Правілы інфармацыйнай бяспекі

Удзельнік каманды Фаланстэра павінен выконваць правілы бяспекі, што ніжэй.

Раз на паўгода робім "Крыпта-вечарыну для каманды" і сінхранізуемся: правяраем, ці ва ўсіх усё стаіць, ці ва ўсіх усе працуе.

Што такое канфідэнцыйныя дадзеныя

 Сінонім слову «канфідэнцыйныя» — адчувальныя дадзеныя

Фінансавыя

• Адносім: інфармацыю з пластыкавых картак, доступы да інтэрнэт-банкінгу, бухгалтэрыі, профіляў сервісаў, звязаных з фінансамі арганізацыі, або асобных яе ўдзельнікаў.

Персанальныя

• Адносім: пашпартныя звесткі, дадзеныя, якія тычацца персанальнага жыцця актывістаў, іх любыя фота.

Серверныя

• Адносім: паролі, лагіны, парты (як паасобку, так і разам), шляхі ўнутры сервера, url.

Камунікацыйныя

• Адносім: месца, час, склад удзельнікаў на сустрэчах, якія абазначаныя як закрытыя.

Як перадаем

• Ўдзельнікі каманды Фаланстэра перадаюць важную інфармацыю шыфравана праз Thunderbird + Enigmail.

• Калі передаеце важную інфармацыю не ўдзельнікам каманды, карыстайцеся аднаразовым лінкам (спасылкай).

Як захоўваем

На кампьютарах і мабілках устлёўваем паўнадыскавае шыфраванне.

У нашай дзейнасці існуюць два асноўныя тыпы інфармацыі, якія варта захоўваць:

1. Непасрэдна кантэнт (дакументы, перапіска, графіка, відэа, справаздачы);
2. Доступы (гэта лагіны, паролі, спасылкі на дакументы).

Захаванне зместу

• Выкарыстоўваем veracrypt-кантэйнеры.
• Можна ажыццяўляць з дапамогай GPG-шыфравання файлаў.

Захаванне доступаў

Выкарыстоўваем KeePass або аналагі.

Як абмяркоўваем

• Агульная камунікацыя адбываецца у slack, але
• канфідэнцыйную інфармацыю абмяркоўваем праз мэсанджар signal.

Праца з паролямі

Падрабязныя правілы стварэння і захоўвання пароляў:

1. Паролі павінны быць розныя для розных сервісаў, якія выкарыстоўваюцца камандай.

Што рабіць навічку

1. Усталяваць вышэй пазначаныя праграмы (прыярытэтна: thunderbird+enigmail (па змаўчанні вам прапануюць усталяваць gpg), keepass, verycrypt).
2. Абмяняцца ключамі з таварышамі арганізацыі, або серверамі, на якія плануеце доступ.
3. Запытаць дапамогу ў кібер_масцера (Svetit).

 Памятаем, што прыватныя і канфедэнцыйныя дадзеныя перасылаем толькі ў зашыфраваным выглядзе.

Што рабіць падчас інцыдэнта

Якія інцыдэнты могуць быць:

• Скралі пароль ад прыватнай пошты (не можаце зайсці на пошту. лісты прачытаны. пішацца фігня ад вашага імя).
  • Рашэнне: ...
• Згубіў доступ (забыў пароль, прыпыніўся доступ да кампа) да сваіх ключоў (ssh, gpg).
  • Рашэнне: Паведаміць адміну сервака або каардынатару арганізацыі, замяніць на новы, разаслаць адміну (каардынатару)
• Прыйшлі людзі і просяць сказаць пароль (могуць прымяняць псіхалагічны ці фізычны ціск).
  • Рашэнне: Не гаварыць пароль (па закону).
• Ваша дзяўчына, або хлопец пытае вас пра важныя паролі, ці просіць расшарыць інфармацыю каманды. (Гэта прыклад сацыяльнай інжэнерыі).
  • Рашэнне: Не расшарваць паролі і важную інфармацыю, паведаміць пра такія просьбы камандзе. Заўседы "трымаць хвост пісталетам" і звяртаць увагу на тое, хто і з якой мэтай пытае ў вас арганізацыйную інфармацыю.

Праца з серверам

1. ssh для сервера рабіць толькі з паролем.
2. дасягі к БД выдаваць толькі зашыфраваным лістом.

Мабілкі

???

[Прапанова] Для мабільных прылад выкарыстоўваць KeePassDroid (ці аналагі) для захавання пароляў і магчымасці іх паглядзець праз мабільны тэлефон. Своечасова выдаляць усю прыватную інфармацю з тэлефона, якая захоўваецца ў нешыфрваным выглядзе і можа быць выкарыстана супраць асобы/арганізацыі.

Да каго звяртацца

• Пры ўзнікненні складаных пытанняў пішыце Svetit, свайму каардынатару або на falanster.by@gmail.com
• Як запытаць доступ да інфраструктуры