Информационная безопасность личная безопасность: Основы информационной безопасности. Часть 2. Информация и средства её защиты

Основы информационной безопасности. Часть 2. Информация и средства её защиты

В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.

Информация и ее классификация

Существует достаточно много определений и классификаций «Информации». Наиболее краткое и в тоже время емкое определение дано в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 2: Информация – это сведения (сообщения, данные) независимо от формы их представления».

Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.

Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:

1. Свободно распространяемую
2. Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях
3. Которая в соответствии с федеральными законами подлежит предоставлению или распространению
4. Распространение, которой в Российской Федерации ограничивается или запрещается

Информация по назначению бывает следующих видов:

1. Массовая — содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума.
2. Специальная — содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.
3. Секретная — доступ, к которой предоставляется узкому кругу лиц и по закрытым (защищённым) каналам.
4. Личная (приватная) — набор сведений о какой-либо личности, определяющий социальное положение и типы социальных взаимодействий.

Средства защиты информации необходимо применять непосредственно к информации доступ к которой ограничен — это государственная тайна и конфиденциальные данные.

Согласно закона РФ от 21.07.1993 N

5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:

1. Сведения в военной области.
2. Сведения в области экономики, науки и техники.
3. Сведения в области внешней политики и экономики.
4. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента от 6 марта 1997 г. №188 (ред. от 13 июля 2015 г.) «Об утверждении перечня сведений конфиденциального характера».

Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:

• Личные конфиденциальные данные: Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Исключением является только информация, которая распространяется в СМИ.
• Служебные конфиденциальные данные: Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
• Судебные конфиденциальные данные: О государственной защите судей, должностных лиц правоохранительных и контролирующих органов. О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ «Об исполнительном производстве».
• Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них предприятием (секретные разработки, технологии производства и т.д.).
• Профессиональные конфиденциальные данные: Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)

Рисунок 1. Классификация видов информации.

Персональные данные

Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.

Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).

Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.

Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.

Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.

Основные носители информации:

• Печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
• Сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
• Средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
• Документы всех типов: личные, служебные, государственные;
• Программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
• Электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Определив, какая информация подлежит защите, носители информации и возможный ущерб при ее раскрытии, Вы можете подобрать необходимые средства защиты.

Классификация средств защиты информации

В соответствии с федеральным законом от 27 июля 2006 года

№ 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• Соблюдение конфиденциальности информации ограниченного доступа;
• Реализацию права на доступ к информации.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

• Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
• Своевременное обнаружение фактов несанкционированного доступа к информации;
• Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
• Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• Постоянный контроль за обеспечением уровня защищенности информации;
• Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (п. 7 введен Федеральным законом от 21.07.2014 № 242-ФЗ).

Исходя из закона № 149-ФЗ защиту информации можно разделить так же на несколько уровней:

1. Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
   Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.
2. Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
   Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
   Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.
3. Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).

Средства защиты информации

Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты информации

Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.

Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.

Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.

Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

• Статья 272 «Неправомерный доступ к компьютерной информации»;
• Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
• Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Административные (организационные) мероприятия играют существенную роль в создании надежного механизма защиты информации. Так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями. Например нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.

В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.

Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.

Формальные средства защиты информации

Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.

Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.

Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.

Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.

К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.

Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.

Примером комплексных решений служат DLP-системы и SIEM-системы.

DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.

SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.

Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.

Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.

Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.

Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.

В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.

Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.

Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.

Рисунок 2. Классификация средства защиты информации.

Виды угроз / Блог компании VPS.house / Хабр

Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?

«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.

Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.

Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.

Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.

В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.

Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.

Угрозы информационной безопасности, которые наносят наибольший ущерб

Рассмотрим ниже классификацию видов угроз по различным критериям:

1. Угроза непосредственно информационной безопасности:
   
   • Доступность
   • Целостность
   • Конфиденциальность
2. Компоненты на которые угрозы нацелены:
   • Данные
   • Программы
   • Аппаратура
   • Поддерживающая инфраструктура
3. По способу осуществления:
   • Случайные или преднамеренные
   • Природного или техногенного характера
4. По расположению источника угрозы бывают:
   • Внутренние
   • Внешние

Как упоминалось в начале понятие «угроза» в разных ситуациях зачастую трактуется по-разному. И необходимые меры безопасности будут разными. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной, однако в большинстве случаев нелегальный доступ представляется серьезной опасностью.

Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.

На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.

Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.

Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.

Угрозы непосредственно информационной безопасности

К основным угрозам доступности можно отнести

1. Внутренний отказ информационной системы;
2. Отказ поддерживающей инфраструктуры.

Основными источниками внутренних отказов являются:

• Нарушение (случайное или умышленное) от установленных правил эксплуатации
• Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.)
• Ошибки при (пере)конфигурировании системы
• Вредоносное программное обеспечение
• Отказы программного и аппаратного обеспечения
• Разрушение данных
• Разрушение или повреждение аппаратуры

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

• Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
• Разрушение или повреждение помещений;
• Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Основные угрозы целостности

Можно разделить на угрозы статической целостности и угрозы динамической целостности.

Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.

С целью нарушения статической целостности злоумышленник может:

• Ввести неверные данные
• Изменить данные

Угрозами динамической целостности являются, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений.

Основные угрозы конфиденциальности

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Для наглядности данные виды угроз так же схематично представлены ниже на рис 1.

Рис. 1. Классификация видов угроз информационной безопасности

Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.

Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:

1. Что защищать?
2. От кого защищать, какие виды угроз являются превалирующими: внешние или внутренние?
3. Как защищать, какими методами и средствами?

Принимая все выше сказанное во внимание, Вы можете наиболее полно оценить актуальность, возможность и критичность угроз. Оценив всю необходимую информацию и взвесив все «за» и «против». Вы сможете подобрать наиболее эффективные и оптимальные методы и средства защиты.

Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».

Александр Курбацкий об информационной безопасности личности

Личная информационная безопасность и правила поведения в виртуальном пространстве

Похоже, мир слишком увлекся глобализацией и быстрым построением гражданского общества с использованием новых информационно-коммуникационных технологий (ИКТ). Мы поступаем как неразумный авангард в боевых действиях, который, пытаясь максимально быстро достичь победы, забывает про тылы. Мы забываем про наши тылы — национальные государства, особенности менталитета, культуры, образования. Но мы должны помнить, чем обычно заканчиваются такие неподготовленные наступления. Конечно, гражданское общество нужно строить, но ИКТ — лишь необходимые условия для этого и нельзя скорость развития ИКТ жестко увязывать со скоростью развития общества. В частности, мы быстро погружаемся в виртуальный мир, но оказались совершенно не готовы к такому погружению и не заботимся о личной информационной безопасности. Традиционно мы привыкли, что нужно обеспечивать информационную безопасность государства, информационную безопасность крупного, в первую очередь транснационального, бизнеса (корпораций, холдингов и т.д.), личная же информационная безопасность остается в тени.

Как в реальном мире, так и виртуальном должны действовать некоторые социальные регуляторы поведения. Попытки принять такие нормы предпринимаются по сути с самого зарождения Интернета. К сожалению, их эффективность пока не высока.

Хотя уже положительно то, что проблемы правил поведения стали очень активно обсуждаться. Есть ряд предложений по правилам поведения со стороны бизнеса (например, компании Microsoft), со стороны государств и групп государств (России, ШОС, НАТО (Таллиннский проект)), рабочей группы экспертов при генеральном секретаре ООН.

Многие эксперты выступая против национальных рамок Интернета, предостерегают о потенциальной опасности введения правил и норм поведения в Интернете. Но если бы это была простая среда общения, а так в этой среде функционирует бизнес, образовательные процессы, услуги электронного правительства и т.д. Мы все чаще осуществляем в Интернете целый ряд государственных функций (функций регулирования), которые, как правило, носят и национальные черты. С оценкой значения Интернета, и созданного на его основе виртуального пространства, для общества и личности государства, можно сказать, сильно опоздали, а бизнес, особенно транснациональный оказался на переднем крае, но, к сожалению, только с точки зрения получения прибыли.

Кто же должен активно формировать правила? В первую очередь, эксперты, как со стороны государства, так и общества, и бизнеса. Вспомним историю. Интернет создавался, формировался и развивался на начальной стадии в сравнительно узком научно-экспертном сообществе со своими достаточно устоявшимися нормами, правилами, которые по сути автоматически функционировали и в зарождающемся виртуальном пространстве. Базовая технологическая архитектура Интернета изначально основывалась на саморегулировании, не предполагающем особой иерархии управления и идентификации лиц, получающих и передающих информацию. Но затем быстрый рост аудитории Интернета привел к тому, что Интернет превратился в глобальную инфраструктуру трансграничного информационного обмена, появилось глобальное виртуальное пространство, но базовые технологические особенности принципиально не изменились, а лишь модифицировались для удобства использования миллионами пользователями (уже, конечно, не экспертами).

Если вспомнить, то и в традиционном обществе правила поведения формировались по сути в экспертной среде — будь то религиозная  или университетская среда, среда городских ремесленников, объединенных в гильдии и т.д.

То, что годится для экспертного сообщества, обычно напрямую не подходит для всего общества.

Экспертная среда, редко бывает независимой (даже если мы говорим об экспертной среде весьма условно независимого гражданского общества), она в существенной степени зависит либо от государства, либо от бизнеса. Учитывая значительную трансграничность виртуального пространства, соответствующую экспертную среду целесообразно было бы формировать как международную среду, при авторитетных международных структурах (ООН), вовлекая в процесс экспертов от всех заинтересованный сторон. Можно полностью согласиться с формулировкой, разработанной Рабочей группой по управлению Интернетом при Генеральном секретаре ООН: «Управление Интернетом» означает «разработку и применение правительствами, частным сектором и гражданским обществом, при выполнении ими своей роли, общих принципов, норм, правил, процедур принятия решений и программ, регулирующих эволюцию и применение Интернета». Важно стремиться сделать так, чтобы мнение экспертного сообщества оказывало большое воздействие на формирование мнения, как правительственных структур, так и влиятельных бизнес-структур.

Пока мы обсуждаем нужны или не нужны правила в виртуальном пространстве — мы теряем время. В реальном мире государство в существенной степени брало на себя внедрение и поддержание правил. Молодое поколение остается в виртуальном мире практически без всяких правил, и, соответственно, не обеспечивается личная информационная безопасность. А время проходит очень быстро, молодость проходит быстро, и поколения быстро сменяются. К сожалению, многие изменения происходят настолько стремительно, что мы не успеваем их даже фиксировать, и живем в плену иллюзий. Например, в традиционном понимании сегодня массово нет даже студенческой группы. Часто в молодежной среде отношения в социальных сетях виртуального пространства гораздо более значимые (в существенной степени из-за виртуальной комфортности), чем в рамках той же студенческой группы. Вспоминая процесс формирования национальных (страновых) элит (и как следствие, экспертного сообщества), именно студенческие группы университетов были существенным механизмом этого процесса.

Понятно, что нормы и правила можно рассматривать в контексте информационной безопасности глобальной сети. Информационная безопасность становится уникальным средством по сути силового воздействия на неугодных граждан, групп граждан, общественные организации, неугодные бизнес-структуры. Но это же распространяется и на неугодные государства, группы государств. При этом, опять не имея четких правил и норм, высока степень анонимности такого воздействия.

Сейчас много говорят о социальной ответственности бизнеса. Конечно, было бы идеальным, если бы бизнес был более социально ответственен за свою ИКТ-продукцию, включая и развитие виртуального пространства. Но, к сожалению, слишком раскрученная (иногда заведомо искусственно) конкуренция в сфере ИКТ за прибыль не даст решения этой проблемы за приемлемый срок.

