Как владелец может защитить свою информацию?
Какие есть требования к защите информации?
Документом определено, что организационные и технические меры защиты информации должны обеспечивать:
· идентификацию и аутентификацию субъектов доступа и объектов доступа;
· управление доступом субъектов доступа к объектам доступа;
· ограничение программной среды;
· защиту машинных носителей информации;
· регистрацию событий безопасности;
· антивирусную защиту;
· обнаружение (предотвращение) вторжений;
· контроль (анализ) защищенности информации;
· целостность информационной системы и информации;
· доступность информации;
· защиту среды виртуализации;
· защиту технических средств;
· защиту информационной системы, ее средств и систем связи и передачи данных.
Выбор мер защиты информации для их реализации в ИС включает:
определение начального базового набора мер защиты информации для установленного класса защищенности ИС в соответствии с базовыми наборами мер защиты информации, приведенными в приложении № 2 приказа;
адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы (в том числе предусматривающую исключение из базового набора мер защиты информации, мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
уточнение адаптированного базового набора мер защиты информации с целью обеспечения защиты информации от всех актуальных угроз безопасности информации, включенных в модель угроз безопасности информации оператора;
дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.
Кроме того документ определяет, что при невозможности реализации в информационной системе в рамках ее системы защиты информации отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) актуальных угроз безопасности информации. В этом случае в ходе разработки системы защиты информации информационной системы должно быть проведено обоснование применения компенсирующих мер защиты информации, а при аттестационных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) актуальных угроз безопасности информации. Что из этого получится покажет время, поскольку оценка достаточности и адекватности компенсирующих мер – вещь достаточно субъективная, да и в фразе о «…невозможности реализации в ИС отдельных мер защиты информации…» отсутствуют критерии оценки такой невозможности.
Как владелец может защитить свою информацию?
Защита паролем. Все пользователи компьютера должны использовать пароль для входа в систему. Даже если Вы единственный пользователь – все равно, пароль должен быть. Следует использовать сложные пароли. Например, защищенный пароль должен иметь хотя бы 8-10 символов, причем, нужно использовать в нем большие и малые буквы, цифры, специальные символы. Это позволит надежно защитить себя от “перебора” паролей. Это правило касается не только паролей пользователей на вход в систему, но и для других паролей – к электронной почте, электронному кошельку, входу на различные сайты и форумы. Однако даже самый сложный пароль не может Вас защитить, если злоумышленник будет иметь физический доступ к Вашему компьютеру, поэтому не следует хранить конфиденциальную информацию на публичных компьютерах.
Учетная запись. При обычной работе за компьютером не пользуйтесь учетной записью с правами администратора.
Файловая система и права доступа. На жестких дисках используйте файловую систему NTFS, это позволит ограничить доступ к фалам определенным группам пользователей. Эффективно действует совместно с выполнением советов из предыдущего пункта.
Антивирусная защита. Злоумышленники могут получить доступ к Вашему компьютеру с помощью вирусов, поэтому антивирусная программа должна быть установлена на компьютер и постоянно обновлять свои базы. Периодически нужно сканировать систему “аварийными антивирусами”, например, Dr.Web CureIT.
Обновление программного обеспечения. Все программное обеспечение, особенно операционная системы, браузер и почтовый клиент требует обновления. Обновление исправляют уязвимости программного обеспечения и добавляют алгоритмы защиты от новых угроз. Стоит отметить, если Ваш компьютер инфицирован, то обновлять или устанавливать программное обеспечение категорически запрещено. Сначала нужно уничтожить вирусы.
Использование защищенного браузера. Как правило, большое количество вирусов мошеннического программного обеспечения загружается из Интернета, а некоторые страницы содержат мошеннический код, который может изменять критические настройки системы. Браузер должен уметь противодействовать этим угрозам. Одним из наиболее защищенных браузеров является Mozilla Firefox. Это правило касается также почтовых клиентов и менеджеров загрузки файлов.
