Informcijas drobas izgltbas programma darbinieku visprj apmcba CERT
“Informācijas drošības izglītības programma” darbinieku vispārējā apmācība CERT. LV Rīga, 2011 -2020
Saturs 1. Par IDIP 2. Tiesiskais regulējums 3. IT drošības likuma prasības 4. IT drošības noteikumu mērķi 5. CERT. LV darbības jomas 6. CERT. LV sadarbība 7. Atbildīgās organizācijas Latvijas kibertelpā 8. Informācijas drošība 9. Sociālā inženierija 10. Informācijas aizsardzība ikdienā 11. Kontakti un noderīgas saites
Par IDIP Informācijas drošības izglītības programmas ideja radās 2011. gadā. IT drošības likums nosaka kārtību kā valsts un pašvaldību institūcijās jāorganizē IT drošība. Šī kārtība nosaka arī atbildīgā pat IT drošību iestādē norīkošanu un darbinieku apmācības reizi gadā. IDIP ietver ieteicamo apmācību saturu darbiniekiem. Informācijas sabiedrībā katrs no mums var būt vienlaicīgi gan informācijas radītājs, gan informācijas patērētājs, gan arī pieejams kibernoziedznieku mērķis. Svarīgi ir apzināties, ka zināšanas par to, kā aizsargāt informāciju par sevi, veicina personīgo drošību un darbinieku zināšanas par to, kā aizsargāt iestādes informāciju, veicina iestādes drošību. CERT. LV komanda
Tiesiskais regulējums Informācijas Tehnoloģiju drošības likums • Nosaka CERT. LV darbības principus. • Nosaka Nacionālās informācijas tehnoloģiju drošības padomes izveidi. • Nosaka kārtību, kā valsts un pašvaldību institūcijās jāorganizē IT drošības pārvaldība.
Tiesiskais regulējums Pamatojoties uz IT drošības likumu, izstrādāti MK noteikumi: • Nr. 100 „Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība”. • Nr. 327 „Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam”. • Nr. 442 „Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”. • Nr. 15 „Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu”.
IT drošības likuma prasības Katrā valsts un pašvaldību iestādē: Jābūt nozīmētai atbildīgajai personai par IT drošības pārvaldību, kura: • Ziņo CERT. LV par konstatētajām IT drošības nepilnībām un pārvalda to novēršanu. • Izstrādā un ievieš IT drošības noteikumus. • Veic un organizē darbinieku apmācību IT drošības jautājumos. Lai atbildīgā persona varētu labāk izpildīt likuma normas: • Saņem no CERT. LV informāciju par apdraudējumiem iestādes tīklā. • Saņem uzaicinājumu apmeklēt CERT. LV rīkotos pasākumus.
IT drošības noteikumu mērķi • Apliecināt iestādes vadības apņemšanos nodrošināt iestādē resursu drošību, lai nodrošinātu to integritāti, pieejamību un konfidencialitāti. • Nodrošināt iestādē vienādu un sistemātisku pieeju informācijas tehnoloģiju drošības jautājumu risināšanā. • Panākt iestādes darbinieku izpratni par nepieciešamajiem informācijas tehnoloģiju drošības jautājumiem. • Būt par pamatu nepieciešamo procedūru, instrukciju un citu nepieciešamo drošības dokumentu izstrādē un ieviešanā.
CERT. LV darbības jomas IT drošības incidentu apstrāde un analīze Sensoru tīkls un DNS ugunsmūris Informācijas apmaiņa par apdraudējumi em Sadarbība ar nacionālajām drošības iestādēm Kiberdrošības uzraudzība Pētījumi kiberdrošība Sabiedrības izglītošana Digitālās drošības uzraudzības komitejas (DDUK) atbalsts
CERT. LV sadarbība
Atbildības jomas
Informācijas drošība • Informācijas resursu aizsargāšana no neautorizētas piekļuves, izmantošanas, publiskošanas, tās pieejamības traucēšanas, pārveidošanas vai iznīcināšanas. • Informācijas drošības galvenais mērķis ir aizsargāt un nodrošināt informācijas konfidencialitāti, integritāti un pieejamību.
Sociālā inženierija • Manipulēšana ar cilvēku lai tas veiktu noteiktas darbības vai izpaustu informāciju. • Internets dod iespēju mērķu sasniegšanai apvienot sociālās inženierijas paņēmienus un tehnoloģiju nepilnības. • Šķietami visnenozīmīgākā komunikācija ar nepazīstamu cilvēku var radīt neparedzamas sekas.