Новые ИКТ порождают новые глобальные инициативы в виде комплексных глобальных проектов, которые включают целый ряд интегрируемых ИКТ. Мы часто не можем гарантировать безопасность в рамках одной ИКТ, что уж говорить, если они еще интегрируются. И если на прогнозирование функциональности таких проектов затрачиваются большие ресурсы и средства, то безопасность исследуется по остаточному принципу.

Для примера можно вспомнить, например, об Интернете вещей. Еще в середине 2009 года корпорация Ericsson огласила прогноз, согласно которому к 2020 году около 50 млрд различных электронных устройств в мире будут взаимодействовать с Интернетом. Естественно, подавляющая часть из них будет взаимодействовать без вмешательства человека (в М2М — интерфейсе). То есть в существенной степени Интернет станет «Интернетом вещей». Интересна инициатива США — Национальная стратегия по глобальной безопасности цепи поставок, которая была принята в январе 2012 года. С технологической точки зрения можно сказать, что данная стратегия укладывается в Интернет вещей. Одной из основных целей в этой стратегии является интегрированная всемирная сеть транспортных, почтовых путей, средств и инфраструктуры, посредством которых товары перемещаются от точки производства до конечного потребителя. Технологически, это сочетание навигационных технологий, RFID, Интернета и т.п.

Конечно, с точки зрения функциональной полезности все эти тенденции более-менее понятны. А вот как решить проблемы обеспечения информационной безопасности, в частности личной информационной безопасности, совсем не ясно. Пока не понятно, как будет в таких масштабах обеспечиваться надежность работы приборов и устройств, связанных Интернетом. Что будет происходить с накапливаемым от приборов в Интернете огромным количеством информации. Ведь эта информация будет и прямо, и косвенно связываться с конкретными людьми. Опять проблема личной информационной безопасности. И здесь не только дело в очевидной возможности использования такой информации спецслужбами (как пример, заявление главы ЦРУ Дэвида Петреуса, что новые онлайн-устройства — это сокровищница данных для его ведомства). Такие глобальные инициативы, как Интернет вещей (а вместе с ним «умные дома», «умный транспорт», «умные города») приведут к еще более массовому производству программного обеспечения. В этот процесс будут вовлечены новые миллионы программистов, как правило, с достаточно низким уровнем подготовки. Ясно, что для обеспечения безопасности таких глобальных инициатив для человека, общества нужен надежный безопасный программный продукт. А вот этого массово мы пока гарантировать не можем. Нет пока таких технологий и методологий, которые позволяют быстро, и главное для бизнеса — дешево, производить надежный и безопасный программный продукт. В мире работают гигантские конвейеры производства программного продукта без должного обеспечения его безопасности и надежности. Ошибки в программных средствах способны нанести ущерб, который значительно превысит эффект от их использования. Несколько утрируя, можно сказать, что безопасность и человека, и общества, и государства все больше зависит от программного продукта.

Достаточно очевидно, что сегодня, в динамичное время, чтобы стать лидером бизнеса, приходится действовать вне правил, их нарушать — и мало вероятно, что бизнес будет активно внедрять правила и нормы в виртуальном пространстве. Мало придумать нормы — их еще надо внедрить,  а это процесс достаточно длительный и дорогостоящий. И эти затраты могут уменьшить конкурентоспособность бизнеса, практически всегда ориентированного на получение максимальной прибыли.

В этом плане больше можно рассчитывать на государство, которое сохраняет национальные границы и «хоть какие-то правила поведения в реальном мире».

С правилами поведения в виртуальном пространстве тесно связана личная информационная безопасность. Быстрое развитие ИКТ и глобализация ускоряют прозрачность человека в виртуальном пространстве. Готовы ли мы к такой прозрачности? Практически нет, по сути нет разумного обеспечения личной информационной безопасности. Изменения глобального масштаба могут произойти гораздо быстрее, чем кажется. Уже сейчас явно заметны тенденции, когда все больше и больше личной информации заносится в онлайн-профайлы. Личная жизнь перестает быть личной. Этому активно способствуют и ИКТ, и политика компаний, продвигающих ИКТ. Посмотрите, можем ли мы использовать планшет в полностью автономном режиме, как лет десять назад ноутбук. Нет гарантий, что планшет обеспечивает личную информационную безопасность. Его практически невозможно использовать длительное время вне сети — его стандартная операционная среда постоянно требует каких-либо изменений. Приложения, установленные на нем, также постоянно нуждаются в изменениях, в апгрейте и т.д. Если не изменишь — нет гарантий, что в один прекрасный момент приложение или операционная среда вообще не заблокируются. Все это заставляет хотя бы иногда подключаться к глобальной сети. А любое подключение — это возможность нарушения личной информационной безопасности. Людей нельзя «подставлять», не обеспечив их личной информационной безопасности. Как заявил Эрик Шмидт в интервью The Wall Street Journal, по достижении совершеннолетия многие сегодняшние подростки будут вынуждены менять имена и фамилии, поскольку сегодняшняя молодежь описывает каждый свой шаг в социальных сетях, практически не осознавая последствий своих действий. Взрослое поколение (которое ответственно за развитие виртуального пространства) и подставляет этих подростков. В существенной степени это вопрос образования и воспитания, которые все больше уходят в виртуальное пространство. Поэтому и нужны правила и нормы поведения.

Хотя в мире сейчас быстро ломаются и традиционные нормы поведения. Нормы хоть как-то «цементируют» общество, иначе идет распад на индивидуумов, которые в итоге могут перестать быть и личностью. По сути мы можем разрушить само понимание общества, если «переборщим» с индивидуализацией. Пока виртуальное пространство больше способствует индивидуализации, но не через раскрытие способностей, а наоборот. В Интернете мы в любой момент можем уйти от общения — в обычном обществе так не получается. В результате все ускоряющегося дробления на мало связные между собой сообщества нормы поведения тяжело распространять. Скорее всего, добровольных норм поведения сегодня не хватит. Требуется сочетание организационно-правовых, технико-технологических, социально-нравственных методов.

Еще один аспект личной информационной безопасности. Нам дали бесконтрольный доступ к огромному потоку информации, казалось бы, появляются и огромные потенциальные возможности развития. Но мы плохо учимся и учим, как с этой информацией работать, чему можно верить, чему нет. Раньше, когда информация попадала в СМИ, она хоть как-то проходила экспертизу (цензура тоже своего рода экспертиза). А сейчас мы не знаем об истинных мотивах автора той или иной информации, но в силу традиций часто ей верим. А как в таком случае доверять информации о здоровье, лечении и т.д. Только эксперты, и то в своей сфере, способны хоть как-то определить достоверность информации. Можно еще привести массовую неэффективность прямолинейного использования в образовании информационных материалов из Википедии.

Говоря о похожести норм поведения в обычной жизни и виртуальном пространстве, нужно не забывать, что в обычном общении анонимность занимает доли процента, а в виртуальном — может доходить до 90%. И пропадает серьезный фактор необходимости отвечать за свои поступки.

 

Материал подготовлен на основе доклада, представленного на Девятой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 21-24 апреля 2014 года г.Гармиш-Партенкирхен, Германия.

Безопасность личности в информационном обществе / Хабр

В этой статье будет рассмотрена одна из серьезнейших проблем нового информационного общества. Статья будет интересна тем, кто любит пофилософствовать на темы будущего и кому была интересна философия в университете.

Введение

С самого своего появления компьютерные системы были очень сложными и дорогими системами. В начале своей истории с компьютерами работали специалисты в белых халатах. Не многие получали доступ непосредственно к большой машине. Только гуру компьютеров имели к ним доступ, они получали формулы и задачи, а затем переводили их на понятный только им и компьютерам язык.

Спустя годы, как и предсказывали многие футуристы, мир совершил огромный скачек в области информационных технологий, благодаря появлению транзисторов, микросхем, развитию комбинаторики, алгебры, физики.

Сейчас компьютеры проникли во все области деятельности человека. Появились компьютеры размером с монету, стали переносными, научились работать автономно. Многие люди уже не представляют себе жизни без компьютера — они гуляют по интернет-магазинам, посещают лучшие музеи мира, работают и заводят знакомства.

Сегодня даже начинающего пользователя уже не удивишь такими фразами как: «вирус удалил файл», «запиши номер в телефон», «пять минут назад отослал письмо, а оно еще не пришло». Он знает, что такое спам, рекламный баннер, что надо пользоваться антивирусом и постоянно забывает пароли.

Существующие проблемы

С всеобщей компьютеризацией сильно упростился доступ к информации посредством сети Интернет. Наряду с проблемами авторского права, детской порнографии, к нам пришли такие понятия как: вирусное видео, информационная война, виртуальная реальность, технологии «зомбирования» пользователей, внушение чужой точки зрения. Все эти понятия несут разрушающее воздействие на личность человека. Особенно если этот человек достаточно молод.

Интернет создавался как сложная техническая система. За считанные годы распространился по всему миру и захватил умы многих людей. Компьютеры стали управлять вагонами метро, самолетами, холодильники стали заказывать еду в интернете. В несколько раз выросла нагрузка на человеческий разум, хотя многие считают что с возрастанием нагрузки на психику человека, умственная нагрузка очень сильно снизилась с всеобщей информатизацией [1]. Каждый день появляются новые программы, сайты, сложные технические устройства. И человеку приходится постоянно с ними сталкиваться.

На международном уровне уже давно обсуждаются вопросы контроля глобальных сетей, введения цензуры, безопасности личности. Заключаются договоры о международном сотрудничестве, производятся аресты международных компьютерных преступников.

Мы много раз слышали про трагедии, когда вышла из строя сложная техника по вине вездесущего «человеческого фактора». Но стоит задуматься, виноват ли человек во всех этих трагедиях? Может это информационные системы дали сбой. Именно информационные системы в целом, не какая-нибудь отдельная АСУ.

Как уже было сказано, в начале своего существования с компьютерами работали только настоящие технические специалисты, которые знали все их особенности и недостатки. Но как только компьютеры начали входить в обычные дома, появились программы, ориентированные на обычных пользователей. На производстве появились специализированные АСУ. Но кто занимался и занимается их разработкой — технические специалисты (программисты, специалисты по тестированию и отдельных технических областей). Поэтому программное обеспечение якобы ориентированное на пользователя для него на самом деле не предназначено, точнее оно ему не подходит [2].

Всем известно, что архитектура современных компьютеров мало подходит обычным пользователям — им нужен мультимедийный центр для игр, посещения страниц в интернет, прослушивания музыки и просмотра фильмов, ведения домашней бухгалтерии и еще небольшого списка задач. Но рекламируют фактически компьютеры для научных расчетов — многоядерные процессоры, гигабайты памяти, видеокарты для научных расчетов [3].

Многие проблемы безопасности личности в современном информационном обществе решаются техническими методами, теми же техническими специалистами. Например, спам, является абсолютно не технической проблемой — техника как раз успешно справляется с его передачей. Спам возник естественным образом при развитии экономики и рекламных технологий [5]. В российском сегменте интернета спам достигает 80%[6] всего почтового трафика — как видно проблема за десять с лишним лет техническими специалистами решена не была. Или те же пресловутые «блокираторы» интернета, которые призваны ограничить детей от определенного контента. Еще можно вспомнить недавние разбирательства с каналом 2х2.

Все эти устройства, технологии, проблемы — это то информационное пространство, в котором живет современный человек. Личность человека постоянно проверяется «на прочность» и не многие могут бороться с этими агрессивными воздействиями.

Что же делать в сложившейся ситуации? Какие меры стоит предпринять? Что необходимо знать обычным пользователям?

Видение проблем современным миром

На этом этапе вся аудитория разделяется на два лагеря: гуманитарные и технические специалисты. Но практически никто не замечает третью часть лагеря — гуманитариев хорошо знакомых с техническими аспектами информационных технологий и наоборот. О малочисленности последнего говорит практически полное отсутствие публикаций в сети интернет.