Использование безопасного соединения. При работе с банковским счетом, оплате товаров через Интернет, работе с электронной почтой, передачи важных данных, чрезвычайно важно, чтобы было установлено безопасное соединение по протоколу https:// (в браузере показывается символом закрытого замка).
Никогда не вводите номер своей кредитной карты на сайтах, где это требуется для подтверждения возраста. Пользуйтесь только проверенными Интернет-магазинами.
Отключение автозапуска сменных носителей. Это защитит от заражения autorun-вирусами.
Не переходить по сомнительным ссылкам. Часто по электронной почте приходят письма со ссылками, иногда, ссылка может вести на мошеннический ресурс. Также такие ссылки могут быть в сообщениях интернет-пейджеров, в сообщениях от друзей в социальных сетях, могут быть просто размещены на различных сайтах в виде рекламы. Для того чтобы не стать жертвой злоумышленника, нужно проверить ссылки.
Не загружать сомнительных программ. Иногда мы можем встретить рекламу какой-то чудо-программы, которая может решить именно те задачи, которые стоят перед нами. Часто такие программы оказываются просто вирусами, поэтому нужно хорошо все взвесить перед тем, как загружать запускать такие программы. Вам нужно после скачивания не запуская программу, проверить ее файлы антивирусом, а также проверить ссылку, по которой загружается разрекламированная программа.
Не открывать сомнительные письма. Письма могут содержать вирусы, Если даже письмо пришло от друга, но имеет необычную тему – не открывайте его. Письма от неизвестных авторов также желательно не открывать.
Использовать программы шифрования данных. Шифрование данных позволит защититься в случае, когда злоумышленник все же получит Ваши файлы. Если файлы зашифрованы с использованием современных алгоритмов, а ключ шифрования достаточно большой, скорее всего, злоумышленник не сможет расшифровать их. В любом случае, расшифровка займет определенное время, за которое владелец данных может, например, изменить украденные банковские реквизиты или заблокировать счет.
Резервное копирование данных. Часто, злоумышленники не ставят своей целью завладеть чужой информацией. Их цель – навредить, например, уничтожить данные, заблокировать работу. В таких случаях следует использовать резервное копирование важных данных. Желательно, чтобы резервные копии хранились на съемных носителях, защищенных от записи (например, оптические носители). Стоит отметить, если данные, с которых нужно снять резервную копию уже зараженных вирусом, то сначала нужно уничтожить инфекцию, потому что копия также будет содержать вирус.
Выполнение этих советов сможет уберечь Вас от действий злоумышленников, но все же нужно помнить, что даже малейший недостаток в защите информации может иметь катастрофические последствия. Поэтому будьте осторожны.
4.Что такое информационное право?
''''Информационное право — отрасль права, совокупность правовых норм, регулирующих общественные отношения в информационной сфере, связанных с оборотоминформации, формированием и использованием информационных ресурсов, созданием и функционированием информационных систем в целях обеспечения безопасного удовлетворения информационных потребностей граждан, их организаций, государства и общества.
Предмет и методы информационного права
Основным предметом правового регулирования информационного права выступают информационные отношения, то есть общественные отношения в информационной сфере, возникающие при осуществлении информационных процессов — процессов производства, сбора, обработки, накопления, хранения, поиска, передачи, распространения и потребления информации.[1]
В информационном праве используется вся совокупность способов регулирующего воздействия на информационные правоотношения, то есть как диспозитивное регулирование (свобода выбора, равенство сторон, децентрализация, координация), так и императивное регулирование (централизованное осуществление властных полномочий, строгая субординация). Включенность различных методов в систему информационного права не означает их произвольного столкновения или конкуренции. Дискуссии по вопросам значительности тех или иных методов для информационного права можно примирить, только выработав самостоятельную правовую систему для разрешения проблем, возникающих в отношениях информационного свойства.
