозы
3. Нормативные требования
4. Белые и серые пятна по защите от
Интернет-угроз
3. Системы общего пользования и
общего доступа
Надо различать:
Проблемы защиты общедоступной информации
в государственных информационных системах
общего пользования («Электронная Россия»)
Проблемы защиты информации ограниченного
доступа государственных ИС, ИТКС, СВТ при
подключению к информационно-
телекоммуникационные сети международного
информационного обмена («сетям связи общего
пользования»)
4. Что такое ИСОП?
Информационная система общего пользования -
государственная информационная система, которая открыта для
использования всеми физическими и юридическими лицами и в услугах
которой этим лицам не может быть отказано.
5. Классы систем: политическая и
техническая классификация
I класс: Правительства Российской Федерации,
федеральных министерств, федеральных служб и
федеральных агентств, руководство деятельностью
которых осуществляет Президент Российской
Федерации, федеральных служб и федеральных
агентств, подведомственных этим федеральным
министерствам. Определяется руководителем.
II класс: ВСЕ ОСТАЛЬНЫЕ информационные
системы общего пользования федеральных
органов исполнительной власти
8. Современные атаки -> Современные СЗИ
DDoS
Эксплуатация уязвимостей (SQL-
инъекция, XSS)
Атаки на администратора ресурса с
использованием методов социальной
инженерии
Подбор паролей к FTP
9. Хакером может стать каждый!
Требуемая к Сложность
квалификация атаки
злоумышленника
80-е 90-е 00-е
12. «Как защититься?» или
прописные истины…
Определение гибких требований к составу и
классам СЗИ на основе актуальных угроз и
сред функционирования
Внедрение корректных настроенных
адаптивных технических решения (IDS,
Antivirus… )
Мониторинг и регулярный контроль
защищенности информационных ресурсов
Обучение пользователей и администраторов
13. Нормативные документы
Приказ ФСБ России и ФСТЭК России 2010 г. N 416/489
«Об утверждении Требований о защите информации,
содержащейся в информационных системах общего
пользования» - перечень СЗИ ИСОП
Приказом ФСТЭК России № 638 от 06.12.2011г. утвержден
новый нормативный документ, регламентирующий
требования к системам обнаружения вторжений – указаны
требования к СЗИ (СОВ) ИСОП
14. Еще нормативные документы
относительнно СОД и СОП
Приказ Минкомсвязи 2009 г. N 104 «Об утверждении
Требований по обеспечению целостности, устойчивости
функционирования и безопасности информационных
систем общего пользования»
Указ Президента РФ 2008 г. N351 «О мерах по
обеспечению информационной безопасности Российской
Федерации в сфере международного информационного
обмена»
Приказ ФСТЭК России 2010г. N 58 «Об утверждении
положения о методах и способах защиты информации в
информационных системах персональных данных»
Специальные нормативные документы и др.
15. Как выбрать СЗИ ИСОП?
Нормативные требования, включая
использование модели угроз
Классификация информации: открытая
общедоступная, ПДн, служебная
(профессиональная, служебная тайна и
др.)
Технические особенности реализации
(разграничение сетевого и сегментного
доступа)
16. Перечень СЗИ ИСОП
Классы средств защиты Сертификация
информации
I класс II класс
СКЗИ (ЭЦП) ФСБ ФСБ
СЗИ от неправомерных ФСБ ФСБ или ФСТЭК
действий
Антивирусные средства ФСБ ФСБ или ФСТЭК
Средства контроля доступа ФСБ ФСБ или ФСТЭК
Системы обнаружения ФСБ ФСБ или ФСТЭК
компьютерных атак
Межсетевые экраны ФСБ ФСБ или ФСТЭК
Информация общедоступная –
требования только к СОВ
17. А если есть служебная информация и ПДн,
то ситуация усложняется (упрощается)…
18. А что в США?
Защита государственных интернет-ресурсов
осуществляется в рамках Federal Information
Security Management Act of 2002
Анализ рисков: NIST SP 800-37 Guide for Applying
the Risk Management Framework to Federal
Information Systems: A Security Life Cycle Approach
Выбор контрмер: NIST SP 800-53 Recommended
Security Controls for Federal Information Systems
В 2010 г на ИБ в государственных агентствах США
было потрачено 12 000 000 000 USD.
21. Белые и серые пятна
Необходимость в новых гибких требованиях к новым
классам СЗИ (СОВ, антивирусный контроль, экраны
безопасности уровня программных приложений, DLP,
средства анализа защищенности и др.)
Безопасность мобильных устройств: смартфоны,
планшеты
Построение процессов управления информационной
безопасностью (например, с применением ГОСТ 27001).
Контроль эффективности процессов и защищенности
систем
Регулярное обучение пользователей.