8.44M
Category: softwaresoftware

Информационная безопасность в телекоммуникационной компании “МегаФон”

1.

Информационная
безопасность в
телекоммуникационной
компании “МегаФон”
Работу выполнили
студентки группы
3521Б1ПИ1
Тюрина Н.С.
Шибаева А.А.

2.

Об организации
«МегаФон» — российская телекоммуникационная
компания.
Компания владеет виртуальным оператором
сотовой связи Yota, телекоммуникационной компанией
NetByNet и онлайн-кинотеатром Start. «МегаФон»
действует в 85 субъектах Российской Федерации, в
Таджикистане, а также в частично признанных Абхазии и
Южной Осетии.
Социальная миссия МегаФона — создавать
возможности в сферах коммуникации, социализации,
семейного устройства, трудоустройства и образования.

3.

Об организации
Компания "Мегафон" является одним из крупнейших
операторов связи в России с обширным опытом работы на рынке
свыше 20 лет. Компания стала лидером в области мобильной
передачи данных.
Основная цель деятельности компании - извлечение прибыли
через предоставление широкого спектра услуг связи и
информационных технологий.
"Мегафон" предлагает услуги мобильной и фиксированной
связи, интернета, цифрового телевидения, а также инновационные
продукты в области ИКТ, аналитику, кибербезопасность,
финансовые услуги, цифровую рекламу и маркетинг, электронную
коммерцию и системную интеграцию.

4.

Цели и задачи системы ИБ
Цели
1.
2.
3.
Обеспечение конфиденциальности информации защита от несанкционированного доступа и
утечки конфиденциальных данных о клиентах и
компании.
Обеспечение
целостности
информации
предотвращение случаев изменения и подмены
данных, чтобы исключить возможность искажения
информации.
Обеспечение
доступности
информации
обеспечение непрерывности работы системы и
доступности информации для авторизованных
пользователей.
Задачи
1.
2.
3.
4.
5.
6.
7.
Установление
и
внедрение
политики
информационной безопасности.
Мониторинг
и
анализ
угроз
информационной безопасности.
Обучение
сотрудников
компании
по
вопросам информационной безопасности и
соблюдению правил.
Регулярное
аудитирование
систем
информационной безопасности.
Защита от внешних угроз.
Обеспечение
безопасности
сетей
и
серверов компании, включая резервное
копирование данных и защиту от сбоев и
катастроф.
Реагирование
на
инциденты
информационной безопасности.

5.

Объекты ИБ
Конфиденциальность
данных
-Персональные данные клиентов: имена,
адреса, номера телефонов, данные
платежей и др.
-Корпоративная
информация:
финансовые отчеты, стратегические
планы, данные об исследованиях и
разработках, коммерческие тайны и др.
Безопасность сети
- Защита от кибератак: хакерские
атаки, фишинг, вирусы, ВПО, спам и
другие виды сетевых угроз.
- Безопасная передача данных:
шифрование, виртуальные частные
сети (VPN) и другие методы защиты
информации
Целостность
данных
- Защита от несанкционированного
изменения: защита БД,
документов, ПО и др.
-Безопасность
транзакций:
финансовые операции, передача
данных и обмен информацией
между системами,
Доступность
систем
- Бесперебойная работа сервисов: сеть
связи, онлайн-услуги, приложения и
веб-сайты.
- Защита от DDoS-атак: “отказ в
обслуживании”, перегрузка серверов,
недоступность серверов.
Физическая безопасность
- Защита оборудования: серверы, компьютеры,
телекоммуникационное оборудование и другие
активы,
от
кражи,
повреждения
или
несанкционированного доступа.
- Безопасность помещений: защита офисов, датацентров с помощью системы контроля доступа,
видеонаблюдения, охранных систем и др.

6.

Основные источники информационных
угроз
★ Киберпреступные группировки и
хакеры;
★ Мошенники;
★ Сотрудники компании или лица,
имеющие доступ к ее системам;
★ Кибершпионаж со стороны
конкурентов, иностранных
государств или других
заинтересованных сторон.

7.

Информационные угрозы
1. Фишинг, вредоносное программное обеспечение, DDoS-атаки,
социальную инженерию и другие техники, чтобы получить незаконный
доступ к конфиденциальной информации, нарушить работу систем или
вымогать деньги.
2. Вирусные атаки, троянские кони, шпионское программное
обеспечение, руткиты и другие виды вредоносного программного
обеспечения
3. Социальная инженерия: может включать фишинговые атаки, в
которых мошенники выдают себя за доверенных лиц, рассылку спама,
мошеннические звонки или физическое проникновение в офисные
помещения.
4. Кража данных, саботаж или несанкционированный доступ, так и
непреднамеренные действия, такие как потер
я устройств с конфиденциальной информацией, разглашение данных
или нарушение политики безопасности, совершаемые сотрудниками.

8.

Информационные угрозы
5. Уязвимости в программном обеспечении и оборудовании могут
создать возможности для злоумышленников воспользоваться
известными уязвимостями и получить доступ к системам компании.
6. Сбои и ошибки в работе систем, ошибки в программном обеспечении,
проблемы с электропитанием или другие технические неполадки могут
привести к потере данных, нарушению работы систем или раскрытию
конфиденциальной информации.
7. Нарушения безопасности у партнеров и поставщиков, которым может
быть предоставлен доступ к конфиденциальной информации или
системам компании. Если у этих сторон имеются слабые места в
безопасности, это может создать угрозу для «Мегафона».
8. Кибершпионаж и промышленный шпионаж со стороны конкурентов,
иностранных государств или других заинтересованных сторон,
стремящихся получить доступ к его интеллектуальной собственности,
коммерческим тайнам или конфиденциальной информации.