Некоторые пытаются выработать этические принципы на основе уже давно известных профессиональных кодексов, таких как клятва Гиппократа [1]. Вот что из этого получается:

Пять этических принципов ИБ (информационной безопасности)

1. Обучение желающих

Работники ИБ должны помогать людям, делиться знаниями в области информационных технологий и защиты информации. Эти знания должны передаваться безвозмездно всякому, кто выразит желание обучаться.

2. Избегание вреда

В своей деятельности работники ИБ должны избегать причинения вреда защищаемому объекту (побочного вреда) за исключением случаев, когда предотвращаемый вред заведомо превышает причиняемый.

В своей деятельности работники ИБ должны избегать причинения любого вреда непричастным, даже если благодаря этому будет предотвращён вред защищаемому объекту.

3. Нераспространение опасного

Работники ИБ не должны передавать кому-либо сведений об уязвимости, позволяющих эту уязвимость использовать (за исключением владельца или разработчика уязвимой системы — только с целью исправления уязвимости).

Работники ИБ не должны передавать кому-либо вредоносных программ или программ двойного назначения, если есть опасение, что они будут использованы во вред.

4. Добросовестное использование

Полученный любым способом доступ в чужую систему или информацию о чужой системе работники ИБ должны использовать только для защиты, предотвращения вреда и повышения безопасности. Ни для каких других целей (в том числе, безобидных) такой доступ или информация использоваться не могут. При исчезновении необходимости такой доступ должен закрываться, а информация — уничтожаться.

5. Сохранение тайны

Работники ИБ должны сохранять в тайне сведения, ставшие им известными в связи с оказанием услуг по защите, составляющие чью-либо коммерческую тайну, тайну частной жизни, профессиональную тайну, а также другую конфиденциальную информацию, независимо от наличия явного соглашения или обязательства о сохранении тайны.

Другие приписывают информации магические свойства [7] и считают, что это чисто технические проблемы и решаются они тоже техническими методами в совокупности с введением строгих правил для технических специалистов. Повсюду приводятся выписки из различных международных документов:

Резолюция 428 Консультативной ассамблеи Совета Европы (раздел С), в которой сформулированы два правила:
В случае противоречия между правом на свободу информации и на уважение частной жизни, приоритет отдается последнему;
Частная жизнь общественных деятелей должна защищаться, как и частная жизнь других граждан, за исключением случаев, когда она может оказать воздействие на общественно-значимые события.

И почти все выделяют общие действия, направленные, по их мнению, на обеспечение безопасности личности:

• Необходимо договориться об общем взгляде на проблемы воздействия информации на индивидуальное и массовое сознание, на политико-идеологическую сферу и на психику человека, договориться о согласованном понимании используемых понятий.
• Необходимо начать подготовку международных соглашений о контроле над производством и внедрением в компьютерные сети и системы информационных технологий, которые реально или потенциально могут использоваться в террористических и криминальных целях.
• Надо начинать переговоры о международно-правовой защите сетевых информационных ресурсов, в том числе данных персонального характера, интеллектуальной собственности, а также авторских прав на материалы, распространяемые в Интернете и других открытых сетях.
• Необходимо на международном уровне рассмотреть возможности контроля и ограничения распространения по сети Интернет непристойной и оскорбляющей общественную нравственность информации, недобросовестной рекламы, мошеннических операций и других материалов, оказывающих негативное воздействие на физическое, психическое и социальное здоровье людей.

Альтернативные подходы

Не кажется ли вам, что тут не хватает специалистов по безопасности, безопасности личности? Кажется, весь мир увлекся решением технических проблем, философскими изысканиями в области информационной безопасности. И информация в современном обществе давно заняла ведущие позиции. Но как выясняется, существующие специалисты обучены защищать информацию, а безопасность личности, кроме государственных служб, законов, контролирующих СМИ и пр., никто на всем информационном пространстве не обеспечивает. Наши университеты не обучают специалистов по безопасности личности, по безопасному использованию продуктов медиа-рынка. Мало кто задумывается при упоминании информационной или компьютерной безопасности, что это всего лишь среды для коммуникации людей, что люди важнее.

Таких специалистов стоит обучать азам защиты информации, но ориентировать их на защиту личности. Специалисты этого направления смогут работать во всех областях информационных технологий: заниматься разработкой и сопровождением электронных СМИ, обучать пользователей безопасному поведению в информационной среде, компьютерной грамотности, в том числе и компьютерной безопасности. Они смогут проводить конференции, чем популяризировать и расширять подход к безопасности личности, чем повышать компьютерную грамотность каждого человека в отдельности.

Выводы

Не нужно конечно воспринимать сказанные слова буквально. Все специалисты по безопасности нужны, пока существуют вопросы безопасности страны, защиты личной жизни, тайны переписки… Но необходимо задуматься о создании совершенно новой профессии, ориентированной как раз на проблемы безопасности личности, где порой безопасность информации и компьютеров уходит на второй план.

Полезные ссылки

1. www.nkj.ru/interview/4624 — Интервью с С. В. Савельевым.
2. “Алан Купер об интерфейсе. Основы проектирования взаимодействия” А. Купер, Р. Нейман, Д. Кронин. — Пер. с англ. — Спб.: Символ-Плюс 2009г.
3. ru.wikipedia.org/wiki/IBM_PC
4. ru.wikipedia.org/wiki/CUDA
5. bajki.narod.ru/ethics.html
6. net.compulenta.ru/48871
7. www.rffi.ru/default.asp?doc_id=5220

Что такое информационная безопасность и какие данные она защищает

Если компания хранит бухгалтерскую информацию, клиентскую базу, анкеты сотрудников или корпоративные тайны, то важно, чтобы эти данные не попали не в те руки, то есть были защищены. Защитой данных занимается информационная безопасность. Разобрались, что это и какие именно данные она защищает.

Что такое информационная безопасность

Информационная безопасность — это различные меры по защите информации от посторонних лиц. В доцифровую эпоху для защиты информации люди запирали важные документы в сейфы, нанимали охранников и шифровали свои сообщения на бумаге.

Сейчас чаще защищают не бумажную, а цифровую информацию, но меры, по сути, остались теми же: специалисты по информационной безопасности создают защищенные пространства (виртуальные «сейфы»), устанавливают защитное ПО вроде антивирусов («нанимают охранников») и используют криптографические методы для шифрования цифровой информации.

Однако цифровую информацию тоже нужно защищать не только виртуально, но и физически. Антивирус не поможет, если посторонний похитит сам сервер с важными данными. Поэтому их ставят в охраняемые помещения.

За что отвечает информационная безопасность

Она отвечает за три вещи: конфиденциальность, целостность и доступность информации. В концепции информационной безопасности их называют принципами информационной безопасности.

Конфиденциальность означает, что доступ к информации есть только у того, кто имеет на это право. Например, ваш пароль от электронной почты знаете только вы, и только вы можете читать свои письма. Если кто-то узнает пароль или другим способом получит доступ в почтовый ящик, конфиденциальность будет нарушена.

Целостность означает, что информация сохраняется в полном объеме и не изменяется без ведома владельца. Например, на вашей электронной почте хранятся письма. Если злоумышленник удалит некоторые или изменит текст отдельных писем, то это нарушит целостность.

Доступность означает, что тот, кто имеет право на доступ к информации, может ее получить. Например, вы в любой момент можете войти в свою электронную почту. Если хакеры атакуют серверы, почта будет недоступна, это нарушит доступность.

Какая бывает информация и как ее защищают

Информация бывает общедоступная и конфиденциальная. К общедоступной имеет доступ любой человек, к конфиденциальной — только отдельные лица.

Может показаться, что защищать общедоступную информацию не надо. Но на общедоступную информацию не распространяется только принцип конфиденциальности — она должна оставаться целостностной и доступной. Поэтому информационная безопасность занимается и общедоступной информацией.

Например, возьмем интернет-магазин. Карточки товаров, статьи в блоге, контакты продавца — все это общедоступная информация, ее может просматривать любой. Но интернет-магазин все равно нужно защищать, чтобы никто не нарушил его работу, например, не изменил важную информацию в карточках товаров или не «уронил» его сайт.

Главная задача информационной безопасности в IT и не только — защита конфиденциальной информации. Если доступ к ней получит посторонний, это приведет к неприятным последствиям: краже денег, потере прибыли компании, нарушению конституционных прав человека и другим неприятностям.

Рекомендации по информационной безопасности для малого и среднего бизнеса (SMB)

Привет, Хабр! Представляю вашему вниманию перевод и адаптацию статьи «CIS-Controls Implementation Guide for Small- and Medium-Sized Enterprises (SMEs)».

Введение

Утечки информации о кредитных картах, кража персональных данных, программы-вымогатели (например, WannaCry), кража интеллектуальной собственности, нарушение конфиденциальности, отказ в обслуживании — эти инциденты информационной безопасности стали обычными новостями. Среди пострадавших попадаются крупнейшие, наиболее состоятельные и наиболее защищенные предприятия: правительственные учреждения, крупные розничные сети, финансовые структуры, даже производители решений по информационной безопасности.

Подобные компании имеют многомиллионные бюджеты, выделяемые на информационную безопасность, и все же они не справляются с обычными атаками. Многие подобные атаки можно было предотвратить известными методами по защите информации, такими как регулярные обновления и практика использования безопасных конфигураций.

Что же тогда делать всем остальным? Как организациям с небольшим бюджетом и ограниченным штатом сотрудников реагировать на увеличивающееся число кибер-преступлений? Данный документ разработан для того, чтобы предоставить владельцам SMB инструменты для защиты своего бизнеса, основанные на CIS Controls. CIS Controls — это комплексный набор хорошо зарекомендовавших себя методов защиты информации, которые противодействуют наиболее распространенным угрозам и уязвимостям. Данные методы защиты информации разработаны специалистами в предметной области.

Среди угроз для SMB можно выделить:

Кража конфиденциальной информации – тип атаки, при которой внешние нарушители или неудовлетворенные работники крадут информацию, которая является важной для компании.

Дефейс сайта — тип атаки, при которой страница web-сайта заменяется другой страницей, чаще всего содержащей рекламу, угрозы или вызывающие предупреждения,.

Фишинг – тип атаки, при которой злоумышленник получает важную информацию (например, логины, пароли или данные кредитных карт) путем подделывания сообщений от доверенного источника (например, электронное письмо, составленное как легитимное, обманом заставляет получателя кликнуть по ссылке в письме, которая устанавливает вредоносное программное обеспечение на компьютер).

Программа-вымогатель — тип вредоносного программного обеспечения, блокирующего доступ к данным на компьютере, в результате чего преступники вымогают выкуп за то, чтобы разблокировать заблокированные данные.

Потеря данных из-за природных явлений или несчастных случаев.

Документ содержит небольшой набор мер по защите информации CIS Controls, специально подобранных для защиты SMB. Поскольку средства защиты информации постоянно меняются, вы можете связаться с нами на сайте и получить последнюю информацию.

Обзор

Безопасность тесно связана с управлением ИТ-инфраструктурой: хорошо управляемую сеть сложнее взломать, чем плохо управляемую. Чтобы понять, насколько хорошо ваша организация обеспечивает защиту информации, задайте себе следующие вопросы:

• Знаете ли вы, что ваши сотрудники подключают к своим компьютерам? Какие устройства подключены внутри локальной сети?
• Знаете ли вы, какое программное обеспечение используется в ваших информационных системах?
• Вы настраивали компьютеры с учетом требований по информационной безопасности?
• Вы контролируете доступ сотрудников к конфиденциальной информации или тех, у кого есть повышенные права доступа в системах?
• Ваши сотрудники хорошо понимают свою роль в защите вашей организации от угроз информационной безопасности?