5.Какие есть акты федерального законодательства о защите информации?
· Закон «О правовой охране программ для ЭВМ и баз данных», - регламентирует юридические вопросы, связанные с авторскими правами на программные продукты.
· Закон «Об информатизации, защите информации», - позволяет защищать информационные ресурсы от искажения, порчи, уничтожения
· В УК РФ есть раздел «Преступления в сфере компьютерной информации».
Наказания за:
1) Неправомерный доступ информации
2) Создание, использование и распространение.
6.Какие есть способы защиты информации?
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) (англ. Organizational security policy)[6] — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy)[4] — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы[9]:
· Защита объектов информационной системы;
· Защита процессов, процедур и программ обработки информации;
· Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);
· Подавление побочных электромагнитных излучений;
· Управление системой защиты.
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
1. Определение информационных и технических ресурсов, подлежащих защите;
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
4. Определение требований к системе защиты;
5. Осуществление выбора средств защиты информации и их характеристик;
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
7. Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.
7.Какие есть наказания за информационные правонарушения?
Преступления в сфере информационных технологий или киберпреступность — преступления, совершаемые людьми, использующих информационные технологии для преступных целей. Преступления в сфере информационных технологий включают как распространение вредоносных вирусов, взлом паролей, кражу номеров кредитных карточек и других банковских реквизитов (фишинг), так и распространение противоправной информации (клеветы, материалов порнографического характера, материалов, возбуждающих межнациональную и межрелигиозную вражду и т.п.) через Интернет. Кроме того, одним из наиболее опасных и распространенных преступлений, совершаемых с использованием Интернета, является мошенничество. Инвестирование денежных средств на иностранных фондовых рынках с использованием сети Интернет сопряжено с риском быть вовлеченными в различного рода мошеннические схемы. Другой пример мошенничества - интернет-аукционы, в которых сами продавцы делают ставки, чтобы поднять цену выставленного на аукцион товара. В соответствии с действующим уголовным законодательством Российской Федерации под преступлениями в сфере компьютерной информации понимаются совершаемые в сфере информационных процессов и посягающие на информационную безопасность деяния, предметом которых являются информация и компьютерные средства. Данная группа посягательств являются институтом особенной части уголовного законодательства, ответственность за их совершение предусмотрена гл. 28 УК РФ. Правовое регулирование Российской Федерации • Закон «О правовой охране программ для ЭВМ и баз данных» регламентирует юридические вопросы, связанные с авторскими правами на программные продукты и базы данных. • Закон «Об информации, информатизации и защите информации» позволяет защищать информационные ресурсы (личные и общественные) от искажения, порчи, уничтожения. • В Уголовном кодексе РФ имеется раздел «Преступления в сфере компьютерной информации». Он предусматривает наказания за: 1. Неправомерный доступ к компьютерной информации; 2. Создание, использование и распространение вредоносных программ для ЭВМ; 3. Умышленное нарушение правил эксплуатации ЭВМ и их сетей.
8.Какие самые крупные нарушения в сфере информационной безопасности?
В принятом в 1996 году Уголовном кодексе Российской Федерации, как наиболее сильнодействующем законодательном акте по предупреждению преступлений и привлечению преступников и нарушителей к уголовной ответственности, вопросам безопасности информации посвящены следующие главы и статьи:
1. Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.
2. Статья 140. Отказ в предоставлении гражданину информации.
3. Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну.
4. Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей.
5. Статья 283. Разглашение государственной тайны.
6. Статья 284. Утрата документов, содержащих государственную тайну.
Особое внимание уделяется компьютерным преступлениям, ответственность за которые предусмотрена в специальной 28 главе кодекса "Преступления в сфере компьютерной информации". Глава 28 включает следующие статьи:
1. Статья 272. Неправомерный доступ к компьютерной информации.
a. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, – наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
b. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, – наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или другого дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
2. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.
a. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, – наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.