Міжнародні стандарти, прийняті в україні як національні

ДСТУ ГОСТ 28147-2009 Система обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення (ГОСТ 28147-89)

ДСТУ ISO/IEC 9798-2002 Інформаційні технології. Методи захисту. Автентифікація суб'єктів

ДСТУ ISO/IEC 10118-2000 Інформаційні технології. Методи захисту. Геш функції

ДСТУ ISO/IEC TR 13335-1:2003 Iнформацiйнi технологiї. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепцiї та моделi безпеки інформаційних технологій

ДСТУ ISO/IEC TR 13335-2:2003 Iнформацiйнi технологiї. Частина 2. Настанови з керування безпекою iнформацiйних технологiй

ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом інформаційних технологій

ДСТУ ISO/IEC TR 13335-4:2005 Інформаційні технології. Настанови з управлiння безпекою інформаційних технологій. Частина 4. Вибирання засобiв захисту

ДСТУ ISO/IEC TR 13335-5:2005 Інформаційні технології. Настанови з управлiння безпекою інформаційних технологій. Частина 5. Настанова з управлiння мережною безпекою

ДСТУ ISO/IEC 13888–2002 Інформаційні технології. Методи захисту. Неспростовність

ДСТУ ISO/IEC 14888-2002 Інформаційні технології. Методи захисту. Цифрові підписи з доповненням

ДСТУ ISO/IEC 15946-2006 Інформаційні технології. Методи захисту. Криптографічні методи, засновані на еліптичних кривих

ДСТУ ISO/IEC 18014-2006 Інформаційні технології. Методи захисту. Послуги штемпелювання часу

ДСТУ ISO/IEC 27001-2010 Інформаційні технології. Методи та засоби досягнення інформаційної безпеки. Системи керування інформаційною безпекою. Вимоги

З метою систематизації знань стосовно основних підходів до забезпечення захисту інформації та безпечного використання інформаційних технологій розроблено низку рекомендацій, які у вигляді тезисів викладено нижче.

Слідкувати за оновленням операційної системи та іншого програмного забезпечення, що використовується.

Використовувати програмний міжмережевий екран (брандмауер) та штатні засоби захисту від шкідливого програмного забезпечення.

Користуватися антивірусним програмним забезпеченням та регулярно оновлювати бази даних сигнатур вірусів.

Здійснювати резервне копіювання даних шляхом їх збереження на знімних носіях інформації (CD/DVD, HDD тощо); налаштувати функцію «відновлення системи».

Працювати на АРМ під обліковим записом користувача, що не має адміністративних привілеїв. Не залишати АРМ «без нагляду» - блокувати сеанс роботи за допомогою комбінації клавіш «Win+L».

Використовувати стійкі паролі, забезпечувати їх регулярну зміну; не зберігати автентифікаційні дані в легкодоступних місцях. Дотримуватися політики «чистого екрану» та «чистого робочого місця».

При користуванні послугами Інтернет-банкінгу, електронної пошти тощо, у разі необхідності введення автентифікаційних даних впевнитись у тому, що використовується захищене з’єднання HTTPS.

Бути уважним до проявів Інтернет-шахрайства. Найбільш розповсюдженим засобом введення в оману в мережі Інтернет є «фішинг». Особливу увагу варто звертати на доменне ім’я Інтернет ресурсу, що запитує автентичні дані. В іншому випадку є велика ймовірність перейти на фішингову сторінку, зовні ідентичну справжній, та самостійно «віддати» власні автентичні дані.

Соціальна інженерія.

Метод соціальної інженерії орієнтований не на інформаційну/технічну складову інформаційної системи, а на людину, як найбільш слабку ланку цієї взаємодії. Основне завдання цього методу – змусити користувача виконати дії, які необхідні зловмиснику для ураження АРМ. Сьогодні саме цей метод ураження є найбільш поширеним у інформаційному просторі.

При користуванні Інтернет-ресурсами (соціальні мережі, системи обміну повідомленнями, новини, онлайн-ігри) не переходити по невідомих посиланнях та не завантажувати файли, що мають потенційно небезпечне розширення (наприклад, .exe, .bin, .ini, .dll, .com, .sys, .bat тощо).

При підключенні змінних носії інформації до АРМ забезпечувати їх автоматичну перевірку на наявність шкідливого програмного забезпечення; відключити автоматичний запуск змінних носіїв інформації (захист від autorun.inf).