Ниже перечислены различные бесплатные или недорогие инструменты, а также процедуры, которые помогут вам ответить на перечисленные вопросы и повысить уровень безопасности в организации. Перечисленные инструменты не является исчерпывающими, но они отражают широкий спектр доступных бесплатных или недорогих инструментов, которые любой SMB может использовать для повышения своего уровня информационной безопасности.
В данных Рекомендациях предлагается использовать поэтапный подход к построению системы защиты информации:

• Этап 1 позволяет понять, что находится в вашей сети, и определяет базовые требования по информационной безопасности;
• Этап 2 уделяет основное внимание обеспечению базовых требований безопасности и обучению сотрудников вопросам информационной безопасности.
• Этап 3 помогает вашей организации подготовиться к инцидентам по информационной безопасности.

На каждом этапе вам будут представлены вопросы, на которые необходимо ответить, а также действия и инструменты, которые помогут достичь ваших целей.

Этап 1. Знай свою инфраструктуру

В самом начале, чтобы продвинуться в вопросе информационной безопасности, необходимо разобраться с локальной сетью, подключенными устройствами, критически важными данными и программным обеспечением. Без четкого понимания того, что вам нужно защитить, вам будет трудно убедиться в том, что вы обеспечиваете приемлемый уровень информационной безопасности.

Ключевые вопросы, которые необходимо держать в голове:

• Знаете ли вы, какую информацию необходимо защищать? Где в вашей сети хранится самая важная информация?
• Знаете ли вы, какие устройства подключены к вашей сети?
• Знаете ли вы, какое программное обеспечение установлено на компьютерах сотрудников?
• Используют ли ваши системные администраторы и пользователи надежные пароли?
• Знаете ли вы, какие онлайн-ресурсы используют ваши сотрудники (т. е. работают или сидят в социальных сетях)?

Какую информацию необходимо защищать. Где в вашей сети хранится самая важная информация

Вы можете потерять свой бизнес, если критически важные данные вашей компании будут потеряны, украдены или повреждены. Случайные события и природные катаклизмы также потенциально могут нанести непоправимый ущерб. Кроме того, потенциальные злоумышленники нацелены на данные, которые могут иметь ценность для них. Этими злоумышленниками могут быть как хакеры, так и сотрудники вашей компании, которые хотят украсть ваших клиентов, финансовую информацию или интеллектуальную собственность. Чтобы использовать ценную информацию, они должны получить к ней доступ, а доступ, как правило, они получают через локальную сеть организации.

Чтобы защитить свой бизнес, вам нужно понимать ценность ваших данных и как их можно использовать. Также необходимо определить, какую информацию требуется защищать в рамках законодательства, например, платежная информация или персональные данные. Ниже представлены примеры данных, которые вам необходимо идентифицировать и инвентаризировать:

• Кредитные карты, банковская и финансовая информация;
• Персональные данные;
• Базы данных клиентов, цены на закупку/поставку;
• Коммерческие секреты компании, формулы, методологии, модели, интеллектуальная собственность.

Также представлены основные федеральные законы, которые определяют требования по защите информации (которые могут относиться к SMB) [от переводчика: документы вставлены с учетом Российского законодательства]:

• Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.06.2011 N 161-ФЗ «О национальной платежной системе»;
• Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 29.11.2010 N 326-ФЗ («Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

Какие устройства подключены к вашей сети

Если вы знаете какие устройства подключены к вашей сети, то ваша инфраструктура становится проще в управлении, и вы понимаете, какие устройства необходимо защищать. Ниже описаны действия, которые вы можете сделать, чтобы узнать об устройствах в вашей сети.

Действия:

• Если у вас есть беспроводная сеть, проверьте на своем маршрутизаторе (контроллере беспроводного доступа) какие устройства подключены, и применяется ли надежное шифрование (WPA2).
• Для более крупных организаций предлагается применение сетевого сканера (коммерческий или бесплатный) для идентификации всех устройств в вашей сети.
• Включите логирование событий, связанных с подключением сетевых устройств, которые получают ip-адрес по протоколу DHCP. Логирование таких событий обеспечит удобное отслеживание всех устройств, которые были в вашей сети. (Если вам нужна помощь, обратитесь к вашим ИТ-специалистам.)
• В небольших организациях можно хранить список вашего оборудования (компьютеры, серверы, ноутбуки, принтеры, телефоны и т. д.) и перечень защищаемой информации в электронной таблице, которую необходимо обновлять при появлении нового оборудования или данных.

Инструменты:

• Nmap: известный многоцелевой сетевой сканер, используемый системными администраторами и хакерами по всему миру, чтобы определить, какие устройства подключены к вашей сети
• ZenMap: удобный графический интерфейс для Nmap
• Spiceworks: бесплатное программное обеспечение инвентаризации и управления ресурсами (устройства и установленное программное обеспечение) вашей сети

Какое программное обеспечение установлено на компьютерах сотрудников

Контроль установленного программного обеспечения является ключевым компонентом как хорошего управления ИТ, так и эффективной защиты информации. Вредоносное программное обеспечение в вашей сети может создавать риски, которые необходимо минимизировать, сюда же можно отнести юридическую ответственность за использование нелицензионного программного обеспечения. Необновленное программное обеспечение является распространенной причиной проникновения вредоносного ПО, которое приводит к атакам на ваши информационные системы. Если вы понимаете, какое программное обеспечение установлено в вашей сети, контролируете устанавливаемое программное обеспечение и защищаете учетные записи с правами администратора, то вы уменьшаете вероятность и влияние инцидентов информационной безопасности.

Действия:

• Создайте перечень приложений, веб-сервисов или облачных решений, которые использует ваша организация:
• Ограничьте число пользователей с правами администратора до минимально возможного значения. Не позволяйте обычным пользователям работать в системе с правами администратора.
• Используйте сложные пароли для административных учетных записей, так как администраторы могут вносить серьезные изменения в систему. Разработайте инструкцию для сотрудников по составлению сложных паролей [от переводчика: пример создания сложного пароля — здесь].
• Убедитесь, что системные администраторы используют отдельную пользовательскую учетную запись для чтения электронной почты, доступа в Интернет и составления документов.
• Разработайте процедуру установки программного обеспечения в вашей сети и запретите установку неодобренных приложений с помощью, например, Applocker.

Инструменты:

• Applocker: бесплатный инструмент Microsoft Windows для определения и ограничения программного обеспечения, которое разрешено запускать
• Netwrix: множество бесплатных инструментов для идентификации информации об административном доступе в ваших системах
• OpenAudIT: инвентаризация программного обеспечения на серверах, рабочих станциях и сетевых устройствах

Этап 2. Защити свои активы

Сотрудники — ваш самый важный актив, и это выражение справедливо не только в бизнесе, но и в информационной безопасности. Защита вашей информации требует не только технологических решений, но и осведомленности сотрудников о предотвращении случайного нарушения работы ваших систем. В рамках этого этапа не только будет описана защита ваших компьютеров, но и обучение ваших сотрудников важным аспектам информационной безопасности.

Несколько вопросов, на которые вам необходимо ответить:

• Вы настраивали компьютеры с учетом требований по информационной безопасности?
• В вашей сети работает антивирусное ПО, которое постоянно обновляется?
• Рассказываете ли вы своим сотрудникам о современных методах защиты информации?

Настройка базовых требований по информационной безопасности

Для получения доступа в вашу информационную систему вредоносные программы и злоумышленники чаще всего используют либо небезопасно настроенные приложения, либо приложения с уязвимостями. Вам необходимо убедиться, что ваша операционная система и приложения (особенно веб-браузеры) обновлены и правильно настроены. Кроме того, рекомендуется использовать механизмы защиты от вредоносных программ, которые могут быть встроены в вашу операционную систему. Например, Windows Device Guard, Windows Bitlocker и другие, упомянутые ниже.

Действия:

• периодически запускайте сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи/обновления не установлены для операционной системы Windows, и какие изменения в конфигурации необходимо выполнить;
• убедитесь, что ваши браузер и плагины в нем обновлены. Попробуйте использовать браузеры, которые автоматически обновляют свои компоненты, такие как Google Chrome [от переводчика: русским аналогом может быть Яндекс.Браузер];
• используйте антивирус с последними обновлениями антивирусной базы для защиты систем от вредоносного ПО;
• ограничьте использование съемных носителей (USB, CD, DVD) теми сотрудниками, кому это действительно нужно для выполнения своих служебных обязанностей;
• установите программный инструмент Enhanced Mitigation Experience Toolkit (EMET) на компьютерах с Windows для защиты от уязвимостей, связанных с программным кодом;
• требуйте использования многофакторной аутентификации там, где это возможно, особенно для удаленного доступа к внутренней сети или электронной почте. Например, используйте безопасные токены/смарт-карты или смс сообщения с кодами в качестве дополнительного уровня безопасности в дополнение к паролям;
• измените пароли по умолчанию для всех приложений, операционных систем, маршрутизаторов, межсетевых экранов, точек беспроводного доступа, принтеров/сканеров и других устройств, при добавлении их в сеть;
• используйте шифрование для безопасного удаленного управления вашими устройствами и передачи конфиденциальной информации;
• шифруйте жесткие диски на ноутбуке или мобильном устройстве, содержащие конфиденциальную информацию.

Инструменты:

• Bitlocker: встроенное шифрование для устройств Microsoft Windows
• FireVault: встроенное шифрование для устройств Mac
• Qualys Browser Check: инструмент для проверки вашего браузера на наличие последних обновлений
• OpenVAS: инструмент для проверки систем на соответствие базовым требованиям информационной безопасности
• Microsoft Baseline Security Analyzer: бесплатный инструмент Microsoft для понимания того, как компьютеры с операционной системой Windows могут быть безопасно настроены
• CIS Benchmarks: бесплатные PDF-файлы, в которых содержатся инструкции по созданию конфигураций с учетом информационной безопасности для более чем 100 технологий.

Выработка процессов по ИБ

Информационная безопасность — это история не только про технологии, но и про процессы, и людей. Недостаточно наличия только средств защиты информации. Чтобы обеспечить безопасность вашей организации, ваши сотрудники также должны строго соблюдать требования по информационной безопасности. Есть два ключевых фактора для обучения ваших сотрудникам вопросам информационной безопасности: донести информацию до них, постоянно поддерживать их уровень знаний.

Информация, которую необходимо донести до сотрудников:

• Определите сотрудников в вашей организации, которые имеют доступ или обрабатывают конфиденциальную информации, и убедитесь, что они понимают свою роль в защите этой информации.
• Двумя самыми распространенными атаками являются фишинговые атаки по электронной почте и по телефону. Убедитесь, что ваши сотрудники могут описать и определить основные признаки атаки. К таким признакам могут относиться ситуации, когда люди говорят о большой срочности, просят ценную или конфиденциальную информацию, используют непонятные или технические термины, просят игнорировать или обойти процедуры безопасности.
• Сотрудники должны понимать, что здравый смысл является лучшей защитой. Если происходящее кажется странным, подозрительным или слишком хорошим, чтобы быть правдой, это скорее всего признаки атаки.
• Поощряйте использование сложных, уникальных паролей для каждой учетной записи и / или двухфактурную аутентификацию там, где это возможно.
• Требуйте от ваших коллег использовать «блокировку экрана» на своих мобильных устройствах.
• Убедитесь, что все сотрудники постоянно обновляют свои устройства и программное обеспечение.

Поддержка уровня знаний:

• Поясняйте своим сотрудникам, как защитить вашу организацию и как эти методы можно применять в их личной жизни, убедитесь, что они это понимают;
• Убедитесь, что все сотрудники понимают, что информационная безопасность является важной частью их работы.
• Распространяйте для своих сотрудников бесплатные информационные материалы по вопросам информационной безопасности, такие как информационный бюллетень SANS OUCH! и ежемесячные информационные бюллетени MS-ISAC.
• Используйте онлайн-ресурсы, такие как StaySafeOnline.org Национального альянса кибербезопасности.

