Защита персональных данных в образовательной сфере

Аватар пользователя artur.baranok
Опубликовано вс, 07/05/2015 - 19:50 пользователем artur.baranok

Защита персональных данных в образовательной сфере

Нормативно-правовая база обеспечения защиты персональных данных и государственная система контроля.
Продукты Microsoft и закон о персональных данных.
Сертификация программного обеспечения по требованиям безопасности информации и комплексные решения по защите персональных данных.
Информационная политика и опыт в организации защиты персональных данных.
Методы и средства обеспечения безопасности персональных данных, особенности их реализации и эксплуатации

Необходимые знания по методам обеспечения безопасности компьютерной информации

Содержание

1. Безопасность компьютерных сетей
Основы защиты сетей. Сетевые атаки. Модели защиты сетей. Службы защиты. Управление доступом. Организация безопасного удаленного доступа. Анализ защищенности сетей. Сетевой мониторинг.

2. Безопасность глобальных сетевых технологий
Противодействие несанкционированному межсетевому доступу. Межсетевое экранирование. Описание возможностей межсетевых экранов. Современные системы FireWall. Установка и конфигурирование систем FireWall: политика межсетевого взаимодействия, схема подключения межсетевого экрана, настройка параметров функцтонирования брандмауэра.

3. Безопасность в Internet.
Стратегии безопасности. Технологии брандмауэров. Пакетные фильтры. Серверы прикладного уровня. Серверы уровня соединения. Программы-брандмауэры. Прокси-системы. Организация безопасного удаленного доступа.

4. Построение защищенных виртуальных сетей. Защищенные протоколы.
Способы создания защищенных виртуальных каналов. Туннелирование на канальном уровне. Особенности протоколов PPTP, L2F, L2TP. Защита виртуальных каналов на сетевом уровне. Средства безопасности IPSec. Построение защищенных виртуальных сетей на сеансовом уровне. Протокол SSL. Протокол SOCKS.

5. Построение защищенных виртуальных сетей. Обеспечение безопасности удаленного доступа к локальным сетям
Функции сервера удаленного доступа. Аутентификация удаленных пользователей. Протоколы PAP, S/Key, CHAP. Централизованный контроль удаленного доступа на примере протокола TACACS компании Cisco Systems. Разграничение доступа к компьютерным ресурсам. Криптозащита трафика. Регистрация событий.

6. Обеспечение безопасности корпоративного сайта
Политика безопасности. Обслуживание брадмауэра: резервное копирование, управление учетными записями, контроль дискового пространства. Текущий контроль системы. Обнаружение атак. Реагирование на инциденты. Поддержание системы на современном уровне.

7. Защищенные беспроводные сети
Беспроводные соединения. Обеспечение безопасности - основная проблема функционирования беспроводных сетей. Технологии и средства обеспечения безопасности данных в беспроводных сетях. Стандарты для поддержки конфиденциальности и целостности данных в беспроводных сетях.

8. Создание защищенного кода. Методы безопасного кодирования
Предотвращение ошибок: переполнение буфера; переполнение стека; переполнение кучи. Предотвращение ошибок индексации массива, ошибок в строках форматирования. Атаки типа «отказ в обслуживании».

9. Создание защищенного кода, взаимодействующего с базами данных
Доверие данным, введенным в базу данных. Уязвимость баз данных для атак, заключающихся в манипуляциях со структурой запросов. Опасность атак с внедрением SQL-кода. Атака «внедрение SQL-кода». Построение безопасных SQL-выражений. Создание безопасных хранимых процедур. Противодействие подключению к SQL-серверу от имени системного администратора из приложений типа Web-сервисов или Web-страниц.

10. Создание защищенных Web-приложений
Проблемы безопасности в Web-среде. XSS кросс-сайтовые сценарии. XSS-атаки на локальные файлы. Атаки на HTML-ресурсы. Атаки на файлы справочной системы Windows. Способы предотвращения XSS-проблем. Проверка кода на наличие XSS-дефектов. Ошибки и их предотвращение в Web-приложениях.

11. Управление проектами по созданию программного обеспечения.
Отличия процессов разработки ПО от процессов реализации технических проектов. Процессы управления при создании ПО. Планирование проекта, виды планов. Структура плана проекта. Контрольные точки.

12. Графики работ при разработке программного обеспечения.
Временные и сетевые диаграммы. Время выполнения проекта. Критический путь. Управление персоналом. Этапы планирования работ с использованием пакета Microsoft Project: планирование ресурсов и создание назначений, планирование стоимости проекта, анализ и оптимизация загрузки ресурсов.

13. Управление рисками при разработке программного проекта.
Понятие рисков. Типы рисков. Возможные риски программных проектов. Схема процесса управления рисками. Определение рисков. Анализ рисков. Планирование рисков. Категории стратегий управления рисками. Мониторинг рисков. Признаки рисков.

14. Требования к программному обеспечению
Уровни требований. Функциональные и нефункциональные требования. Типы нефункциональных требований. Требования предметной области. Пользовательские требования. Системные требования. Способы записи спецификации требований. Спецификация интерфейсов. Документирование системных требований.

