awareness prezentacija 24072012 rz
TRANSCRIPT
НАРОДНА БАНКА СРБИЈЕИнформациона технологијаБезбедност информација – Програм упознавањаРостислав ЗајченкоБеоград, 24. 07. 2012.
Безбедност информација Програм упознавања
2
Шта је циљ програма упознавања?
• Да се упознате са основним захтевима безбедности информација
• Да постанете свесни да сте ви основна карика безбедности информација у Народној банци Србије
• Да у ситуацијама из вашег свакодневног посла научите да препознате претње по безбедност информација и како да их отклоните у мери у којој то зависи од вас самих
2
3
Увек имајте на уму
• Да сте ви најзначајнија карика у ланцу
безбедности информација
• Да ни најсавременији антивирусни, криптографски, или неки други софтвери не могу да умање штету која може да настане ако запослени случајно угрози безбедност информација
• Да је ланац јак онолико колико је јака његова најслабија карика
3
4
Шта су то информације?
• Информације су имовина која, као и свака друга имовина, има своју вредност, коју треба адекватно чувати
• Информације могу бити:– писане или одштампане на папиру
– запамћене на електронском уређају
– послате електронском поштом или неким другим видом електронске комуникације
– изговорене у разговору
– …
4
5
Власништво над информацијама
• Свака информација има свог власника, било да је то запослени или организациона целина у Народној банци Србије која је одговорна за контролу обраде, развоја, одржавања, коришћења и безбедности информација, као и добара повезаних са обрадом информација
• Појам власник не подразумева никаква имовинска права
5
6
Основна обележја информација
Основна обележја информација су:
1.Поверљивост – информација је доступна само лицима која имају овлашћење да јој приступе
2.Целовитост – очување комплетности и поузданости информација
3.Доступност – да су благовремено доступне овлашћеним лицима
6
7
Зашто је безбедност информација важна?
• Да би се заштитиле све пословно критичне информације
• Да би се заштитили имовина и континуирани ток критичних пословних процеса Народне банке Србије
• Да би се омогућио несметан приступ информацијама
• Да би се заштитиле информације о запосленима
7
8
Шта су то претње и шта штитимо?
• Претњу по безбедност информација представља било шта што може да утиче на нормално функционисање и контролу критичних пословних процеса Народне банке Србије
• Безбедност информација уређује заштиту основних обележја информација (поверљивости, интегритета и расположивости)
8
9
Од чега се ми штитимо?
Штитимо се од различитих типова претњи којима смо свакодневно изложени на радном месту. Извори претњи могу бити:
•Људи – социјално засноване претње
•Физички – хардверски засноване претње
•Програмски – софтверски засноване претње
9
10
• Људске, или социјално засноване претње, подразумевају оно што хакери зову социјални инжењеринг. Можда вам делује изненађујуће, али ово је, са становишта хакера, најуспешнији тип претњи.
10
11
• Физичке, или хардверски засноване претње, представљају претње којима је изложена ваша радна станица (или мобилна радна станица):
– када је оставите незаштићену на радном месту– када користите стару и непоуздану радну станицу,
због чега би могло доћи до губитка података – ако не правите резервне копије важних података
11
12
• Програмске, или софтверски засноване претње, јесу претње које настају у случају:
– појаве недостатака у оперативном систему и/или апликацији коју користите
– коришћења специјално дизајнираних софтвера који могу да угрозе рад ваше радне станице (црви, вируси, тројански коњи …)
12
13
До чега може довести угрожавање безбедности информације?
Угрожавање безбедности информација (непоштовање мера безбедности) може
довести до:
1.угрожавања репутације Народне банке Србије
2.прекида критичних пословних процеса
3.финансијских губитака
4.губитка поверења пословних банака
13
14
Како да се заштитите нарадном месту?
Да бисте се на радном месту заштитили од могућих претњи по безбедност информација, потребно је обратити пажњу на:
1.социјални инжењеринг
2.безбедност лозинке коју користите
3.безбедност ваше радне станице и радног окружења
4.преносиве уређаје које користите
5.поступање с важним подацима
14
15
6. антивирусну заштиту
7. безбедно коришћење електронске поште
8. безбедно коришћење интернета
9. пријављивање свих инцидената у вези с безбедношћу
15
16
1. Социјални инжењеринг
Термин социјални инжењеринг подразумева начин да се добију поверљиве информације манипулацијом неког од запослених који имају приступ тим информацијама. То се често постиже тако што се телефоном или интернетом запослени наводе да открију поверљиве информације.