Инструменты:

Этап 3: Подготовь свою организацию

После того, как ваша организация разработала серьезный фундамент по информационной безопасности, вы должны выстроить механизмы реакции на инциденты. Такой подход включает в себя понимание, как справляться с инцидентом информационной безопасности и как восстановить работу компании после него.

Ключевые вопросы:

• Знаете ли вы, когда последний раз была создана резервная копия ваших ценных файлов?
• Регулярно ли вы проверяете правильность резервных копий?
• Знаете ли вы, с кем из коллег связаться, если произошел инцидент?

Управление резервными копиями

Создание и управление резервными копиями может быть рутинной и не очень интересной задачей, однако, это один из лучших способов защитить ваши данные, восстановиться после сбоя и вернуть ваш бизнес в обычное русло. Это важно, потому что программы-вымогатели могут зашифровать все ваши данные и заблокировать их до выкупа. Надежный план реагирования, дополненный текущими и поддерживаемыми резервными копиями, является наилучшей защитой при работе с инцидентом по информационной безопасности.

Действия:

• Автоматически выполнять еженедельные резервные копии всех компьютеров, содержащих важную информацию;
• Периодически проверяйте свои резервные копии, восстанавливая систему с использованием резервной копии;
• Убедитесь, что, хотя бы одна резервная копия недоступна по сети. Это поможет защитить от атак программ-вымогателей, поскольку данная резервная копия не будет доступна для вредоносного ПО.

Инструменты:

• Microsoft «Резервное копирование и восстановление»: утилита резервного копирования, встроенная в операционную систему Microsoft
• Apple Time Machine: инструмент резервного копирования, установленный в операционных системах Apple
• Amanda Network Backup: бесплатный инструмент резервного копирования с открытым исходным кодом
• Bacula: сетевое решение для резервного копирования и восстановления информации с открытым исходным кодом

Подготовка к инциденту

Никто не хочет, чтобы произошел инцидент, связанный с информационной безопасностью, но чем лучше вы подготовлены, тем быстрее вы сможете восстановиться после инцидента. К инцидентам по информационной безопасности относят атаку типа «отказ в обслуживании», которая нарушает доступ к вашему сайту, атаку программ-вымогателей, которые блокируют вашу систему или ваши данные, атаку вредоносным ПО, которая приводит к потере данных вашего клиента или сотрудника, а также кражу ноутбука, содержащего незашифрованные данные.

Чтобы быть готовым, вам нужно знать, к кому обратиться в случае инцидента. Вы можете обратиться к внутреннему ИТ-персоналу за помощью, или, может быть, вы полагаетесь на стороннюю компанию, предоставляющую услуги по управлению инцидентами. В любом случае, вы должны знать роли ответственных за управление инцидентами до возникновения события.

Действия:

• Определите сотрудников вашей организации, которые будут принимать решения и давать указания в случае инцидента.
• Предоставьте контактную информацию для ИТ-персонала и / или сторонних организаций.
• Присоединяйтесь к ассоциациям, которые сосредоточены на обмене информацией и продвижении информационной безопасности.
• Храните список внешних контактов как часть вашего плана. К ним могут относиться юрисконсульты, страховые агенты, если вы застраховали риски по информационной безопасности, консультанты по вопросам безопасности.
• Ознакомьтесь с законами, связанными с нарушениями в сфере информационной безопасности в вашей стране.

Что делать, если произошел инцидент:

• Рассмотрите возможность обращения к консультанту по информационной безопасности, если характер и масштаб инцидента вам непонятен.
• Рассмотрите возможность обращения к юристу, если окажется, что в инциденте была скомпрометирована конфиденциальная информация третьей стороны.
• Подготовьтесь к уведомлению всех затронутых лиц, чья информация была раскрыта в результате нарушения.
• По мере необходимости информируйте сотрудников правоохранительных органов.

угрозы, средства и способы обеспечения безопасности

Компьютерные и информационные технологии сегодня охватили все отрасли экономики. Для любой современной компании информация становится одним из главных ресурсов, сохранение и правильное распоряжение которым имеет ключевое значение для развития бизнеса и снижения уровня разнообразных рисков. Актуальной проблемой для предприятия становится обеспечение информационной безопасности.

Что означает понятие «информационная безопасность предприятия»

Под информационной безопасностью предприятия или компании понимают комплекс мер организационного и технического характера, направленных на сохранение и защиту информации и ее ключевых элементов, а также оборудование и системы, которые используются для работы с информацией, ее хранения и передачи. Этот комплекс включает технологии, стандарты и методы управления информацией, которые обеспечивают ее эффективную защиту.

Обеспечение информационной безопасности помогает защитить информацию и информационную инфраструктуру предприятия от негативных воздействий. Такие воздействия могут носить случайный или преднамеренный, внутренний или внешний характер. Результатом таких вмешательств может стать потеря важной информации, ее несанкционированное изменение или использование третьими лицами. Поэтому информационная безопасность — это важный аспект защиты бизнеса и обеспечения его непрерывности.

Принципы эффективного внедрения в компании систем информационной безопасности:

1. Конфиденциальность.

   Под конфиденциальностью понимают организацию и поддержку эффективного контроля для обеспечения достаточной степени безопасности данных, активов и информации на различных этапах бизнес-процессов для исключения несанкционированного или нежелательного раскрытия. Поддержка конфиденциальности обязательно применяется при сохранении и транзите информации в любом формате.

2. Целостность.

   Целостность охватывает элементы управления, которые обеспечивают внутреннюю и внешнюю последовательность информации. Обеспечение целостности позволяет исключить возможность искажения данных на любом из этапов деловых операций.

3. Доступность.

   Доступность поддерживает полноценный и надежный доступ к информации для должностных лиц, которые имеют соответствующие полномочия. Ключевым моментом здесь является предсказуемость процессов, протекающих в сетевой среде, чтобы пользователи имели возможность доступа к необходимым данным в нужный момент времени. Одним из важных факторов доступности информации является возможность быстрого и полного восстановления системы после сбоев, чтобы не допустить его негативного влияния на функционирование компании.

Осуществление контроля информационной безопасности предприятия

Обеспечить полноценную и надежную информационную безопасность предприятия можно только при условии применения комплексного и системного подхода. Система инфобезопасности должна быть построена с учетом всех актуальных угроз и уязвимостей, также с учетом тех угроз, которые могут возникнуть в будущем. Поэтому важно обеспечить поддержку непрерывного контроля, который должен действовать ежедневно и круглосуточно. Необходимым условием является обеспечение контроля на каждом из этапов жизненного цикла информации, начиная с момента ее поступления в инфраструктуру компании и заканчивая потерей ее актуальности или уничтожением данных.

Существует несколько видов контроля информационной безопасности, внедрение которых позволяет компании снижать риски в этой сфере и поддерживать их на приемлемом уровне. В том числе различают:

• Административный контроль.

Административный контроль информационной безопасности — это система, состоящая из комплекса установленных стандартов, принципов и процедур. Этот вид контроля определяет границы для осуществления бизнес-процессов и управления персоналом. Он включает законодательные и нормативные акты, принятую на предприятии политику корпоративной безопасности, систему найма сотрудников, дисциплинарные и другие меры.

• Логический контроль.

Логический контроль предусматривает использование средств управления (средств технического контроля), которые защищают информационные системы от нежелательного доступа. Эти средства объединяют специальное ПО, брандмауэры, пароли и т. д.

• Физический контроль.

Физический контроль сосредоточен на среде рабочих мест и средствах вычисления. В том числе он предусматривает обеспечение эффективного функционирования инженерных систем зданий предприятия, работа которых может повлиять на хранение и передачу информации. К таким системам относятся отопление и кондиционирование, противопожарные системы. Другой важной составляющей физического контроля являются системы контроля и управления доступом на объекты.

Виды угроз информационной безопасности

Информационная инфраструктура предприятия постоянно подвергается многочисленным угрозам, которые по своему происхождению делятся на несколько видов:

• Естественные. Угрозы, вызванные причинами, не зависящими от человека. К их числу относятся ураганы, пожары, удары молнии, наводнения, другие природные катаклизмы.
• Искусственные. Комплекс угроз информационной безопасности созданных человеком. Искусственные угрозы, в свою очередь, делят на преднамеренные и непреднамеренные. К преднамеренным угрозам относят действия конкурентов, хакерские атаки, вредительство обиженных работников и т. д. Непреднамеренные угрозы возникают в результате действий, совершенных из-за недостатка компетентности или по неосторожности.
• Внутренние. Угрозы, которые возникают внутри информационной инфраструктуры предприятия.
• Внешние. Угрозы, которые имеют происхождение за пределами информационной инфраструктуры предприятия.

В зависимости от характера воздействия угрозы информационной безопасности делятся на пассивные и активные. Пассивные угрозы — это факторы воздействия, которые не могут изменять содержание и структуру информации. Активные угрозы способны вносить такие изменения. К их числу относят, например, воздействие вредоносного ПО.

Главную опасность представляют искусственные преднамеренные угрозы. Учитывая все более возрастающую компьютеризацию всех сфер бизнеса и рост количества электронных транзакций, эти угрозы также бурно развиваются. В поисках способов получения секретных сведений и нанесения вреда компаниям злоумышленники активно используют современные технологии и программные решения. Их действия могут наносить значительный ущерб, в том числе в виде прямых финансовых потерь или утраты интеллектуальной собственности. Поэтому информационная безопасность предприятия также должна строиться на базе передовых технологий с использованием актуальных средств защиты данных.

Средства защиты информации

Средствами защиты информации называют устройства, приборы, приспособления, программное обеспечение, организационные меры, которые предотвращают утечку информации и обеспечивают ее сохранение в условиях воздействия всего спектра актуальных угроз.

В зависимости от используемых способов реализации, средства защиты информационной безопасности бывают следующих типов:

• Организационные. Комплекс мер и средств организационно-правового и организационно-технического характера. К первым относят законодательные и нормативные акты, локальные нормативные документы организации. Второй тип — это меры по обслуживанию информационной инфраструктуры объекта.
• Аппаратные (технические). Специальное оборудование и устройство, предотвращающее утечки, защищающее от проникновения в ИТ-инфраструктуру.
• Программные. Специальное ПО, предназначенное для защиты, контроля, хранения информации.
• Программно-аппаратные. Специальное оборудование с установленным программным обеспечением для защиты данных.

Наиболее широкое распространение сегодня получили программные средства защиты информации. Они в полной мере отвечают требованиям эффективности и актуальности, регулярно обновляются, эффективно реагируя на актуальные угрозы искусственного характера.

