Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Data Luxury Protection - защита данных с удовольствием!Valery Boronin
Видеозапись выступления http://www.youtube.com/watch?v=vXlyuGXAZzU
--
Какой бы нам хотелось видеть защиту данных завтрашнего дня и почему. Будущее, к которому захочется устремиться.
На слайдах вариант на русском, который использовался для поддержки моего выступления на DLP Russia 2011. Смотреть презентацию лучше с анимацией, скачав pptx.
Системы информационной безопасности и контроля доступа.
Исключение утечки информации по неосторожности и неаккуратности, сокращение вероятности преднамеренной утечки информации из сети компании.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатацииLETA IT-company
Презентация Малявкина Александра Сергеевича,
заместитель директора Департамента консалтинга
компании LETA,
проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Data Luxury Protection - защита данных с удовольствием!Valery Boronin
Видеозапись выступления http://www.youtube.com/watch?v=vXlyuGXAZzU
--
Какой бы нам хотелось видеть защиту данных завтрашнего дня и почему. Будущее, к которому захочется устремиться.
На слайдах вариант на русском, который использовался для поддержки моего выступления на DLP Russia 2011. Смотреть презентацию лучше с анимацией, скачав pptx.
Системы информационной безопасности и контроля доступа.
Исключение утечки информации по неосторожности и неаккуратности, сокращение вероятности преднамеренной утечки информации из сети компании.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Почему не работает DLP? Типичные ошибки при внедрении и эксплуатацииLETA IT-company
Презентация Малявкина Александра Сергеевича,
заместитель директора Департамента консалтинга
компании LETA,
проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Michael Kozloff
Проблема:
- рост риска несанкционированного доступа (НСД) к данным в облачных и виртуальных средах
Последствия:
- потеря данных и штрафы регуляторов
Решение:
- МСЭ TrustAccess защищает данные, а не периметр; снижает риски НСД инсайдеров; снижает стоимость защиты ПДн К1
Решения Cisco для защиты персональных данныхCisco Russia
Мы постоянно находимся под контролем различных государственных и муниципальных органов власти, коммерческих и правоохранительных структур. Паспортные столы и поликлиники, банки и пенсионные фонды, гостиницы и ЖЭКи, ГИБДД и избирательные комиссии, кадровые агентства и HR-подразделения работодателей... Все они собирают, группируют, анализируют, систематизируют, передают, получают персональные данные о нас. И не всегда они прилагают усилия для охраны этих сведений; зачастую теряя их или продавая мошенникам и нечистым на руку покупателям.
Защита персональных данных (ПДн) последние годы была и остается одной из острейших проблем в информационной сфере и взаимоотношениях государства, граждан и бизнеса. Постоянные утечки информации из государственных органов, банков, операторов связи и медицинских учреждений, продажа этих данных в Интернете или на компьютерных лотках; все это наносит ущерб и нарушает основные права на неприкосновенность частной жизни, дарованные каждому гражданину Конституцией РФ.
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Значение организационных мероприятий для обеспечения защиты персональных данн...Алексей Волков
Презентация Волкова А.Н. с конференции "Обеспечение безопасности персональных данных в органах государственной власти, местного самоуправления, муниципальных и коммерческих организациях" 11.03.2010 г.
Техническая защита ИСПДн: проблемы... и решения?Алексей Волков
Презентация Волкова А.Н. с конференции «Обеспечение технической защиты персональных данных при их обработке в информационных системах персональных данных», г.Череповец, 22 марта 2011 г.
4. БИЗНЕС-ТРЕБОВАНИЯ VS
ТРЕБОВАНИЯ БЕЗОПАСНОСТИ
Возможность Соблюдение
доступа установленных
сотрудников к правил и политик
корпоративным безопасности
ресурсам вне зависимости
в любом месте, от места,
в любое время времени
и с любого и способа
устройства подключения
5. КАК ДОСТИГАЕТСЯ БАЛАНС
Подключение отдельных
рабочих мест к ТФОП через
модем
Организация корпоративных
модемных пулов
Прямое подключение
корпоративных ресурсов к
сети «Интернет»
Защищенное подключение «внешних»
пользователей к корпоративной сети
6. ИТ-ИНСОРСИНГ И КСПД
Корпоративная сеть
передачи данных
Корпоративный
ИТ-оператор
8. МОБИЛЬНЫЙ ПОЛЬЗОВАТЕЛЬ
Безопасный доступ к рабочему месту
из любой точки земного шара
(Remote Desktop, VPN)
Корпоративная электронная почта
на мобильных устройствах
(MS Exchange, SSL)
Возможность доступа к
корпоративным ресурсам с
любого устройства
Для малого и среднего бизнеса
все это весьма недешево…
9. МОБИЛЬНЫЙ БИЗНЕС
• Оперативное развертывание и перемещение ИТ-
инфраструктуры филиала без существенных
капитальных затрат
• Ежемесячная абонентская плата без
необходимости приобретения дорогостоящего
оборудования и получения лицензий
• Полноценное техническое сопровождение на
базе SLA
• Распространение политик безопасности на все
подразделения и филиалы
• Централизованное управление и контроль
использования информационных ресурсов
VPN AS A SERVICE
10. РАЗНЫЕ КАТЕГОРИИ ИНФОРМАЦИИ
Сведения, распространение или предоставление которой
может оказать существенное влияние на цены финансовых
инструментов и привести к снижению рыночной
капитализации (инсайдерская информация)
КТ1 Сведения, распространение или предоставление
которых может привести к нанесению прямого ущерба
компании (хищение ресурсов, потери от простоя,
КТ2 недополученная прибыль и др.)