Разлог зашто хакери користе социјални инжењеринг, и зашто им то тако добро успева, јесте што рачунају на нашу спремност да верујемо другима.
16
17
Трикови који се при том користе су:
•Пожуривање – увек будите сумњичави када вас неко, преко телефона, пожурује да убрзате активности које се односе на поверљиве податке или податке о запосленим
•Ласкање – будите сумњичави када се неко ко вас зове, или вам шаље електронску пошту, понаша превише пријатељски и ласка вам. Он можда покушава да од вас добије неке поверљиве информације
17
18
•Спомињање познатих имена – када вас неко позове преко телефона и почне да користи имена познатих руководилаца у Народној банци Србије, будите обазриви. Можда покушава да од вас добије неке осетљиве информације
•Застрашивање – то је један од честих начина да се прибаве поверљиве информације
18
19
2. Безбедност лозинке коју користите
• Лозинку користите сваког радног дана када приступате вашој радној станици. Она је кључ за приступ свим подацима који се налазе у радној станици и у информационом систему Народне банке Србије
• Када сви други механизми заштите закажу, лозинка је последња брана од неауторизованог приступа и, као такву, морате је пажљиво штитити
19
20
Да би пружила ефикасну заштиту од неауторизованог приступа, лозинка мора да испуни следеће услове:
•да има најмање осам карактера•да садржи најмање три од следећа четири типа карактера:
1. велика слова
2. мала слова
3. бројеве
4. знаке интерпункције и специјалне карактере као што су: @,#,$,&,…
20
21
Никада немојте креирати лозинку која је:
•ваше име, презиме или надимак
•име ваших најближих
•име вашег кућног љубимца
•датум вашег рођења
•ваш телефонски број
•ваша кућна адреса
•број регистарске таблице
•...
21
22
Да бисте сачували вашу лозинку, потребно је да се придржавате неких основних правила:•никада не записујте лозинку, посебно не на стикерима који се лепе на тастатуру, монитор или унутрашњост фиоке
•никада је не делите с другима
•не користите лозинку с посла за приступ кућном рачунару
•будите обазриви када лозинкукористите на неком другом рачунару
•ако посумњате да вам је лозинка откривена, одмах је промените
22
23
• Понашајте се према вашој лозинки као према вашем потпису
• Ваша лозинка је главни вид заштите ваше радне станице и свих ресурса Народне банке Србије којима користећи је приступате
Детаљно упутство како изабрати поуздану лозинку и како је сачувати можете наћи на:
http://webhouse/export/sites/intranet/infosp/IT_preporuke/lozinka.html
23
24
3. Безбедност радне станице и радног окружења
• Никада самостално не инсталирајте софтверна вашој радној станици
• Сваки пут кад напуштате вашу радну станицу, искључите је или закључајте. Најлакши начин је да на тастатури укуцате:o <ctrl> <alt> <delete> па <enter> илиo <> <L>
• Користите лозинку да поново покренете вашу радну станицу
24
25
• Не потцењујте важност физичке безбедности вашег радног окружења. Потребно је да поштујете следећа правила: o не остављајте поверљиве податке на столуo закључавајте врата ваше канцеларије и ормана, као и
фиоке радног стола
25
26
• Понашајте се у складу с „политиком празног стола и празног екрана“ датој у Политици управљања безбедношћу информација у Народној банци Србије:
http://webhouse/pravilnici/3_3.pdf
• Извадите сва ваша поверљива документа из штампача и факс машине или, још боље, штампајте их тек када сте ви уз штампач или факс машину
26
27
4. Безбедност преносивих уређаја
• Примењујте све мере безбедности које су већ дате у делу 3 – Безбедност радне станице и радног окружења – на ваше преносиве уређаје (мобилне радне станице, мобилне телефоне,USB меморије...)
