Кибербезопасность. Основы защиты данных в цифровой экосистеме университета

Кибербезопасность. Основы защиты данных в цифровой экосистеме университета

@freepik

Процесс развития цифровых экосистем университетов идет непрерывно, и чем более развитой становится система, тем выше требования к информационной безопасности.

Информационная безопасность (ИБ) — это прежде всего комплекс мер для обеспечения защиты данных, цифровых устройств, программ, компьютерных систем и сетей. Соблюдение мер информационной безопасности должно быть обеспечено не только на стороне Цифрового блока, но и на стороне всех сотрудников университета, использующих информационные системы и сервисы в своей повседневной деятельности. Каждый должен вносить свой вклад в обеспечение ИБ. Команда Центра информационной безопасности НИУ ВШЭ разработала Памятку по обеспечению мер кибербезопасности.

Соблюдение мер информационной безопасности позволит защититься от рисков:

  • кража, или хищение, персональных данных сотрудников и студентов;
  • воздействие на обрабатываемую информацию с целью ее несанкционированного изменения или нарушения доступности ее использования;
  • кража, или хищение учетных данных, то есть логина и пароля участников процесса обработки информации, и их незаконное использование для выполнения несанкционированных операций от их имени.

Меры по защите от воздействия вредоносного кода

  1. Пользуйтесь персональными компьютерами с установленным лицензионным программным обеспечением.
  2. Своевременно обновляйте установленное программное обеспечение и операционную систему (установка критичных обновлений).
  3. Не используйте права администратора при отсутствии необходимости. В повседневной практике входите в систему с учетной записью пользователя, не имеющего прав администратора.
  4. Не используйте на устройстве, предназначенном для доступа к информационным системам НИУ ВШЭ, средства удаленного администрирования.
  5. Обязательно установите и своевременно обновляйте на компьютере антивирусное программное обеспечение. Рекомендуется установить по умолчанию максимальный уровень политик безопасности, т. е. не требующий ответов пользователя при обнаружении вирусов. Лечение (удаление) зараженных файлов производится антивирусным средством в автоматическом режиме.
  6. Антивирусное программное обеспечение должно запускаться автоматически, с загрузкой операционной системы.
  7. Рекомендуется подвергать антивирусному контролю любую информацию, получаемую и передаваемую по телекоммуникационным каналам связи, а также информацию на используемых съемных носителях, например, USB-накопителях и т. п.
  8. Не реже одного раза в неделю должна осуществляться полная проверка жесткого диска персонального компьютера на предмет наличия вирусов и вредоносного программного кода.
  9. При подозрении на наличие вирусов на персональном компьютере (в частности, неожиданных «зависаниях», перезагрузках, непонятной сетевой активности), необходимо полностью воздержаться от использования информационных систем НИУ ВШЭ до исправления ситуации.
  10. При работе с электронной почтой не открывайте письма и вложения к ним, полученные от неизвестных отправителей, не переходите по содержащимся в таких письмах ссылкам.
  11. Перед просмотром электронного письма всегда проверяйте адрес отправителя. Строка «Отправитель» может содержать адрес электронной почты, который является почти точной копией адреса настоящей компании.
  12. Внимательно читайте текст электронного письма. Электронные письма от известных компаний никогда не содержат орфографических или грамматических ошибок. Если Вы видите слова на иностранном языке, специальные символы и т. д., возможно, это электронное письмо, отправленное мошенниками.
  13. При работе с электронными письмами старайтесь сохранять спокойствие. Многие мошеннические электронные письма содержат призывы к безотлагательным действиям, пытаясь заставить Вас действовать быстро и необдуманно.
  14. Внимательно анализируйте ссылки. Они могут быть почти точной копией подлинных, однако они могут перенаправить Вас на мошеннический web-сайт. Если ссылка выглядит подозрительно или не соответствует требованиям безопасности, например, начинается с http:// вместо https://, не переходите по этой ссылке.
  15. Рекомендуем ограничить информационный обмен в сети Интернет только надежными информационными порталами и проверенными корреспондентами электронной почты.
  16. При использовании на компьютере сети связи общего пользования (при выходе в Интернет) проявляйте разумную предусмотрительность:
  • используйте только доверенные ресурсы;
  • не устанавливайте программы с ресурсов, не относящихся к производителю программных средств;
  • старайтесь не использовать компьютер, с которого Вы осуществляете обработку информации, для общения в социальных сетях, посещения развлекательных сайтов и сайтов сомнительного содержания (игровые, сайты знакомств, сайты, распространяющие программное обеспечение, музыку, фильмы и т. п.), т. к. именно через эти ресурсы сети Интернет чаще всего распространяются компьютерные вирусы.
    1. Исключите возможность установки посторонними лицами (гостями, посетителями) на компьютер каких-либо программ.

