30 ноября - Международный день защиты информации
Зависимость современных организаций от компьютерных технологий стала настолько сильной, что вывод из строя компьютерной сети или программного обеспечения может остановить работу предприятия.
Чтобы этого не произошло, нужно соблюдать правила информационной безопасности, о которых сообщил регруководитель федпроекта "Безопасный интернет" Алексей Белый : - Информационная безопасность — это защищенность информации от любых действий, в результате которых информация может быть искажена или утеряна, а владельцам или пользователям информации нанесен недопустимый ущерб.

Прежде всего, в защите нуждается государственная и военная тайна, коммерческая тайна, юридическая тайна, врачебная тайна. Необходимо защищать личную информацию: паспортные данные, данные о банковских счетах, логины и пароли на сайтах, а также любую информация, которую можно использовать для шантажа, вымогательства и т.п.

Конечно, невозможно защититься от любых потерь, поэтому задача состоит в том, чтобы исключить именно недопустимый ущерб. С точки зрения экономики, средства защиты не должны стоить больше, чем возможные потери.

Защита информации - это меры, направленные на то, чтобы не потерять информацию, не допустить ее искажения, а также не допустить, чтобы к ней получили доступ люди, не имеющие на это права. В результате нужно обеспечить:



* доступность информации - возможность получения информации за приемлемое время;



* целостность (отсутствие искажений) информации;

* конфиденциальность информации (недоступность для посторонних).

Доступность информации нарушается, например, когда оборудование выходит из строя, или веб-сайт не отвечает на запросы пользователей в результате массовой атаки вредоносных программ через Интернет.

Нарушения целостности информации - это кража или искажение информации, например, подделка сообщений электронной почты и других цифровых документов.

Конфиденциальность нарушается, когда информация становится известной тем людям, которые не должны о ней знать (происходит перехват секретной информации).

В компьютерных сетях защищенность информации снижается в сравнении с отдельным компьютером, потому что

в сети работает много пользователей, их состав меняется;

есть возможность незаконного подключения к сети;

существуют уязвимости в сетевом программном обеспечении;

возможны атаки взломщиков и вредоносных программ через сеть.

В России вопросы, связанные с защитой информации, регулирует закон «Об информации, информационных технологиях и о защите информации».

Технические средства защиты информации - это замки, решетки на окнах, системы сигнализации и видеонаблюдения, другие устройства, которые блокируют возможные каналы утечки информации или позволяют их обнаружить.

Программные средства обеспечивают доступ к данным по паролю, шифрование информации, удаление временных файлов, защиту от вредоносных программ и др.

Организационные средства включают

• распределение помещений и прокладку линий связи таким образом, чтобы злоумышленнику было сложно до них добраться;

• политику безопасности организации.

Сервера, как правило, находятся в отдельном (охраняемом) помещении и доступны только администраторам сети. Важная информация должна периодически копироваться на резервные носители (диски или магнитную ленту), чтобы сохранить ее в случае сбоев. Обычные сотрудники (не администраторы)

• имеют право доступа только к тем данным, которые им нужны для работы;

• не имеют права устанавливать программное обеспечение;

• раз в месяц должны менять пароли.

Самое слабое звено любой системы защиты - это человек. Некоторые пользователи могут записывать пароли на видном месте (чтобы не забыть) и передавать их другим, при этом возможность незаконного доступа к информации значительно возрастает. Поэтому очень важно обучить пользователей основам информационной безопасности.

Большинство утечек информации связано с «инсайдерами» (англ. inside - внутри) - недобросовестными сотрудниками, работающими в фирме. Известны случаи утечки закрытой информации не через ответственных сотрудников, а через секретарей, уборщиц и другого вспомогательного персонала. Поэтому ни один человек не должен иметь возможности причинить непоправимый вред (в одиночку уничтожить, украсть или изменить данные, вывести из строя оборудование).

Угрозы безопасности:

Если компьютер подключен к Интернету, появляются дополнительные угрозы безопасности. Атаку через сеть могут проводить злоумышленники и боты (программы-роботы), находящиеся в других городах и странах. Можно выделить три основные цели злоумышленников:

• использование вашего компьютера для взлома других компьютеров, атак на сайты, рассылки спама, подбора паролей и т.п.;

• кража секретной информации - данных о банковских картах, имен и паролей для входа на почтовые сервера, в социальные сети, платежные системы;

• мошенничество - хищение чужого имущества путем обмана.