15. Модели типов систем, используемые при разработке требований к ПО
Аспекты представления программной системы: внешнее представление, описание поведения, описание структуры системы. Основные типы системных моделей. Определение границ использования систем: модели системного окружения. Поведенческие модели: модели потоков данных, модели конечных автоматов. Модели данных. Объектные модели: модели наследования, агрегирование объектов, моделировании поведения объектов.

16. Унифицированный язык моделирования UML.
Назначение UML. Возможности UML. Типы основных диаграмм UML. Структура и возможности инструментальных CASE-средств для построения моделей систем с использованием UML.

17. Верификация и аттестация программных систем.
Основные методики проверки и анализа систем. Инспектирование ПО. Тестирование ПО. Статические и динамические методы. Планирование верификации и аттестации. Автоматический статический анализ программ. Метод «чистая комната».

18. Тестирование и отладка проекта
Тестирование дефектов. Метод «черного ящика». Области эквивалентности тестовых данных. Структурное тестирование. Тестирование ветвей. Тестирование сборки. Восходящее и нисходящее тестирование.

19. Тестирование объектно-ориентированных систем.
Отличия систем, разработанных по функциональной модели и объектно-ориентированных систем. Четыре уровня тестирования объектно-ориентированных систем. Тестирование классов объектов. Интеграция объектов.

20. Надежность программных систем
Основные составляющие функциональной надежности программных систем: работоспособность, безотказность, безопасность, защищенность. Критические системы, их типы. Подходы, используемые для повышения надежности систем.

Законодательство РБ по компьютерно-информационной безопасности

РАЗДЕЛ XII УК Республики Беларусь
ПРЕСТУПЛЕНИЯ ПРОТИВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Глава 31
Преступления против информационной безопасности

Статья 23. Информация о частной жизни гражданина и персональные данные

1. Каждый имеет право на защиту информации о своей частной жизни, включая право на неприкосновенность частной жизни от вмешательства и (или) контроля со стороны третьих лиц, на тайну его корреспонденции, телефонных и иных сообщений, на личную и семейную тайну.

Состав сведений, составляющих информацию о частной жизни гражданина, определяется самим гражданином.

Состав сведений, составляющих персональные данные, а также порядок получения, сбора, обработки, использования и хранения персональных данных устанавливается законодательными актами Республики Беларусь.

Персональные данные собираются, обрабатываются, используются и хранятся с согласия гражданина, если иное не установлено законодательными актами Республики Беларусь.

3. Каждый имеет право принимать любые законные меры для защиты информации о своей частной жизни и требовать соблюдения указанных мер от другого лица.

4. Сбор, обработка, использование и хранение персональных данных определяются целями, для которых они собираются, обрабатываются, используются и хранятся.

Статья 53. Защита персональных данных

1. Меры по защите персональных данных от разглашения должны быть приняты с момента, когда персональные данные были предоставлены лицом, к которому они относятся, другому лицу либо когда предоставление персональных данных осуществляется в соответствии с законодательством Республики Беларусь.

Последующая передача персональных данных разрешается только с согласия лица, к которому они относятся, либо в соответствии с законодательством Республики Беларусь.

Статья 349. Несанкционированный доступ к компьютерной информации

1. Несанкционированный доступ к информации, хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающийся нарушением системы защиты (несанкционированный доступ к компьютерной информации), повлекший по неосторожности изменение, уничтожение, блокирование информации или вывод из строя компьютерного оборудования либо причинение иного существенного вреда, - наказывается штрафом или арестом на срок до шести месяцев.

2. Несанкционированный доступ к компьютерной информации, совершенный из корыстной или иной личной заинтересованности, либо группой лиц по предварительному сговору, либо лицом, имеющим доступ к компьютерной системе или сети, - наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.

3. Несанкционированный доступ к компьютерной информации либо самовольное пользование электронной вычислительной техникой, средствами связи компьютеризованной системы, компьютерной сети, повлекшие по неосторожности крушение, аварию, катастрофу, несчастные случаи с людьми, отрицательные изменения в окружающей среде или иные тяжкие последствия, - наказываются ограничением свободы на срок до пяти лет или лишением свободы на срок до семи лет.

Статья 350. Модификация компьютерной информации

1. Изменение информации, хранящейся в компьютерной системе, сети или на машинных носителях, либо внесение заведомо ложной информации, причинившие существенный вред, при отсутствии признаков преступления против собственности (модификация компьютерной информации) - наказываются штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до трех лет, или лишением свободы на тот же срок.

2. Модификация компьютерной информации, сопряженная с несанкционированным доступом к компьютерной системе или сети либо повлекшая по неосторожности последствия, указанные в части третьей статьи 349 настоящего Кодекса, - наказывается ограничением свободы на срок до пяти лет или лишением свободы на срок до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью или без лишения.

Статья 351. Компьютерный саботаж

1.Умышленные уничтожение, блокирование, приведение в непригодное состояние компьютерной информации или программы, либо вывод из строя компьютерного оборудования, либо разрушение компьютерной системы, сети или машинного носителя (компьютерный саботаж) - наказываются штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до пяти лет, или лишением свободы на срок от одного года до пяти лет.