Меры по выполнению правил парольной политики НИУ ВШЭ

  1. При подозрении на компрометацию пароля, то есть подозрении, что Ваш пароль стал известен постороннему лицу, необходимо сменить его.

Длина Вашего пароля должна быть не менее 12 символов и представлять собой сложное сочетание строчных и прописных букв, цифр и символов.

  1. Необходимо хранить пароль в тайне и предпринимать необходимые меры предосторожности для предотвращения его несанкционированного использования.
  2. Используемые учетные данные (логин и пароль) запрещается записывать и хранить в местах, доступных посторонним лицам.

Как правильно управлять паролем, рассказываем в нашем материале по ссылке.

Меры по обеспечению безопасности обрабатываемой информации

  1. Для обработки данных в информационных системах НИУ ВШЭ используйте только отдельный компьютер, не предназначенный для какой-либо иной деятельности. Необходимо исключить возможность физического доступа посторонних лиц к компьютеру, с которого Вы осуществляете работу.
  2. Необходимо принять меры по контролю конфигурации компьютера, с которого Вы осуществляете работу, и её изменения, то есть не допускать несанкционированных программно-аппаратных изменений конфигурации.
  3. Не пересылайте в открытом (незашифрованном) виде файлы с конфиденциальной информацией по электронной почте или при помощи мессенджеров социальных сетей. Используйте для этой цели ресурсы хранения, предоставленные НИУ ВШЭ, например, сервисы облачного хранения данных.
  4. Необходимо корректно завершать работу в информационных системах НИУ ВШЭ, используя для этого пункт меню, предусматривающий завершение работы в системе.
  5. Не используйте учетные данные, используемые при доступе к информационным системам НИУ ВШЭ, на каких-либо иных публичных ресурсах в сети Интернет.

Меры по безопасности при использовании мобильных устройств для доступа к информационным системам НИУ ВШЭ

  1. Для обеспечения безопасности при утрате мобильного телефона необходимо заблокировать SIM-карту в следующих случаях:
  • если на номер мобильного телефона Вы получаете сообщения с SMS-кодом подтверждения входа в информационные системы НИУ ВШЭ;
  • если на телефоне установлено мобильное приложение для работы с информационными системами НИУ ВШЭ и учетные данные были сохранены в приложении.
  1. Не оставляйте свой телефон без присмотра, чтобы исключить его несанкционированное использование. Установите на телефоне пароль, данная возможность доступна для любых современных моделей телефонов или смартфонов.
  2. При установке на телефон дополнительных программ обращайте внимание на полномочия, которые необходимы программе.  Если программе требуются излишние полномочия, то это повод проявить настороженность.  Обращайте внимание на такие опасные разрешения, как доступ и отправка SMS, доступ к Интернет.
  3. Установите на телефон антивирусное ПО и своевременно его обновляйте.
  4. Не взламывайте телефон, так как это отключает защитные механизмы, заложенные производителем.  В результате ваш телефон становится уязвимым к заражению вирусами.

Обеспечение информационной безопасности – это задача каждого из нас, цифровая гигиена в повседневной рабочей жизни может помочь нам сделать её эффективнее.

В случае возникновения вопросов по ИБ всегда можно обратиться на Горячую линию Вышки. Специалисты Цифрового блока рассмотрят обращение и дадут обратную связь в возможно короткие сроки.