9.

Методы и средства защиты
Защита инфраструктуры. Задача обеспечения безопасности
инфраструктуры включает в себя защиту серверов и рабочих
мест администраторов. Для этого применяются следующие
системы и организационные меры:
➔ Управление уязвимостями за счет использования
систем по их выявлению (сканеров) и своевременного
обновления программного обеспечения.
➔ Анализ
защищенности
(тестирование
на
проникновение)
собственными
силами
и
с
привлечением независимых экспертов.
➔ Защита хостов с использованием стандартных
антивирусов и средств борьбы с угрозами на конечных
точках (EDR).

10.

Защита от человеческого
фактора Система предотвращения
Система многофакторной
аутентификации (MFA)
Не позволяет использовать украденную учётную
запись администратора без подтверждения с
помощью одноразовых паролей, сертификатов и т. д.
Система управления
привилегированными
пользователями (PAM)
Логирует
действия
инженеров
МегаФона
ПроБизнес в рамках предоставляемых услуг IaaS
(облачная модель услуг, подразумевающая
получение основных ресурсов для вычислений,
хранения и сетевого подключения по запросу с
оплатой по мере использования).
утечек данных (DLP)
Фиксирует
и
блокирует
попытки
кражи
информации или её преднамеренного «слива».
На этапе приема на работу, кандидаты проходят
проверку службы безопасности.
Система управления доступом
(IDM)
Позволяет
своевременно
отзывать
права
уволенных сотрудников, пересматривать роли
имеющихся и выявлять неправомерно выданные
доступы.

11.

Методы и средства
защиты
WAF
Защита от DDoS-атак
МегаФон SOC
Security Operations Center — центр
Предназначена для защиты вебОсуществляет
фильтрацию
круглосуточного
мониторинга
приложений от сетевых атак
вредоносного
трафика
и
информационной
безопасности
и
различных
типов,
включая
сохраняет доступность сервисов
управления
инцидентами.
Основная
его
вредоносные
операции
с
и приложений легитимным
задача — круглосуточный сбор и
использованием
бот-сетей,
пользователям.
обработка
событий
со
всей
атаки
на
прикладные
инфраструктуры
организации
и
интерфейсы
(API)
и
выявление подозрительной активности
эксплуатацию
уязвимостей.
на основе разработанных экспертной
Фильтрует
веб-трафик
командой правил выявления инцидентов.
межсетевым
экранирования
уровня приложений
Защищает
информационные
ресурсы
от
компьютерных атак, обеспечивает безопасный
удаленный доступ по VPN и фильтрует интернетзапросы
пользователей,
имеет
модули
предотвращения
вторжений,
антивирусной
проверки, инспекции трафика и другие.
NGFW

12.

Наши роли в
организации
Архитектор информационной безопасности
Специалист, который занимается проектированием,
созданием и внедрением систем обеспечения
информационной безопасности целостности данных.
Обязанности:
- Проводить анализ архитектуры безопасности
платформы данных (Hadoop, Greenplum, ClickHouse,
HDFS, BI);
- Разрабатывать требований по обеспечению
информационной безопасности в инфраструктуре
компании для средств защиты информации, сетевого
оборудования, информационных систем;
- Разрабатывать правила харденинга (требований к
настройкам) для операционных систем на базе
Windows и Linux, СУБД;
-Осуществлять архитектурный надзор за развитием
направления больших данных.

13.

Наши роли в
организации
Специалист по информационной безопасности
Профессионал,
занимающийся
защитой
информационных систем, сетей и данных от цифровых
угроз и атак.
Обязанности:
- Выявление, реагирование на события ИБ в рамках
ASOC;
- Настройка систем управления ИБ;
- Организация защиты персональных данных и тайны
связи Компании;
- Проведение проверок;
- Контроль доступа пользователей в информационных
системах;
- Выявление и предотвращение угроз и атак.

14.

Источники
1.
2.
3.
4.
5.
Зенков, А. В. Информационная безопасность и защита информации : учебное
пособие для вузов / А. В. Зенков. — 2-е изд., перераб. и доп. — Москва :
Издательство Юрайт, 2024. — 107 с. — (Высшее образование). — ISBN 978-5-534-163889. — Текст : электронный // Образовательная платформа Юрайт [сайт]. — URL:
https://urait.ru/bcode/544290 (дата обращения: 08.05.2024).
Щербак, А. В. Информационная безопасность : учебник для ВУЗов / А. В. Щербак. —
Москва : Издательство Юрайт, 2024. — 259 с. — (Профессиональное образование). —
ISBN 978-5-534-15345-3. — Текст : электронный // Образовательная платформа Юрайт
[сайт]. — URL: https://urait.ru/bcode/543873 (дата обращения: 08.05.2024).
Мегафон
(компания):
деятельность,
что
известно
URL:
https://ru.ruwiki.ru/wiki/Мегафон_(компания) (дата обращения 07.05.2024)
МегаФон безопасность IaaS URL: https://tech.megafon.ru/information/kak-megafonprobiznes-obespechivaet-bezopasnost-iaas (дата обращения 07.05.2024)
Услуги
кибербезопасности
от
МегаФона
URL:
https://tech.megafon.ru/information/obzor-uslug-kiberbezopasnosti-ot-megafonaprobiznes (дата обращения 07.05.2024)

15.

Спасибо за внимание!
Остановите кибербуллинг!
English     Русский Rules