Первые две угрозы связаны, главным образом, с вредоносными программами: вирусами, червями и «троянцами», которые позволяют злоумышленнику управлять компьютером через сеть и получать с него данные.

Мошенничество процветает потому, что многие пользователи Интернета очень доверчивы и неосторожны. Классический пример мошенничества - так называемые «нигерийские письма», приходящие по электронной почте. Пользователя от имени какого-то бывшего высокопоставленного лица просят принять участие в переводе крупных денежных сумм за границу, обещая выплачивать большие проценты. Если получатель соглашается, мошенники постепенно выманивают у него деньги.

Фишинг (англ. phishing, искажение слова fishing - рыбная ловля) - это выманивание паролей. Для этого чаще всего используются сообщения электронной почты, рассылаемые якобы от имени администраторов банков, платежных систем, почтовых служб, социальных сетей. В сообщении говорится, что ваш счёт (или учетная запись) заблокирован, и дается ссылка на сайт, который внешне выглядит как настоящий, но расположен по другому адресу (это можно проверить в адресной строке браузера). Неосторожный пользователь вводит своё кодовое имя и пароль, с помощью которых мошенник получает доступ к данным или банковскому счету.

Антивирусы и последние версии браузеров содержат специальные модули для обнаружения подозрительных сайтов («антифишинг») и предупреждают о заходе на такой сайт. Кроме того, нужно помнить, что администраторы сервисов никогда не просят пользователя сообщить свой пароль по электронной почте.

Мошенничество может быть связано и с вредоносными программами. В 2010 году несколько миллионов компьютеров в России было заражено троянской программой Winiock, которая блокировала компьютер и требовала отправить платное SMS-сообщение для снятия блокировки.

Правила личной безопасности:

Вредоносные программы, распространяющиеся через Интернет, представляю серьезную угрозу безопасности данных. Нужно помнить, что многих проблем можно избежать, если работать в Интернете только из-под ограниченной учетной записи (без прав администратора). Кроме того, желательно своевременно обновлять программное обеспечение; особенно важно устанавливать «заплатки», связанные с безопасностью. Чтобы ваши пароли не украли, лучше не запоминать их в браузере (иногда они хранятся в открытом виде и могут быть украдены троянской программой). Заходя под своим именем в закрытую зону сайта с другого компьютера, нужно отмечать флажок «Чужой компьютер», иначе следующий человек, открывший эту страницу, сможет получить доступ к вашим данным.

На многих сайтах предусмотрена возможность восстановления пароля по секретному вопросу. Этот вопрос нужно выбирать так, чтобы никто другой не знал ответа на него и, самое важное, не мог его выведать. Например, ответы на вопросы «Как звали Вашу первую собаку?», «Какое Ваше любимое блюдо?» и т.п. часто можно найти на персональных страничках авторов в социальных сетях (в заметках, подписях к фотографиям и т.п.). Если мама автора имеет свою страничку, на ней, скорее всего можно найти ее девичью фамилию, поэтому вопрос «Какова девичья фамилия вашей матери?» тоже лучше не использовать.

Нужно понимать, что размещая какую-то информацию в Интернете, вы делаете ее доступной для широкого круга лиц, включая работодателей, полицию официальные органы и даже преступников. Возможны ситуации, когда эта информация (личные данные, фотографии, высказывания на форумах и в блогах) может быть использована против вас, даже если она находится в закрытом разделе сайта.

Для передачи информации, которую необходимо сохранить в тайне, лучше применять шифрование (например, упаковать данные в архив с паролем).

Наибольший уровень безопасности обеспечивается при денежных расчетах через Интернет: вместо протокола HTTP используют защищенный протокол HTTPS (англ. Hypertext Transfer Protocol Secure - безопасный HTTP), который предусматривает шифрование данных (например, с помощью алгоритма RSA). Поэтому нужно проверять, чтобы адрес на странице ввода пароля в таких системах начинался с «https : //», а не с «http: //».

Современные молодые люди часто общаются в чатах, форумах и т.п., в том числе с теми, кого они не знают лично. Продолжение такого виртуального (компьютерного, электронного) знакомства в реальной жизни весьма опасно, потому что нередко участники чатов и форумов представляются не теми, кем они являются на самом деле.

Made on
Tilda