Нарушения в сфере информационной безопасности

ТОП-12 нарушений политики информационной безопасности (с рекомендациями по их устранению)

Нарушения в сфере информационной безопасности

1. Запись пароля доступа на мониторе, компьютере и на других близко расположенных предметах

Наиболее распространенное нарушение, по мнению экспертов, в этом замечен каждый пятый сотрудник.

Памятка: Не записывайте пароль в доступных местах, не называйте пароли вслух.

2. Оставленный без присмотра компьютер

Все самые дорогостоящие средства защиты информации не помогут, если кто-то посторонний может просто воспользоваться таким компьютером с открытым доступом к информации компании.

Памятка: Требуйте от сотрудников каждый раз отлучаясь с рабочего места нажимать сочетание клавиш Win+L

3. Открытие e-mail от незнакомцев

Доверие и любопытство заложено в самой природе человека. Пришедшее на почту письмо с интригующим заголовком заставляет даже разумных и ответственных людей делать глупость – открыть файл, пришедший из непроверенного источника.

Помните, что открытие писем от незнакомцев может привести к заражению компьютера вредоносной программой. По всему миру тратятся млрд. долларов на устранение повреждений, причиненных такими вирусами.

Памятка: не открывайте письма от непроверенных адресатов

4. Простые пароли, редкая смена пароля

Часто в качестве пароля сотрудники используют простые наборы подряд идущих цифр или букв. Не соблюдается режим регулярной смены паролей. Однако экспертами установлено, что регулярная смена используемых паролей повышает надежность защиты на 30%.

Памятка: Выбирайте пароли, которые трудно подобрать; только сложные комбинации цифр и букв; регулярно меняйте пароли.

5. Потеря переносных персональных устройств

Переносные компьютеры (Notebook) могут хранить в своей памяти большие секреты компании. В силу своих небольших размеров они весьма уязвимы для потери, воровства и других противоправных действий.

Памятка: Проявляйте осторожность при обращении с переносными персональными устройствами, рассматривайте их как хранилище важных документов и предусмотрите использование программного обеспечения по контролю над доступом. Также есть ряд программных решений позволяющих исключить утечку конфиденциальной информации при утере устройства. (за бесплатной консультацией можете обратиться к нашим экспертам)

6. Излишняя болтливость

Часто разговоры на служебные темы с использованием конфиденциальной информации происходят вне служебных помещений (в столовой, лифте, в спортивном зале и т.п.), где они могут быть легко услышаны посторонними людьми.

Избегайте обсуждения служебных вопросов вне служебных помещений, при обсуждении конфиденциальных вопросов убедитесь, что вас никто не подслушивает.

Памятка: пресекайте такие случаи, пропишите в договоре о неразглашении коммерческой тайны штрафные санкции в случае выявления факта утечки конфиденциальной информации.

7. Подключение без защиты

Весьма опасны подключения к внешним сетям через модемы минуя средства защиты (Firewall и другие общие меры безопасности). Тем самым создаются предпосылки для проникновения злоумышленников в корпоративную компьютерную сеть Компании.

Памятка: Прежде чем подключиться к внешним сетям обратитесь к специалисту по защите информации для решения всех вопросов по защите информационных ресурсов Компании

8. Сокрытие фактов нарушения информационной безопасности

Вы можете плохо знать общую политику информационной безопасности, но важно четко знать, что можно, а что нельзя.

Вы обязаны незамедлительно сообщать своему руководителю обо всех фактах нарушения политики информационной безопасности, которые стали вам известны.

Памятка: Помните, что успех компании (и ваша работа также) зависят от быстроты действий по предотвращению инцидентов безопасности. Требуйте от сотрудников незамедлительно сообщать такие факты при их выявлении.

9. Запоздалая реакция на изменение среды

В общем и прикладном программном обеспечении регулярно обнаруживаются уязвимости, способные привести к инцидентам безопасности.

Памятка: Важно не откладывать соответствующие модернизации программного обеспечения на потом, поскольку это может нанести Компании серьезные убытки.

10. Личная ответственность сотрудников

Большинство инцидентов безопасности (до 80%) возникают из-за действий собственных сотрудников компании, ее партнеров и подрядчиков.