Informācijas aizsardzība ikdienā Labā prakse : Internets • • Pārdomājam, pirms atveram nezināmas saites vai veicam datu lejupielādi. Ja rodas šaubas, pārbaudām vai tīmekļa vietne ir īsta. Bez vajadzības neatveram saites komentāros un sociālajos tīklos. Domājam par savu privāto informāciju darba vidē.
Informācijas aizsardzība ikdienā Labā prakse : Elektroniskais pasts • • Darba e-pastu lietojam tikai darba vajadzībām. Ja rodas šaubas, pārbaudām sūtītāju un adresātu. Neatveram šaubīgas saites un pielikumus. Kritiski vērtējam jebkura e-pasta saturu.
Informācijas aizsardzība ikdienā Labā prakse : Paroles • Katram resursam obligāti izmantojam atšķirīgu paroli un nomainām pēc noklusējuma piešķirtās paroles. • Izvēlamies paroli vai paroļu frāzi kuru viegli atcerēties, taču, kas nebūtu viegli uzminama. • Parolei neizmantojam frāzes, kas satur privātu vai organizāciju raksturojošu informāciju. • Ja iespējams, vienmēr izmantojam vairākfaktoru autentifikāciju. • Ja iespējams, izmantojam paroļu pārvaldnieku.
Informācijas aizsardzība ikdienā Labā prakse : Viedierīces • Aizsargājam ar paroli, pin kodu vai citu papildus autentifikācijas veidu ( pirksta nospiedums, sejas atpazīšana). • Vienmēr zinām, kur tās atrodas un lietojam tikai paši. • Esam uzmanīgi pieslēdzot savas iekārtas nezināmiem datoriem vai citām iekārtām. • Rūpējamies par viedtelefona atjauninājumiem un instalējam drošas lietotnes.
Informācijas aizsardzība ikdienā Labā prakse : Datu nesēji • Bez nepieciešamības nepievienojam darba datoram zibatmiņas, fotoaparātus, viedtelefonus u. c. ierīces izmantojot USB, Bluetooth vai Wi. Fi savienojumu. • Ar īpašu piesardzību lietojam ārējos datu nesējus, kurus iedevuši draugi, paziņas vai pasākumos izdalītos datu nesējus ar reklāmu vai prezentācijām. • Darba ārējos datu nesējus izvairāmies pieslēgt nezināmiem datoriem. • Darba ārējos datu nesējos neturam kopā darba un privāto informāciju.
Informācijas aizsardzība ikdienā Labā prakse : Informācijas sistēmas un datnes • Patvaļīgi neinstalējam programmatūru, pat ja tas nav aizliegts. • Neizmantojam darba datoru privātas informācijas glabāšanai (filmas, mūzika, personīgas fotogrāfijas, un tml. ). • Izvairāmies pārsūtīt darba informāciju, izmantojot savus publiskos mākoņservisus (failiem. lv, dropbox. com, google drive u. c) vai privāto e-pastu. • Neizmantojam online rīkus darba failu apstrādei (tulkošana, pareizrakstība, ļaunatūra, konvertēšana u. c. ).
Informācijas aizsardzība ikdienā Labā prakse : Rīcība un atbildība • Pirms rīcības jebkuru šaubu gadījumā sazinieties ar IT atbalstu. • Ja esat kļūdījies, atzīstiet savu kļūdu un informējiet vadību. • Iegaumējam – par neatvērtu saiti vai dokumentu Jūs nesodīs, bet par sainficētu darba datoru un informācijas noplūdi pienākas sods. • Esat zinošs, motivēts un lojāls darbinieks.
Informācijas aizsardzība ikdienā Labā prakse : Attālinātais darbs • • Rūpējamies par drošību un atjauninājumiem mājas tīkla iekārtām. Rūpējamies par atjauninājumiem datoram, ar kuru strādājam. Ievērojam darba devēja IT drošības prasības attālinātam darbam. Ievērojam tīra galda principu.
Kontakti un noderīgas saites • Semināri ”Esi drošs”, kursi, IT apmācības : https: //cert. lv , kursi@cert. lv • Konference ”Kiberšahs” : https: //cert. lv , kursi@cert. lv • DNS ugunsmūris : https: //dnsmuris. lv • Izgītojošs resurss : https: //www. esidross. lv/ • Drošības ekspertu grupa – DEG : https: //cert. lv/lv/iniciativas-un-aktivitates/drosibas-ekspertu-grupa-deg • Atbildīgs interneta pakalpojumu sniedzējs : https: //cert. lv/lv/interneta-pakalpojumu-sniedzejiem/atbildigs-ips • Saziņa ar CERT. LV par IT drošības incidentiem : cert@cert. lv
cert@cert. lv https: //www. cert. lv certlv
- Slides: 22