Не підключатись до загальнодоступних (незахищених) бездротових мереж; за необхідності використання таких бездротових мереж (в кафе, барах, аеропортах) ні в якому разі не вводити свої автентифікаційні дані (при доступі до електронної пошти, Інтернет-банкінгу тощо).

Систематичне підвищення рівня обізнаності з питань безпечного використання інформаційних технологій та протидії загрозам, для реалізації яких використовується «людський фактор» (соціальна інженерія, Інтернет-шахрайство).

Найбільш розповсюджені види сучасних комп’ютерних загроз:

· шкідливе програмне забезпечення (Malware);

· інтернет-шахрайство;

· несанкціонований доступ до інформаційних ресурсів та інформаційно-телекомунікаційних систем;

· бот-мережі (botnet);

· DDoS-атаки (Distributed Denial of Service);

· крадіжка коштів;

· «крадіжка особистості» (Identity Theft)

Шкідливе програмне забезпечення (Malware) (один із найбільш розповсюджених способів ураження є drive-by завантаження – ураження комп’ютера при відвідуванні користувачем шкідливого веб-сайту). Віруси. Мережеві хробаки (networm). Підклас вірусів, що інфікують комп’ютери та шукають способи для розповсюдження по мережі, створюючи свої копії. Троянські програми (trojan). Програми, призначенні для прихованого (під виглядом чогось іншого) проникнення до системи, зазвичай, зі зловмисними намірами. Руткіти (rootkit). Набір програм, призначених для приховування факту «присутності» зловмисників у системі (комп’ютері). Клавіатурні шпигуни (keylogger). Забезпечують фіксацію всіх переривань, що надходять у систему вводу під час натискання клавіш на клавіатурі. Рекламні системи (adware). Шкідливе програмне забезпечення, призначене для нав’язування реклами, шляхом, як приклад, блокування дій користувача за допомогою «випливаючого вікна», що містить рекламні матеріали.

Інтернет-шахрайство - фішинг (phishing). Атака полягає у спонуканні користувача ввести свої автентифікаційні дані (логін, пароль, банківську інформації) та іншу інформацію шляхом запевнення останніх щодо достовірності та справжності хибних (спеціально створених для цього) мережевих ресурсів ( в тому числі просто посилань, за якими потрібно перейти), таких як пошта, веб-сайти, призначені для Інтернет-банкінгу, сторінки авторизації у соціальних мережах тощо. Вішинг (vishing). Вид шахрайства, що полягає в отриманні у користувача під час телефонної розмови, шляхом використання різних методів переконання, необхідної зловмиснику інформації. Один із різновидів «соціальної інженерії».

Розсилання СПАМу. У результаті реалізації зазначеної атаки «рядові» користувачі отримують у значній кількості на свої електронні поштові скриньки повідомлення, які ними не очікувались та які містять інформацію рекламного та/або шахрайського характеру (реклама лікарського засобу та різноманітних послуг, прохання перейти за посиланнями тощо).

Несанкціонований доступ до інформаційних ресурсів та інформаційно-телекомунікаційних систем цілеспрямована хакерська атака. Дії, що спрямовані на порушення штатного режиму функціонування системи, порушення доступності її сервісів (компонентів), отримання несанкціонованого доступу до конфіденційної інформації, порушення цілісності інформації тощо. Дефейс - Атака полягає у зміні змісту головної сторінки веб-сайту, в результаті чого при його відвідуванні замість звичного контенту відображається щось інше (написи «Hacked By», нецензурні або провокаційні фрази/малюнки тощо).

Бот-мережі (botnet). Сукупність комп'ютерів, уражених шкідливим програмним забезпеченням, ресурси яких (як інформаційні, так і виробничі) через спеціальні командно-контрольні сервери (C&C) несанкціоновано використовуються зловмисниками (ZeuS, SpyEye, Carberp, Rustock, Kelihos, Pandora, BlackEnergy …).

DDoS-атака (Distributed Denial of Service). Розподілена мережева атака, яка за допомогою численної кількості джерел має на меті порушити доступність сервісу (автоматизованої системи) шляхом вичерпання його обчислювальних ресурсів.

«Крадіжка особистості» (Identity Theft). Несанкціоноване заволодіння персональними даними особи, що дозволяє зловмиснику здійснювати діяльність (підписувати документи, отримувати доступ до ресурсів, користуватися послугами тощо) від її імені (як один із механізмів підтвердження автентичності особи може використовуватись електронний цифровий підпис).

Питання 4. Призначення й використання брандмауера.