Для защиты данных в современных сетях применяется широкий спектр специализированного программного обеспечения. Можно выделить следующие типы программных средств защиты:

• Антивирусное ПО. Специализированный софт для обнаружения, нейтрализации и удаления компьютерных вирусов. Обнаружение может выполняться во время проверок по расписанию или запущенных администратором. Программы выявляют и блокируют подозрительную активность программ в «горячем» режиме. Кроме того, современные антивирусы могут возобновлять файлы, зараженные вредоносными программами.
• Облачные антивирусы (CloudAV). Сочетание возможностей современных антивирусных программ с облачными технологиями. К таким решениям относятся сервисы Crowdstrike, Panda Cloud Antivirus, Immunet и многие другие. Весь основной функционал ПО размещен в облаке, а на защищаемом компьютере устанавливается клиент — программа с минимальными техническими требованиями. Клиент выгружает в облачный сервер основную часть анализа данных. Благодаря этому обеспечивается эффективная антивирусная защита при минимальных ресурсных требованиях к оборудованию. Решения CloudAV оптимально подходят для защиты ПК, которые не имеют достаточной свободной вычислительной мощности для работы стандартного антивируса.
• Решения DLP (Data Leak Prevention). Специальные программные решения, предотвращающие утечку данных. Это комплекс технологий, которые эффективно защищают предприятия от потери конфиденциальной информации в силу самых разных причин. Внедрение и поддержка DLP — требует достаточно больших вложений и усилий со стороны предприятия. Однако эта мера способна значительно уменьшить уровень информационных рисков для IT-инфраструктуры компании.
• Системы криптографии. (DES — Data Encryption Standard, AES — Advanced Encryption Standard). Преобразуют данные, после чего их расшифровка может быть выполнена только с использованием соответствующих шифров. Помимо этого, криптография может использовать другие полезные приложения для защиты информации, в том числе дайджесты сообщений, методы проверки подлинности, зашифрованные сетевые коммуникации, цифровые подписи. Сегодня новые приложения, использующие зашифрованные коммуникации, например, Secure Shell (SSH), постепенно вытесняют устаревающие решения, не обеспечивающие в современных условиях требуемый уровень безопасности, такие как Telnet и протокол передачи файлов FTP. Для шифрования беспроводной связи широко применяются современные протоколы WPA/WPA2. Также используется и достаточно старый протокол WEP, который уступает по безопасности. ITU-T G.hn и другие проводные коммуникации шифруются при помощи AES, а аутентификацию и обмен ключами в них обеспечивает X.1035. Для шифрования электронной почты используют такие приложения как PGP и GnuPG.
• Межсетевые экраны (МСЭ). Решения, которые обеспечивают фильтрацию и блокировку нежелательного трафика, контролируют доступ в сеть. Различают такие виды файерволов, как сетевые и хост-серверы. Сетевые файерволы размещаются на шлюзовых ПК LAN, WAN и в интрасетях. Межсетевой экран может быть выполнен в формате программы установленной на обычный компьютер или иметь программно-аппаратное исполнение. Программно-аппаратный файервол — это специальное устройство на базе операционной системы с установленным МСЭ. Помимо основных функций, межсетевые экраны предлагают ряд дополнительных решений для внутренней сети. Например, выступают в качестве сервера VPN или DHCP.
• Виртуальные частные сети VPN (Virtual Private Network). Решение, использующее в рамках общедоступной сети частную сеть для передачи и приема данных, что дает эффективную защиту подключенных к сети приложений. При помощи VPN обеспечивается возможность удаленного подключения к локальной сети, создания общей сети для головного офиса с филиалами. Непосредственно для пользователей VPN дает возможность скрытия местоположения и защиты выполняемых в сети действий.
• Прокси-сервер. Выполняет функцию шлюза между компьютером и внешним сервером. Запрос, отправляемый пользователем на сервер, вначале поступает на proxy и уже от его имени поступает на сервер. Возврат ответа производится также с прохождением промежуточного звена — proxy. Преимуществом является то, что кэш прокси-сервера доступен всем пользователем. Это повышает удобство в работе, поскольку наиболее часто запрашиваемые ресурсы находятся в кэше.
• Решения SIEM — системы мониторинга и управления информационной безопасностью. Специализированное ПО, которое берет на себя функцию управления безопасностью данных. SIEM обеспечивает сбор сведений о событиях из всех источников, поддерживающих безопасность, в том числе от антивирусного ПО, IPS, файерволов, а также от операционных систем и т. д. Также SIEM выполняет анализ собранных данных и обеспечивает их централизованное хранение в журнале событий. На основании анализа данных система выявляет возможные сбои, хакерские атаки, другие отклонения и возможные информационные угрозы.

Учитывая широкое распространение мобильных устройств, которые сотрудники часто используют за пределами предприятия в корпоративных целях, в системе информационной безопасности обязательно должен учитываться и этот фактор. Для контроля мобильных устройств персонала и защиты информации предприятия могут применяться такие программные продукты, как Blackberry Enterprise Mobility Suite, IBM MaaS360, VMware AirWatch и другие.

Как выбрать инструменты обеспечения безопасности корпоративной информации

Обеспечение информационной безопасности сегодня является насущной потребностью, пренебрежение которой может иметь разрушительные последствия для бизнеса. Широкий набор средств и решений, доступных сегодня защиты информации, может затруднять выбор для предприятия. Обеспечить безопасность IT-инфраструктуры позволяет определенный набор инструментов, который необходимо подбирать индивидуально. Это позволит реализовать многоуровневую систему защиты информации, которая обеспечит надежную нейтрализацию актуальных угроз.

Выбор инструментов защиты корпоративной информации при создании такой системы должен производиться с учетом целого комплекса факторов, таких как:

• сфера деятельности компании;
• размер бизнеса, наличие территориально отдаленных подразделений, а также подразделений, нуждающихся в особой IT-защите;
• техническая оснащенность компании — состав и характеристики используемого оборудования, уровень морального износа и т. д.;
• уровень подготовки и опыта персонала, занятого обслуживанием информационной инфраструктуры.

Собственное ИТ-подразделение компании обычно оказывается не в силах реализовать такой комплексный подход. Результатом этого становится использование стандартных решений, которые не могут отвечать современным вызовам в плане безопасности данных. Это приводит к возникновению больших пробелов в этой сфере, что грозит потерей или повреждением ценной информации в результате несанкционированного вмешательства со стороны.

Поэтому разработку и внедрение системы обеспечения безопасности информации на предприятии должны проводить профессионалы. Компания Смарт-Софт поможет обеспечить создание такой системы с использованием собственных продуктов, доказавших высокий уровень эффективности.

Как сохранить личную информацию в безопасности

Защита вашей личной информации может помочь снизить риск кражи личных данных. Для этого есть четыре основных способа: знать, с кем вы делитесь информацией; безопасно хранить и распоряжаться вашей личной информацией, особенно вашим номером социального страхования; задавать вопросы перед тем, как принять решение о предоставлении вашей личной информации; и поддерживать соответствующую безопасность на своих компьютерах и других электронных устройствах.

Заблокируйте свои финансовые документы и записи в безопасном месте дома и заприте свой бумажник или кошелек в безопасном месте на работе.Храните вашу информацию в безопасности от соседей по комнате или рабочих, которые приходят в ваш дом.

Ограничьте то, что вы носите. Выходя из дома, берите только необходимые вам идентификационные, кредитные и дебетовые карты. Оставьте свою карточку социального обеспечения дома. Сделайте копию своей карты Medicare и закройте все, кроме последних четырех цифр, на копии. Носите копию с собой — если вы не собираетесь использовать карту в кабинете врача.

Прежде чем делиться информацией на рабочем месте, на предприятии, в школе вашего ребенка или в кабинете врача, спросите, зачем она им нужна, как они будут ее защищать и о последствиях отказа.

Удаляйте квитанции, кредитные предложения, заявки на кредит, страховые бланки, выписки врача, чеки, банковские выписки, просроченные платежные карты и аналогичные документы, когда они вам больше не нужны.

Уничтожьте этикетки на бутылках с рецептами, прежде чем выбросить их. Не сообщайте информацию о своем плане медицинского страхования никому, кто предлагает бесплатные медицинские услуги или товары.

Отправляйте исходящую почту в ящики почтового отделения или в почтовое отделение. Оперативно удаляйте почту, поступающую в ваш почтовый ящик.Если вас не будет дома несколько дней, попросите отложить почту на каникулы.

Заказывая новые чеки, не отправляйте их домой по почте, если у вас нет защищенного почтового ящика с замком.

Рассмотрите возможность отказа от предварительно проверенных предложений по кредиту и страхованию по почте. Вы можете отказаться на 5 лет или навсегда. Чтобы отказаться, позвоните по телефону 1-888-567-8688 или перейдите на optoutprescreen.com. Телефонные номера и веб-сайты имеют 3 общенациональные кредитные компании. Предварительно отобранные предложения могут дать множество преимуществ.Если вы откажетесь от участия, вы можете пропустить некоторые предложения кредита.

Знайте, с кем вы делитесь своей информацией. Безопасно храните и уничтожайте вашу личную информацию.

Будьте осторожны с самозванцами

Убедитесь, что вы знаете, кто получает вашу личную или финансовую информацию. Не раскрывайте личную информацию по телефону, по почте или через Интернет, если вы не инициировали контакт или не знаете, с кем имеете дело. Если компания, которая утверждает, что у вас есть учетная запись, отправляет электронное письмо с запросом личной информации, не нажимайте на ссылки в письме.Вместо этого введите название компании в свой веб-браузер, перейдите на их сайт и свяжитесь с ними через службу поддержки. Или позвоните по номеру обслуживания клиентов, указанному в выписке по вашему счету. Спросите, действительно ли компания отправила запрос.

Безопасное удаление личной информации

Перед тем как утилизировать компьютер, избавьтесь от всей личной информации, которую он хранит. Используйте служебную программу очистки, чтобы перезаписать весь жесткий диск.

Перед тем как утилизировать мобильное устройство, ознакомьтесь с руководством пользователя, веб-сайтом поставщика услуг или веб-сайтом производителя устройства, чтобы узнать, как удалить информацию без возможности восстановления, а также как сохранить или перенести информацию на новое устройство.Извлеките карту памяти или модуля идентификации абонента (SIM) из мобильного устройства. Удалите телефонную книгу, списки сделанных и полученных вызовов, голосовую почту, отправленные и полученные сообщения, папки органайзера, историю поиска в Интернете и фотографии.

Зашифруйте свои данные

Обеспечьте безопасность своего браузера. Для защиты ваших онлайн-транзакций используйте программное обеспечение для шифрования, которое шифрует информацию, которую вы отправляете через Интернет. Значок «замок» в строке состояния вашего интернет-браузера означает, что ваша информация будет в безопасности при передаче.Ищите замок, прежде чем отправлять в Интернет личную или финансовую информацию.

Хранить пароли в секрете

Используйте надежные пароли для своих ноутбуков, кредитных, банковских и других счетов. Будьте изобретательны: придумайте особую фразу и используйте первую букву каждого слова в качестве пароля. Замените некоторые слова или буквы цифрами. Например, «Я хочу увидеть Тихий океан» может стать 1W2CtPo.

Не размещайте слишком много на сайтах социальных сетей

Если вы публикуете слишком много информации о себе, похититель личных данных может найти информацию о вашей жизни, использовать ее, чтобы ответить на «сложные» вопросы в ваших учетных записях и получить доступ к вашим деньгам и личной информации.Рассмотрите возможность ограничения доступа к вашей сетевой странице для небольшой группы людей. Никогда не публикуйте свое полное имя, номер социального страхования, адрес, номер телефона или номера счетов на общедоступных сайтах.

Следите за своим номером социального страхования и задавайте вопросы, прежде чем решите поделиться им. Спросите, можете ли вы использовать другой вид идентификации. Если кто-то просит вас поделиться своим SSN или номером вашего ребенка, спросите:

• зачем им это
• как это будет использоваться
• как его защитят
• что произойдет, если вы не укажете номер

Решение поделиться за вами.Компания может не предоставлять вам услуги или льготы, если вы не предоставите свой номер. Иногда вам придется поделиться своим номером. Ваш работодатель и финансовые учреждения нуждаются в вашем SSN для целей отчетности по заработной плате и налоговой отчетности. Компания может запросить ваш SSN, чтобы проверить ваш кредит, когда вы подаете заявку на ссуду, снимаете квартиру или подписываетесь на коммунальные услуги.