27
28
• Кад вашу мобилну радну станицу користите изван мреже Народне банке Србије (код куће или на путу), морате укључити и додатне мере безбедности:
oредовно ажурирајте антивирусни софтвер (вирусне дефиниције)
oредовно ажурирајте софтвер (обезбедите редовне исправке софтвера)
28
29
o редовно правите резервне копије података и софтвера
o искључите могућност бежичне комуникације, осим ако окружење није потпуно безбедно
o избегавајте да чувате поверљиве информације на вашој мобилној радној станици, осим ако нису посебно заштићене
o кад сте на путу, посебно водите рачуна о физичкој безбедности мобилне радне станице. Оне су врло често мета лопова
29
30
5. Поступање с документима и подацима
• Увек водите евиденцију где вам се налазе документа и подаци, а посебно они поверљиви
• Ако су подаци поверљиве природе и више вам нису потребни, обавезно их уништите
• Важне документе и податке обавезно чувајте у заштићеној форми коришћењем лозинке или криптографске заштите (ако имате ту могућност)
30
31
• Редовно правите резервне копије свих важних докумената и података како не бисте дошли у ситуацију да их немате кад вам буду најпотребнији
• Запитајте се колико би вам часова рада требало да поново припремите случајно обрисан документ или неку табелу с подацима
31
32
6. Антивирусна заштита
• Ваша радна станица има инсталиран антивирусни софтвер и вирусне дефиниције редовно се (аутоматски) ажурирају
• Потпуно антивирусно скенирање ваше радне станице обавља се једном недељно и о томе не морате да водите рачуна
32
33
Оно о чему ви морате да водите рачуна је:
1. да самостално не инсталирате софтвер, јер то може бити извор вирусне заразе
2. да не отварате фајлове које добијате електронском поштом или на неки други начин ако су од непознатог пошиљаоца или непровереног порекла. Увек будите сумњичави
33
34
• У случају да посумњате да је ваша радна станица заражена вирусом, одмах је искључите и позовите Хелп деск
34
35
7. Безбедно коришћење електронске поште
• Избегавајте слање поверљивих података електронском поштом. Ако је то пак неопходно, податке претходно заштитите употребом неке од криптографских техника или коришћењем лозинке ако је реч о MS Оffice документима. Увек два пута проверите адресу на коју шаљете поверљиве податке
• Електронску пошту користите првенствено у пословне сврхе
35
36
• Систем електронске поште Народне банке Србије не сме се користити за: o слање порнографског садржаја
o слање увредљивих коментара везаних за расу, пол, религијска и политичка убеђења или национално порекло
o узнемиравање и застрашивање
o прослеђивање ланаца електронске поште
• Ако примите електронску пошту с таквим садржајем, одмах то пријавите вашем надлежном руководиоцу
36
37
• Електронска пошта је најчешћи начин заразе вирусом. Отварањем електронске поште или кликом на линк у њој може се покренути вирус. Чак и кад изгледа да електронска пошта долази од познате особе, будите обазриви. Адресе пошиљаоца могу се лажирати, али и сам пошиљалац вам може, не знајући да је заражен вирусом, послати вирус
• Због тога:o не отварајте електронску пошту која нема наведен
предмет (subject)
37
38
o не покрећите линк наведен у електронској пошти. Ако вам је баш потребно да приступите том линку, урадите то тако што ћете ручно укуцати линк у вашем интернет претраживачу
o не прослеђујте ланце електронске поште
• И поново – УВЕК БУДИТЕ СУМЊИЧАВИ
Ако не знате шта је ни одакле је дошло, не кликћите мишем на то
38
39
8. Безбедно коришћење интернета
• Користите интернет само у пословне сврхе
• Приступањем сумњивим веб-сајтовима можете се заразити вирусом
• Не спуштајте никакве податке или програме са интернета, јер и тако можете вашу радну станицу заразити вирусом
• Никада не остављајте ваше личне податке на интернет веб-страницама, јер то може угрозити вашу приватност
39
40
9. Пријављивање свих инцидената у вези с безбедношћу
Шта је то инцидент?
Инцидент је покушај (успешан или неуспешан) неовлашћеног приступа информацијама, њихова злоупотреба (откривање, измена или уништавање) или ометање информационог система у раду
ИТ инциденти су напад вируса, хакерски напад…
Не ИТ инциденти су кретање посетиоца без икаквог надзора, одавање поверљивих информација, доношење неодобрених медијума с програмима…
40
41
Ако у било којој ситуацији посумњате да је дошло до инцидента безбедности, одмах га пријавите. ИТ инциденте пријавите Хелп деску, а остале надлежним за физичко-техничку безбедност
Никада немојте:o да дискутујте о инцидентима безбедности ни са
ким ван Народне банке Србијеo да покушавате да се мешате, ометате или
спречавате нeкога ко покушава да пријави инцидент безбедности
41