2. Компьютерный саботаж, сопряженный с несанкционированным доступом к компьютерной системе или сети либо повлекший тяжкие последствия, - наказывается лишением свободы на срок от трех до десяти лет.

Статья 352. Неправомерное завладение компьютерной информацией

Несанкционированное копирование либо иное неправомерное завладение информацией, хранящейся в компьютерной системе, сети или на машинных носителях, либо перехват информации, передаваемой с использованием средств компьютерной связи, повлекшие причинение существенного вреда, - наказываются общественными работами, или штрафом, или арестом на срок до шести месяцев, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.

Статья 353. Изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети

Изготовление с целью сбыта либо сбыт специальных программных или аппаратных средств для получения неправомерного доступа к защищенной компьютерной системе или сети - наказываются штрафом, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до двух лет.

Статья 354. Разработка, использование либо распространение вредоносных программ

1. Разработка компьютерных программ или внесение изменений в существующие программы с целью несанкционированного уничтожения, блокирования, модификации или копирования информации, хранящейся в компьютерной системе, сети или на машинных носителях, либо разработка специальных вирусных программ, либо заведомое их использование, либо распространение носителей с такими программами - наказываются штрафом, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.

2. Те же действия, повлекшие тяжкие последствия, - наказываются лишением свободы на срок от трех до десяти лет.

Статья 355. Нарушение правил эксплуатации компьютерной системы или сети

1. Умышленное нарушение правил эксплуатации компьютерной системы или сети лицом, имеющим доступ к этой системе или сети, повлекшее по неосторожности уничтожение, блокирование, модификацию компьютерной информации, нарушение работы компьютерного оборудования либо причинение иного существенного вреда, -наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или исправительными работами на срок до двух лет, или ограничением свободы на тот же срок.

2. То же деяние, совершенное при эксплуатации компьютерной системы или сети, содержащей информацию особой ценности, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью, или ограничением свободы на срок до трех лет, или лишением свободы на тот же срок.

3. Деяния, предусмотренные частями первой или второй настоящей статьи, повлекшие по неосторожности последствия, указанные в части третьей статьи 349 настоящего Кодекса, - наказываются ограничением свободы на срок до пяти лет или лишением свободы на срок до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью или без лишения.

Статья 254 УК РБ. Коммерческий шпионаж

1. Похищение либо собирание незаконным способом сведений, составляющих коммерческую или банковскую тайну, с целью их разглашения либо незаконного использования (коммерческий шпионаж) -
наказываются штрафом, или арестом на срок до шести месяцев, или ограничением свободы на срок до трех лет, или лишением свободы на тот же срок.
2. Коммерческий шпионаж, повлекший причинение ущерба в особо крупном размере, -
наказывается арестом на срок от двух до шести месяцев, или ограничением свободы на срок от двух до пяти лет, или лишением свободы на срок от одного года до пяти лет.

Аватар пользователя artur.baranok

Системы видеонаблюдения служат для обеспечения безопасности. Видеонаблюдение может предотвратить хищения а иногда приступления и по-тяжелее. В состав систем видеонаблюдения входят видеокамеры для наружной и внутринней установки, могут быть скрытые видеокамеры. Сеть системы видеонаблюдения может строиться как кабелем коаксиальным с волновым сопротивлением 75 Ом, так и UTP. Устройством обработки видеосигнала и дальнейшим регистрированием видеоинформации выступают видеосерверы и видеорегистраторы.

Системы видеонаблюдения отлично выполняют свои охранные функции в составе с охранной сигнализацией и системами контроль доступа.Тщательно продуманное техническое решение для построения установка видеонаблюдения обеспечит максимальную информативность о происходящем, что усиливает безопасность. При установке системы видеонаблюдения в доме или офисе, на производстве или снаружи зданий нужно учитывать массу факторов таких как освещенность, подступы к видеокамерам системы видеонаблюдения, температурные режимы, влажность и пр. Все системы видеонаблюдения строятся таким образом чтобы их работа не полностью зависила от электропитания, тоесть работать видеонаблюдение должно автономно. Этот факт нужно учитывать при построении системы монтаж видеонаблюдения в условиях повышенной бдительности. Видеонаблюдение по своей природе может быть аналоговым и цифровым, первое давно уже отжило свое, а вот цифровое видеонаблюдение на сегодня самое востребованное. Отличия между аналоговыми и цифровыми системами являются способ обработки видеосигнала и архивирования информации.

Видеонаблюдение и детектор движения.
В современных устройствах видеорегистрации есть возможность установить запись по детектору движения. Видеонаблюдение в этом случае будет записывать все что будет попадать в поле зрения видеокамеры. При использовании такого, способа видеонаблюдение и установки контроля доступа, облегчается возможность просмотра архива и время записи увеличивается, поскольку на диск попадают необходимые события.
Видеонаблюдение в дождь или снегопад с функцией детекции движения фиксирует постоянные перемещения и запись ведется пока погода не улучшится. Если в поле зрения видеокамеры попадает дерево которое качается на ветру, то на него можно наложить маску и детектор движения будет игнорировать фальшивые события.