Используйте программное обеспечение безопасности

Установите антивирусное ПО, антишпионское ПО и брандмауэр. Настройте частое обновление этих средств защиты.Защитите от вторжений и заражений, которые могут поставить под угрозу файлы или пароли вашего компьютера, установив исправления безопасности для вашей операционной системы и других программ.

Избегайте фишинговых писем

Не открывайте файлы, не переходите по ссылкам и не загружайте программы, присланные незнакомцами . Открытие файла от незнакомого человека может подвергнуть вашу систему воздействию компьютерного вируса или шпионского ПО, которое перехватывает ваши пароли или другую вводимую вами информацию.

Будьте осторожны в отношении Wi-Fi

Прежде чем отправлять личную информацию через свой ноутбук или смартфон по общедоступной беспроводной сети в кафе, библиотеке, аэропорту, гостинице или другом общественном месте, проверьте, будет ли ваша информация защищена.Если вы используете зашифрованный веб-сайт, он защищает только информацию, которую вы отправляете на этот сайт и с него. Если вы используете безопасную беспроводную сеть, вся информация, которую вы отправляете в эту сеть, будет защищена.

Заблокируйте свой ноутбук

Храните финансовую информацию на портативном компьютере только при необходимости. Не используйте функцию автоматического входа в систему, сохраняющую ваше имя пользователя и пароль, и всегда выходите из системы, когда закончите. Таким образом, если ваш ноутбук украден, вору будет сложнее получить доступ к вашей личной информации.

Прочтите политику конфиденциальности

Да, они могут быть длинными и сложными, но они рассказывают вам, как сайт поддерживает точность, доступ, безопасность и контроль личной информации, которую он собирает; как он использует информацию и предоставляет ли информацию третьим лицам. Если вы не видите или не понимаете политику конфиденциальности сайта, рассмотрите возможность ведения бизнеса в другом месте.

,

Руководство по защите личной информации — OAIC

Загрузите версию для печати с веб-сайта Trove

Введение

Это «Руководство по защите личной информации» (Руководство) содержит рекомендации по разумным шагам, которые организации должны предпринять в соответствии с Законом о конфиденциальности 1988 (Cth) (Закон о конфиденциальности) для защиты личной информации. информация, которую они хранят от неправомерного использования, вмешательства, потери, а также от несанкционированного доступа, модификации или раскрытия. Он также включает руководство по разумным шагам, которые организации должны предпринять для уничтожения или обезличивания личной информации, которой они владеют, когда она больше не нужна (если не применяется исключение).

Это руководство предназначено для использования организациями [1], подпадающими под действие Закона о конфиденциальности, включая организации, агентства, органы кредитной отчетности (CRB), кредитных организаций и получателей налоговых файлов. [2] Однако это руководство может также иметь отношение к организациям, не подпадающим под действие Закона о конфиденциальности, в качестве модели для лучшей практики защиты личной информации.

Это руководство не имеет обязательной юридической силы. Однако Управление австралийского комиссара по информации (OAIC) ​​будет ссылаться на это руководство при выполнении своих функций в соответствии с Законом о конфиденциальности, в том числе при расследовании того, выполнило ли организация свои обязательства по обеспечению безопасности личной информации (s 40) или при проведении оценки (s 33C). ).Информация о том, когда и как мы можем осуществлять наши регулирующие полномочия, доступна в Политике регулирования конфиденциальности OAIC.

Субъектам, подпадающим под действие Закона о конфиденциальности, следует прочитать это руководство вместе с Руководящими принципами Австралии в отношении конфиденциальности (руководящие принципы APP). В рекомендациях по приложениям изложены обязательные требования Австралийских принципов конфиденциальности (APP), то, как OAIC будет интерпретировать приложения, и вопросы, которые OAIC может учитывать при выполнении функций и полномочий в соответствии с Законом о конфиденциальности.Организации также должны прочитать это руководство вместе с руководством OAIC по уведомлению об утечке данных, которое включает подробную информацию об обязательных требованиях к сообщению о серьезных нарушениях данных в соответствии с Законом о конфиденциальности [3].

Вводные разделы этого руководства включают обсуждение того, что такое безопасность личной информации, почему она вам нужна и как защищать личную информацию на всех этапах ее жизненного цикла. В Части А обсуждаются пять общих обстоятельств, которые влияют на то, какие меры следует предпринять организации для защиты личной информации.В рамках девяти общих тем в Части B приводятся примеры ключевых шагов и стратегий, которые вам следует рассмотреть для защиты личной информации, включая ряд вопросов, которые вы должны задать себе при рассмотрении или реализации этих шагов или стратегий.

Это руководство предполагает некоторые знания концепций конфиденциальности и безопасности. Дополнительная информация и ресурсы доступны в Приложении B.

Закон о конфиденциальности, приложения и другие обязательства

Закон о конфиденциальности и приложения

Закон о конфиденциальности включает 13 приложений, которые регулируют обработку личной информации некоторыми организациями и австралийскими организациями. Правительственные (и остров Норфолк) агентства (подразделения APP).

Приложение 11 требует, чтобы подразделения APP принимали активные меры для обеспечения безопасности личной информации, которой они владеют, и активно рассматривали вопрос о том, разрешено ли им хранить эту личную информацию. [4]

В частности, приложение 11.1 утверждает, что объект приложения, хранящий личную информацию, должен принимать разумные меры для защиты информации от неправомерного использования, вмешательства и потери, а также от несанкционированного доступа, изменения или раскрытия. [5]

Согласно APP 11.2, объекты APP также должны принимать разумные меры для уничтожения или обезличивания личной информации, которую они хранят, если она больше не нужна для каких-либо целей, для которых она может быть использована или раскрыта в рамках APP.[6] Это требование не применяется, если личная информация содержится в «записях Содружества» или если организация обязана по закону или постановлению суда / трибунала хранить личную информацию. [7]

Организация «владеет» личной информацией, «если она владеет или контролирует запись, содержащую личную информацию» [8]. Термин «удержание» выходит за рамки физического владения и включает запись, с которой организация имеет право или полномочия иметь дело. Например, организация, которая передает на аутсорсинг хранение личной информации третьей стороне, но сохраняет за собой право работать с этой информацией, в том числе получать доступ к ней и изменять ее, «владеет» этой личной информацией.[9]

При рассмотрении вопроса о безопасности личной информации вам также необходимо помнить о других обязательствах в соответствии с Законом о конфиденциальности, например о ваших обязательствах по APP 8 (Трансграничное раскрытие личной информации) и APP 12 (Доступ к личной информации ).

Схема уведомляемого нарушения данных (NDB)

Схема NDB применяется ко всем организациям с существующими обязательствами по обеспечению безопасности личной информации в соответствии с Законом о конфиденциальности. Схема NDB требует, чтобы организации уведомляли затронутых лиц и Австралийского комиссара по информации (комиссара) в случае «допустимой утечки данных».[10]

Нарушение данных считается допустимым, если оно может привести к серьезному ущербу для любого из лиц, которым был нанесен

.

5 способов защитить вашу личную информацию в Интернете

Пять часов в день. К концу 2016 года именно столько времени пользователи из США тратили на свои мобильные устройства. Добавьте к этому дополнительное время, потраченное на компьютеры и другие устройства, подключенные к Интернету — видеоигры, кто-нибудь? — и станет ясно, что мы много в сети.

Независимо от того, сколько времени вы проводите в Интернете, имеет смысл внимательно относиться к тому, как и что вы там делаете, помогая защитить вашу личную информацию от тех, кто не желает ничего лучше, чем украсть вашу личность и заставить вас вред.Хорошей новостью является то, что вы можете продолжать использовать свои устройства, но более безопасным образом, не мешая своей обычной онлайн-активности / распорядку дня. Вот 5 простых способов защитить вашу личную информацию.

1. Используйте коды доступа для своих устройств

Если бы вы оставили свой смартфон в кафе или такси, смог бы человек, который его нашел, получить доступ к тому, что на нем? Это страшный сценарий. Потеря смартфона — это одно, но предоставление поисковику доступа ко всему, от вашей электронной почты и учетных записей социальных сетей до всей личной информации, которую вы, возможно, сохранили на устройстве, может нанести ущерб вашей жизни.Обязательно используйте пароль, чтобы защитить ваши приложения, учетные записи и личную информацию. Сделайте то же самое для своих ноутбуков и даже настольных компьютеров.

2. Создайте надежные и уникальные пароли для своих учетных записей в Интернете

Если у вас есть онлайн-учетная запись в компании, которая пострадала от утечки данных, в идеале, эта учетная запись является вашей единственной проблемой. Но если вы используете те же учетные данные для входа в другие учетные записи, то этот единичный инцидент может дать хакерам доступ и к другим вашим учетным записям.Вот почему имеет смысл использовать уникальный пароль для каждой из ваших учетных записей в Интернете.

Если вы похожи на меня и у вас слишком много наборов сетевых учетных данных для сохранения в памяти, подумайте об использовании диспетчера паролей, чтобы отслеживать эти многочисленные уникальные пароли. Есть несколько с разными ценами и планами, но вам не понадобится много времени, чтобы понять, какой из них лучше всего подходит для вас. Просто поищите в Интернете «менеджеры паролей» и посмотрите, что вам подходит.

3.Ограничить публикацию в социальных сетях

Если слишком много делиться в социальных сетях, ваша личная информация может попасть в чужие руки. Обратите внимание не только на изображения и сообщения, которыми вы делитесь, но и на свои настройки конфиденциальности, чтобы вы ограничили количество людей, которые могут видеть то, чем вы делитесь. Центр идентичности Техасского университета предлагает советы по управлению настройками конфиденциальности в различных социальных сетях. Если ваши дети пользуются социальными сетями, вы также можете проверить их настройки конфиденциальности.А когда дело доходит до публикации, убедитесь, что они понимают, что безопасно, а что нет.

4. Опасайтесь бесплатного Wi-Fi

Вы получаете то, за что платите, верно? Хороший пример — бесплатный общедоступный Wi-Fi. Конечно, это удобно, но с точки зрения безопасности большинство бесплатных общедоступных сетей Wi-Fi не предлагают многого. Это означает, что при наличии подходящих инструментов любой пользователь той же сети Wi-Fi может «подслушивать» вашу онлайн-активность. Учитывая это, вы бы хотели войти в свой банковский счет или ввести номер кредитной карты в общедоступном Wi-Fi? Ответ — нет!

Даже защищенная паролем сеть Wi-Fi настолько же безопасна, насколько и люди, у которых есть пароль.Сохраняйте транзакции на тот случай, когда вы находитесь в защищенной сети, например, дома. Если вам необходимо войти в систему или совершить онлайн-транзакцию в общедоступном Wi-Fi, используйте VPN (виртуальную частную сеть), которая шифрует ваши действия, чтобы другие в той же сети не могли легко увидеть, что вы делаете.

5. Закройте неиспользуемые счета

Подумайте обо всех онлайн-счетах, которые вы открывали с течением времени. Теперь подумайте, какие из них еще открыты, но которые вы никогда не используете.В случае взлома с участием одного из этих лиц хакеры могут получить доступ к любой личной информации, связанной с этой учетной записью. Например, старая учетная запись электронной почты может содержать любое количество прошлых банковских выписок и медицинских форм — и эти документы могут быть заполнены личными данными, которые могут привести к краже личных данных. Потратьте некоторое время на выявление неиспользуемых онлайн-аккаунтов, а затем на их закрытие. Чем меньше личной информации вы храните в Интернете, тем лучше.

Никто не может предотвратить кражу личных данных, но с помощью этих советов вы поможете сохранить свою личную информацию в Интернете немного более «личной» — и в наш век цифровых технологий к этому нужно стремиться.