Сведения, разглашение которых может нанести
косвенный ущерб (упущенная выгода из-за
нарушения бизнес-процессов, имиджевые и
КТ3 репутационные риски и др.)
Разрозненная информация,
подлежащая защите в связи с
потенциальной опасностью
формирования сведений высших
КТ4 категорий при анализе некоторой ее
совокупности
11. РАЗНЫЕ ТРЕБОВАНИЯ ПО ЗАЩИТЕ
Точная и конкретная информация, в связи с чем идентифицировать ее и
определить область защищаемых ресурсов гораздо легче, чем в остальных
категориях. К этой категории относится в основном информация о
стратегических замыслах руководства, предстоящих инвестиционных проектах,
будущих управленческих решениях и финансовой отчетности, до ее
официального раскрытия. Меры защиты для КТ1 должны быть самые жесткие,
но четкие и конкретные, а потому эффективные.
КТ1 Информация для этой категории определяется путем анализа
ОСНОВНЫХ бизнес-процессов компании и информационных потоков,
их сопровождающих, на предмет возможных рисков, связанных с
утечкой информации. Защитные меры для КТ2 выбираются на
основании качественной или количественной оценки потенциального
КТ2 ущерба активам в случае реализации этих рисков: чем больше ущерб –
тем выше и дороже защита).
Информация для этой категории определяется путем анализа
ВСПОМОГАТЕЛЬНЫХ бизнес-процессов компании и
информационных потоков, их сопровождающих, и определения
КТ3 степени влияния утечки информации на основные бизнес-
процессы компании. Как правило, такую информацию тяжело
идентифицировать и защитить, поэтому бОльшая ее часть
защищается путем внедрения СУИБ и оргмерами.
Наименее контролируемая категория, а потому
труднее всех защищаемая. КТ4 может быть везде – в
КТ4 переписке, в приказах, служебных записках и т.д.
Опасна тем, что в руках аналитика, умеющего
сопоставлять и анализировать разрозненную
информацию, некоторая ее совокупность способна
после анализа дать сведения из «высших»
категорий. Из-за огромного объема защитить ее
практически невозможно (потому что очень дорого)
– только оргмеры и постоянное обучение
пользователей этой информации.
12. BYOD И КОММЕРЧЕСКАЯ ТАЙНА
Обязательное условие установления режима коммерческой тайны (ч. 5 ст. 10 98-
ФЗ): Нанесение на материальные носители (документы), содержащие информацию,
составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием
обладателя этой информации (для юридических лиц - полное наименование и место
нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество
гражданина, являющегося индивидуальным предпринимателем, и место жительства)
Ст. 2 98-ФЗ. Положения настоящего Федерального закона распространяются на
информацию, составляющую коммерческую тайну, независимо от вида носителя, на
котором она зафиксирована.
ГОТОВЫ «ОКЛЕИТЬ» ЛИЧНЫЙ ГАДЖЕТ?
13. BYOD И ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Статья 19 152-ФЗ. Меры по обеспечению безопасности персональных
данных при их обработке
1. Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения
персональных данных, а также от иных неправомерных действий в
отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в
частности:
5) учетом машинных носителей персональных данных
А КАК БЫТЬ С СЕРТИФИЦИРОВАННЫМИ
АНТИВИРУСАМИ, МЕЖСЕТЕВЫМИ ЭКРАНАМИ
И ПОНЯТИЕМ «КОНТРОЛИРУЕМАЯ ЗОНА» ?
14. BYOD И ВОЗМЕЩЕНИЕ УЩЕРБА
Работник может использовать свое личное имущество при
выполнении трудовой функции с согласия или с ведома
работодателя и в его интересах (в том числе и на
договорной основе). В этих случаях работнику
выплачивается компенсация за использование, износ
(амортизацию) инструмента, личного транспорта,
оборудования и других технических средств и материалов,
принадлежащих работнику, а также возмещаются расходы,
связанные с их использованием (ст. 188 ТК РФ).
При утрате или повреждении этого имущества по вине
работодателя работнику должен быть возмещен
понесенный им материальный ущерб (ст. 235 ТК РФ).
А ЕСЛИ УЩЕРБ ИМУЩЕСТВУ
ПРИЧИНЕН ТРЕТЬИМИ ЛИЦАМИ?
15. РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ
КТ1 КТ2 КТ3 КТ4
Запрет использования личных средств обработки
информации
Запрет использования неучтенных и
немаркированных носителей информации
Шифрование содержимого жестких дисков
Шифрование электронной почты
Использование смартфонов и планшетов для
обработки информации
Использование VPN для доступа к корпоративной
сети передачи данных
Использование защищенных терминальных
серверов для доступа к корпоративным ресурсам