Памятка: следует помнить, что любая информация, попавшая в чужие руки, может быть использована не по назначению и способна нанести ущерб ее репутации. Все члены нашего коллектива, а также наши партнеры, должны понять важность обеспечения безопасности при обращении с информацией, которая им доверена.

11. Подключение к сети предприятия посторонних носителей информации

Большинство инцидентов безопасности возникают из-за необдуманных действий собственных сотрудников Компании. Категорически запрещается приносить на рабочее место и работать на компьютерах, включенных в сеть Компании, любые личные накопители информации (диски, флэшки и подобное).

Памятка: все члены нашего коллектива, а также наши партнеры, должны обеспечить защиту от вредоносного ПО. Пользуйтесь исключительно носителями принадлежащими Компании и прошедшими проверку на безопасность.

12. Использование «левого» ПО

Часто предприниматели экономят на лицензионном ПО и работают на пиратском. Закон принят давно и с каждым днем шансы на его активизацию нарастают. Этим может и воспользоваться недобросовестные конкуренты….

«Если в первом акте пьесы на стене висит ружьё, то в последнем акте оно непременно должно выстрелить». А. П. Чехов.

Памятка: следует знать, что сегодня разработаны множество способов получения прав владения и использования ПО на легальной основе и за разумные деньги.

Получить бесплатную консультацию от наших экспертов вы можете по тел. 8-804-333-73-17 (звонок бесплатный из любой точки России).

Источник: https://club.cnews.ru/blogs/entry/top12_narushenij_politiki_informatsionnoj_bezopasnosti_s_rekomendatsiyami_po_ih_ustraneniyu_

Ответственность за нарушения в сфере информационной безопасности

Нарушения в сфере информационной безопасности

Немаловажная роль в системе правового регулирования информационных отношений отводится ответственности субъектов за нарушения в сфере информационной безопасности.

Основными документами в этом направлении являются:

  • Уголовный кодекс Российской Федерации.
  • Кодекс Российской Федерации об административных правонарушениях.

В принятом в 1996 году Уголовном кодексе Российской Федерации, как наиболее сильнодействующем законодательном акте по предупреждению преступлений и привлечению преступников и нарушителей к уголовной ответственности, вопросам безопасности информации посвящены следующие главы и статьи:

1. Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

2. Статья 140. Отказ в предоставлении гражданину информации.

3. Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну.

4. Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей.

5. Статья 283. Разглашение государственной тайны.

6. Статья 284. Утрата документов, содержащих государственную тайну.

Особое внимание уделяется компьютерным преступлениям, ответственность за которые предусмотрена в специальной 28 главе кодекса Преступления в сфере компьютерной информации. Глава 28 включает следующие статьи:

1. Статья 272. Неправомерный доступ к компьютерной информации.

a.

Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, – наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

b.

То же деяние, совершенное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, – наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или другого дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

2. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.

a.

Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, – наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

b.

Те же деяния, повлекшие по неосторожности тяжкие последствия, – наказываются лишением свободы на срок от трех до семи лет.

3. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

a.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, – наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

b.

То же деяние, повлекшее по неосторожности тяжкие последствия, – наказывается лишением свободы на срок до четырех лет.

Виды угроз безопасности.

Угроза — это потенциально возможное событие, действие, процесс или явление, которое может привести к понятию ущерба чьим-либо интересам.

Нарушение безопасности — это реализация угрозы.

Естественные угрозы — это угрозы, вызванные воздействием на АС объективных физических процессов, стихийных природных явлений, не зависящих от человека.
Естественные делятся на:

  • природные (стихийные бедствия, магнитные бури, радиоактивное излучение, осадки)
  • технические. Связаны надежностью технических средств, обработки информации и систем обеспечения.

Искусственные делят на:

  • непреднамеренные — совершенные по незнанию и без злого умысла, из любопытности или халатности
  • преднамеренные

Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу: сбор, модификация, утечка и уничтожение. Эти действия являются базовыми для дальнейшего рассмотрения.

Придерживаясь принятой классификации будем разделять все источники угроз на внешние и внутренние.

Источниками внутренних угроз являются: 1. Сотрудники организации; 2. Программное обеспечение;

3. Аппаратные средства.

Источник: http://csaa.ru/otvetstvennost-za-narushenija-v-sfere/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.