11 клас · Урок 24

Заходи захисту і право

Види заходів протидії загрозам безпеки. Правові основи забезпечення безпеки інформаційних технологій.

1. Класи заходів безпеки

Організаційні — політики, інструкції, розподіл ролей і відповідальності.
- Правило найменших привілеїв, контроль змін, навчання користувачів.
- Пояснення: організаційні заходи задають правила й очікувану поведінку для всіх учасників.
- Приклад: затверджена політика паролів і чеклист офбордингу з негайним відкликанням доступів.
- Порада: визначте ролі й відповідальності (RACI) та переглядайте їх щосеместру.
Технічні — брандмауери, IDS/IPS, шифрування, DLP, антивірус.
- Пояснення: технічні контролі реалізуються на рівні систем і мереж.
- Приклад: EDR + брандмауер + шифрування дисків і каналів.
- Порада: підтримуйте автооновлення та централізований моніторинг подій.
Програмні — оновлення/патчі, контроль цілісності, білi списки ПЗ.
- Пояснення: сукупність правил і засобів для безпечної експлуатації ПЗ.
- Приклад: patch‑менеджмент і перевірка підписів/хешів установників.
- Порада: тестуйте оновлення на пілотній групі перед масовим розгортанням.
Правові/процедурні — договори, згоди на обробку даних, відповідальність.
- Пояснення: регламентують законність обробки й межі відповідальності.
- Приклад: DPA/угода обробника даних, згода на публікацію фото.
- Порада: мінімізуйте збирання даних і узгоджуйте тексти з юристом.

2. Політики безпеки та обізнаність

Політика паролів, використання носіїв, доступу до мережі й інтернету.
- Пояснення: задає вимоги до паролів/USB/мережевого доступу.
- Приклад: мінімум 12 символів, заборона невідомих USB, рольовий доступ.
- Порада: переглядати політику щосеместру і доводити її до всіх користувачів.
Навчання протидії фішингу, соціальній інженерії, правила реагування на інциденти.
- Пояснення: зменшує ризики людських помилок і підвищує готовність.
- Приклад: фішинг‑симуляції з короткими підсумковими уроками.
- Порада: робіть навчання коротким і регулярним.
Регулярні перевірки і аудит дотримання політик.
- Пояснення: підтверджує відповідність і виявляє відхилення.
- Приклад: квартальний чеклист перевірок і план виправлень.
- Порада: фіксуйте результати в журналі аудиту й відстежуйте прогрес.

3. Технічні засоби захисту

Антивірус і EDR — виявлення шкідливого ПЗ і підозрілої активності.
- Пояснення: Антивірус ловить відомі загрози, EDR (захист кінцевих пристроїв із виявленням і реагуванням) дає видимість і реагування.
- Приклад: ізоляція станції засобом EDR при спробі масового шифрування.
- Порада: регулярно оновлюйте бази і налаштуйте сповіщення.
Брандмауер і фільтрація — контроль вхідного/вихідного трафіку.
- Пояснення: правила обмежують небажані з’єднання.
- Приклад: deny‑by‑default та окремі дозволи для необхідних сервісів.
- Порада: регулярно переглядайте, які правила спрацьовують найчастіше, і спрощуйте політики.
IDS/IPS — виявлення і запобігання атакам у мережі.
- Пояснення: IDS — система виявлення вторгнень, IPS — система запобігання: виявляє аномалії/сигнатури; IPS може блокувати.
- Приклад: спрацювання на brute‑force SSH з блокуванням IP.
- Порада: тюнінг правил для зменшення хибних спрацювань.
Шифрування дисків і каналів (HTTPS/VPN) — захист від перехоплення і крадіжки.
- Пояснення: «на зберіганні» і «в русі» вирішують різні задачі.
- Приклад: шифрування диска (FileVault/BitLocker) + HTTPS (захищене з’єднання) для веб‑доступу.
- Порада: зберігайте ключі окремо і робіть резерви.
Резервне копіювання — відновлення після інцидентів (правило 3-2-1).
- Пояснення: копії на різних носіях/локаціях підвищують стійкість.
- Приклад: локально + зовнішній диск + хмара.
- Порада: проводьте тести відновлення (DR‑тести) регулярно.

4. Правові основи

Захист персональних даних, авторське право, ліцензії ПЗ.
- Пояснення: поєднує приватність і інтелектуальну власність.
- Приклад: згода батьків на фото + використання ліцензованого ПЗ.
- Порада: перевіряйте ліцензії та обмеження використання.
Використання інформації лише за згодою власника й у законний спосіб.
- Пояснення: законна підстава обробки — ключ до відповідності.
- Приклад: публікація фото учнів лише зі згодою.
- Порада: фіксуйте згоди та їх строки дії.
Відповідальність за несанкціонований доступ, поширення даних, плагіат.
- Пояснення: правопорушення мають юридичні наслідки.
- Приклад: штрафи/дисциплінарні заходи за витік чи плагіат.
- Порада: проводьте роз’яснення для учнів/персоналу.

5. Етика і відповідальне використання

Поважати приватність і конфіденційність; дотримуватись правил школи/організації.
- Пояснення: етичні норми зменшують ризик шкоди іншим.
- Приклад: не публікувати фото/скриншоти без згоди.
- Порада: перевіряйте налаштування приватності перед публікацією.
Тестування та моніторинг — лише з дозволу та в навчальних/законних цілях.
- Пояснення: правомірність тестів залежить від дозволу і мети.
- Приклад: пентест лабораторної мережі за письмовим дозволом.
- Порада: завжди отримуйте письмовий дозвіл і визначайте межі тестів.