,

Что такое кибербезопасность? | Определение, типы и защита пользователей

Кибербезопасность — это практика защиты компьютеров, серверов, мобильных устройств, электронных систем, сетей и данных от злонамеренных атак. Это также известно как безопасность информационных технологий или безопасность электронной информации. Этот термин применяется в различных контекстах, от бизнеса до мобильных компьютеров, и его можно разделить на несколько общих категорий.

· Сетевая безопасность — это практика защиты компьютерной сети от злоумышленников, будь то целевые злоумышленники или вредоносное ПО.

· Безопасность приложений направлена ​​на защиту программного обеспечения и устройств от угроз. Скомпрометированное приложение может предоставить доступ к данным, которые оно предназначено для защиты. Успешная безопасность начинается на этапе проектирования, задолго до развертывания программы или устройства.

· Информационная безопасность защищает целостность и конфиденциальность данных как при хранении, так и при передаче.

· Операционная безопасность включает процессы и решения для обработки и защиты информационных активов.Полномочия, которые имеют пользователи при доступе к сети, и процедуры, определяющие, как и где данные могут храниться или совместно использоваться, подпадают под этот зонтик.

· Аварийное восстановление и непрерывность бизнеса определяет, как организация реагирует на инцидент кибербезопасности или любое другое событие, которое приводит к потере операций или данных. Политики аварийного восстановления определяют, как организация восстанавливает свои операции и информацию, чтобы вернуться к той же операционной мощности, что и до события.Непрерывность бизнеса — это план, к которому организация прибегает, пытаясь работать без определенных ресурсов.

· Обучение конечных пользователей направлено на самый непредсказуемый фактор кибербезопасности: людей. Любой может случайно занести вирус в безопасную систему, не соблюдая надлежащие методы обеспечения безопасности. Научить пользователей удалять подозрительные вложения электронной почты, не подключать неопознанные USB-накопители и различные другие важные уроки жизненно важны для безопасности любой организации.

Масштаб киберугрозы

Глобальная киберугроза продолжает развиваться быстрыми темпами, с каждым годом увеличивается количество утечек данных. Отчет RiskBased Security показал, что только за первые девять месяцев 2019 года в результате утечки данных было обнаружено шокирующее 7,9 миллиарда записей. Этот показатель более чем вдвое (112%) превышает количество записей, открытых за тот же период 2018 года.

Медицинские службы, предприятия розничной торговли и государственные организации испытали наибольшее количество нарушений, причем ответственность за большинство инцидентов лежит на злоумышленниках.Некоторые из этих секторов более привлекательны для киберпреступников, потому что они собирают финансовые и медицинские данные, но все предприятия, использующие сети, могут стать мишенью для данных клиентов, корпоративного шпионажа или атак клиентов.

С учетом того, что масштабы киберугрозы будут продолжать расти, Международная корпорация данных прогнозирует, что к 2022 году мировые расходы на решения для кибербезопасности достигнут огромных 133,7 млрд долларов. Правительства по всему миру отреагировали на растущую киберугрозу, указав помочь организациям внедрить эффективные методы кибербезопасности.

В США Национальный институт стандартов и технологий (NIST) создал структуру кибербезопасности. Для борьбы с распространением вредоносного кода и помощи в раннем обнаружении система рекомендует непрерывный мониторинг всех электронных ресурсов в реальном времени.

Важность системного мониторинга отражена в «10 шагах к кибербезопасности», рекомендациях Национального центра кибербезопасности при правительстве Великобритании. В Австралии Австралийский центр кибербезопасности (ACSC) регулярно публикует рекомендации о том, как организации могут противостоять последним угрозам кибербезопасности.

Виды киберугроз

Кибербезопасность противодействует троекратным угрозам:

1. Киберпреступность включает отдельных участников или группы, нацеленные на системы с целью получения финансовой выгоды или причинения сбоев.

2. Кибератака часто включает сбор политически мотивированной информации.

3. Cyberterrorism предназначен для подрыва электронных систем, чтобы вызвать панику или страх.

Итак, как злоумышленники получают контроль над компьютерными системами? Вот несколько распространенных методов, используемых для создания угрозы кибербезопасности:

Вредоносное ПО

Вредоносное ПО означает вредоносное ПО.Одна из наиболее распространенных киберугроз, вредоносное ПО — это программное обеспечение, созданное киберпреступником или хакером для нарушения работы или повреждения компьютера законного пользователя. Вредоносные программы, часто распространяемые через незапрошенные вложения электронной почты или выглядящие законно загруженными, могут использоваться киберпреступниками для заработка или для политически мотивированных кибератак.

Существует ряд различных типов вредоносных программ, в том числе:

· Вирус: Самовоспроизводящаяся программа, которая прикрепляется к чистому файлу и распространяется по всей компьютерной системе, заражая файлы вредоносным кодом.

· Трояны : Тип вредоносного ПО, замаскированного под легальное ПО. Киберпреступники обманом заставляют пользователей загружать троянские программы на свой компьютер, где они наносят ущерб или собирают данные.

· Шпионское ПО: Программа, которая тайно записывает действия пользователя, чтобы киберпреступники могли использовать эту информацию. Например, шпионское ПО может захватывать данные кредитной карты.

· Программа-вымогатель: Вредоносная программа, которая блокирует файлы и данные пользователя с угрозой их стирания, если не будет уплачен выкуп.

· Рекламное ПО: Рекламное программное обеспечение, которое может использоваться для распространения вредоносных программ.

· Ботнеты: Сети компьютеров, зараженных вредоносным ПО, которые киберпреступники используют для выполнения задач в сети без разрешения пользователя.

SQL-инъекция

Внедрение SQL (запрос на структурированном языке) — это тип кибератаки, используемый для взятия под контроль и кражи данных из базы данных. Киберпреступники используют уязвимости в приложениях, управляемых данными, для вставки вредоносного кода в базу данных с помощью вредоносного оператора SQL.Это дает им доступ к конфиденциальной информации, содержащейся в базе данных.

Фишинг

Фишинг — это когда киберпреступники атакуют жертв с помощью электронных писем, которые, как представляется, исходят от законной компании с просьбой предоставить конфиденциальную информацию. Фишинговые атаки часто используются для того, чтобы обманом заставить людей передать данные кредитных карт и другую личную информацию.

Атака «Человек посередине»

Атака «злоумышленник посередине» — это тип киберугроз, когда киберпреступник перехватывает сообщения между двумя людьми с целью кражи данных.Например, в незащищенной сети Wi-Fi злоумышленник может перехватить данные, передаваемые с устройства жертвы и из сети.

Атака отказа в обслуживании

Атака типа «отказ в обслуживании» — это когда киберпреступники не позволяют компьютерной системе выполнять законные запросы, перегружая сети и серверы трафиком. Это делает систему непригодной для использования, не позволяя организации выполнять жизненно важные функции.

Последние киберугрозы

Каковы новейшие киберугрозы, от которых нужно защищать отдельные лица и организации? Вот некоторые из самых последних киберугроз, которые U.К., правительства США и Австралии сообщили о.

Dridex вредоносное ПО

В декабре 2019 года Министерство юстиции США предъявило обвинение лидеру организованной киберпреступной группировки за участие в глобальной атаке вредоносного ПО Dridex. Эта злонамеренная кампания затронула общественность, правительство, инфраструктуру и бизнес во всем мире.

Dridex — финансовый троян с широким спектром возможностей. Поражает жертв с 2014 года, заражает компьютеры через фишинговые письма или существующие вредоносные программы.Способный похищать пароли, банковские реквизиты и личные данные, которые могут быть использованы в мошеннических транзакциях, он вызвал огромные финансовые потери в размере сотен миллионов.

В ответ на атаки Dridex Национальный центр кибербезопасности Великобритании советует общественности «обеспечить исправление устройств, включение и обновление антивируса и резервное копирование файлов».

Романтические аферы

В феврале 2020 года ФБР предупредило граждан США, чтобы они знали о мошенничестве, которое киберпреступники совершают с помощью сайтов знакомств, чатов и приложений.Злоумышленники пользуются людьми, ищущими новых партнеров, обманывая жертв, выдают личные данные.

По данным ФБР, в 2019 году в Нью-Мексико киберугрозы, связанные с романтическими отношениями, затронули 114 жертв, а финансовые потери составили 1,6 миллиона долларов.

Emotet вредоносное ПО

В конце 2019 года Австралийский центр кибербезопасности предупредил национальные организации о широко распространенной глобальной киберугрозе со стороны вредоносного ПО Emotet.

Emotet — сложный троян, который может красть данные, а также загружать другие вредоносные программы.Emotet процветает благодаря простому паролю: напоминание о важности создания безопасного пароля для защиты от киберугроз.

Защита конечных пользователей

Защита конечных пользователей или безопасность конечных точек — важнейший аспект кибербезопасности. В конце концов, часто именно человек (конечный пользователь) случайно загружает вредоносное ПО или другую форму киберугроз на свой настольный компьютер, ноутбук или мобильное устройство.

Итак, как меры кибербезопасности защищают конечных пользователей и системы? Во-первых, кибербезопасность полагается на криптографические протоколы для шифрования электронной почты, файлов и других важных данных.Это не только защищает информацию при передаче, но также защищает от потери или кражи.

Кроме того, программное обеспечение безопасности конечного пользователя сканирует компьютеры на наличие фрагментов вредоносного кода, помещает этот код в карантин, а затем удаляет его с машины. Программы безопасности могут даже обнаруживать и удалять вредоносный код, скрытый в основной загрузочной записи (MBR), и предназначены для шифрования или удаления данных с жесткого диска компьютера.

Протоколы электронной безопасности

также ориентированы на обнаружение вредоносных программ в реальном времени. Многие используют эвристический и поведенческий анализ для отслеживания поведения программы и ее кода для защиты от вирусов или троянов, которые меняют свою форму при каждом выполнении (полиморфные и метаморфные вредоносные программы).Программы безопасности могут ограничивать потенциально вредоносные программы виртуальным пузырем отдельно от сети пользователя, чтобы проанализировать их поведение и научиться лучше обнаруживать новые инфекции.

Программы безопасности

продолжают развивать новые средства защиты, поскольку профессионалы в области кибербезопасности выявляют новые угрозы и новые способы борьбы с ними. Чтобы получить максимальную отдачу от программного обеспечения для обеспечения безопасности конечных пользователей, сотрудники должны знать, как его использовать. Что особенно важно, постоянная работа и частое обновление гарантирует, что он сможет защитить пользователей от новейших киберугроз.

Советы по кибербезопасности — защитите себя от кибератак

Как предприятиям и частным лицам защититься от киберугроз? Вот наши главные советы по кибербезопасности:

1. Обновите программное обеспечение и операционную систему: Это означает, что вы получаете последние исправления безопасности.

2. Используйте антивирусное программное обеспечение: Защитные решения, такие как Kaspersky Total Security, обнаруживают и удаляют угрозы. Регулярно обновляйте свое программное обеспечение для обеспечения наилучшего уровня защиты.

3. Используйте надежные пароли: Убедитесь, что ваши пароли трудно угадать.

4. Не открывать вложения электронной почты от неизвестных отправителей: Они могут быть заражены вредоносным ПО.

5. Не переходите по ссылкам в электронных письмах от неизвестных отправителей или с незнакомых веб-сайтов: Это распространенный способ распространения вредоносных программ.

6. Избегайте использования незащищенных сетей Wi-Fi в общественных местах: Небезопасные сети делают вас уязвимыми для атак типа «злоумышленник в середине».

Статьи по теме:

Сопутствующие товары и услуги:

· Кибербезопасность для ваших домашних устройств

· Кибербезопасность малого бизнеса

· Расширенная безопасность конечных точек для малого и среднего бизнеса

· Корпоративные службы кибербезопасности

· Обучение сотрудников информационной безопасности

· Корпоративная кибербезопасность для промышленности

.