6. Класифікація інформації

Пояснення: розподіл даних за рівнями чутливості (публічна/внутрішня/конфіденційна).
Приклад: оцінки учнів — конфіденційні; інструкція користувача — публічна.
Порада: позначайте документи мітками та визначайте правила доступу для кожного класу.

7. Управління ризиками

Пояснення: виявлення активів, загроз, вразливостей та оцінка ризиків.
Приклад: реєстр ризиків із пріоритетами та планами обробки (зниження, прийняття, перенесення).
Порада: переглядайте ризики раз на семестр або після інцидентів/змін.

8. Реагування на інциденти

Пояснення: процес: ідентифікація, ізоляція, ліквідація, відновлення, аналіз.
Приклад: план (IRP) з контактами відповідальних і чеклистами дій.
Порада: проведіть навчальне відпрацювання сценарію раз на півроку.

9. Управління постачальниками

Пояснення: вимоги до безпеки в договорах (SLA — угода про рівень послуг, DPA — угода обробника даних), перевірка надійності підрядників.
Приклад: угода обробника даних із забороною передавати дані третім сторонам без згоди.
Порада: вимагайте сертифікації безпеки (наприклад, ISO 27001) від критичних постачальників.

10. Зберігання й утилізація даних

Пояснення: політика зберігання (retention) та безпечне видалення носіїв.
Приклад: автоматичне видалення чернеток через 180 днів; шредер для паперу, безпечне стирання дисків.
Порада: мінімізуйте дублікати й визначайте строки зберігання для кожної категорії даних.

Тест (20 питань)

Що є прикладом організаційного заходу безпеки?
- Навчання працівників та політики доступу
- Встановлення брандмауера фаєрвола
- Шифрування диска
- Оновлення драйверів відеокарти NVIDIA AMD
Яка мета політики безпеки?
- Політика безпеки правила та відповідальність
- Прискорити інтернет через VPN роутер
- Зменшити використання електроенергії
- Оптимізувати дизайн інтерфейсу UI UX
Який засіб призначений для виявлення атак у мережі?
- IDS
- Роутер без пароля
- Текстовий редактор
- Звичайний DNS-сервер
Основна причина робити резервні копії?
- Можливість відновити дані
- Прискорити роботу комп’ютера
- Зменшити використання пам’яті
- Оновити операційну систему
Який принцип допомагає мінімізувати ризики доступу?
- Найменші привілеї (need-to-know)
- Надання повного доступу всім
- Спільний обліковий запис
- Відсутність автентифікації
Що регламентує обробку персональних даних?
- Політика конфіденційності та закони
- Графік прибирання кабінету класу
- Технічна інструкція з ремонту ПК комп'ютера
- Календар свят
Що є прикладом правопорушення у сфері ІТ-безпеки?
- Незаконне копіювання ліцензійного ПЗ
- Офіційна покупка ПЗ
- Читання документації
- Встановлення оновлень
Яка роль брандмауера?
- Фільтрація мережевого трафіку
- Редагування таблиць у документах
- Дефрагментація диска
- Створення презентацій
Що належить до технічних заходів?
- Шифрування диска
- Проведення свят
- Розклад дзвінків
- Підпис листів у журналі
Що таке DLP?
- Засіб попередження витоку даних
- Формат архіву для файла з даними
- Тип вірусу файлової системи
- Назва мережевого кабелю
Що може бути наслідком порушення авторського права?
- Юридична відповідальність
- Покращення графіки
- Прискорення інтернету
- Зростання обсягу диска
Мета класифікації інформації:
- Класифікація інформації захист даних
- Оптимізувати шрифт документів Arial Times
- Зменшити кількість файлів на диску
- Підвищити швидкість інтернету роутера
Що містить план реагування на інциденти (IRP)?
- IRP план реагування ролі контакти дії
- Ціни на обладнання комп'ютери монітори
- Списки свят державних релігійних
- Плани екскурсій музей театр парк
Що потрібно перед публікацією фото учнів на сайті школи?
- Письмова згода батьків/опікунів
- Нічого не потрібно можна публікувати
- Достатньо усної згоди однокласника
- Можна без згоди, якщо фото зроблено на уроці
Що з наведеного є правовою підставою обробки персональних даних?
- Згода суб’єкта даних
- Бажання адміністратора
- Будь-яка усна домовленість
- Анонімний лист
Що таке принцип мінімізації даних?
- Збирати лише необхідні дані
- Зберігати всі дані без обмежень
- Передавати дані всім підрядникам
- Дублювати дані у кількох місцях
Який документ визначає вимоги до постачальника щодо безпеки?
- DPA SLA угода з постачальником безпеки
- Меню їдальні шкільної на тиждень
- Календар свят
- Розклад уроків школи класів предметів
Що таке політика зберігання (retention)?
- Правила зберігання та видалення даних
- Правила оформлення презентацій
- Опис кабельних трас для передаці даних
- Налаштування принтера
Що означає принцип «необхідність знати» (need‑to‑know) у контексті доступу?
- Need-to-know доступ лише за завданням
- Доступ усім учням і вчителям школи
- Доступ без паролів автентифікації
- Доступ тільки вночі з 23:00 до 7:00
Що НЕ входить у реагування на інцидент?
- Ігнорування події інциденту безпеки
- Ідентифікація загрози атаки вірусу
- Ізоляція зараженої машини мережі
- Відновлення системи з резервної копії

Учень Вчитель

← Повернутися до переліку уроків