Десять правил защиты данных

Основы защиты информации

Защита информации – это применение различных средств и методов, использование мер и осуществление мероприятий для того, чтобы обеспечить систему надежности передаваемой, хранимой и обрабатываемой информации.

Защита информации включает в себя:

• обеспечение физической целостности информации, исключение искажений или уничтожения элементов информации;

• недопущение подмены элементов информации при сохранении ее целостности;

• отказ в несанкционированном доступе к информации лицам или процессам, которые не имеют на это соответствующих полномочий;

• приобретение уверенности в том, что передаваемые владельцем информационные ресурсы будут применяться только в соответствии с обговоренными сторонами условиями.

Процессы по нарушению надежности информации подразделяют на случайные и злоумышленные (преднамеренные). Источниками случайных разрушительных процессов являются непреднамеренные, ошибочные действия людей, технические сбои. Злоумышленные нарушения появляются в результате умышленных действий людей.

Проблема защиты информации в системах электронной обработки данных возникла практически одновременно с их созданием. Ее вызвали конкретные факты злоумышленных действий над информацией.

Важность проблемы по предоставлению надежности информации подтверждается затратами на защитные мероприятия. Для обеспечения надежной системы защиты необходимы значительные материальные и финансовые затраты. Перед построением системы защиты должна быть разработана оптимизационная модель, позволяющая достичь максимального результата при заданном или минимальном расходовании ресурсов. Расчет затрат, которые необходимы для предоставления требуемого уровня защищенности информации, следует начинать с выяснения нескольких фактов: полного перечня угроз информации, потенциальной опасности для информации каждой из угроз, размера затрат, необходимых для нейтрализации каждой из угроз.

Если в первые десятилетия активного использования ПК основную опасность представляли хакеры, подключившиеся к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушение надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.

Имеется достаточно много способов несанкционированного доступа к информации, в том числе:

• копирование и подмена данных;

• ввод ложных программ и сообщений в результате подключения к каналам связи;

• чтение остатков информации на ее носителях;

• прием сигналов электромагнитного излучения и волнового характера;

• использование специальных программ.

Для борьбы со всеми этими способами несанкционированного доступа необходимо разрабатывать, создавать и внедрять многоступенчатую непрерывную и управляемую архитектуру безопасности информации. Защищать следует не только информацию конфиденциального содержания. На объект защиты обычно действует некоторая совокупность дестабилизирующих факторов. При этом вид и уровень воздействия одних факторов могут не зависеть от вида и уровня других.

Возможна ситуация, когда вид и уровень взаимодействия имеющихся факторов существенно зависят от влияния других, явно или скрыто усиливающих такие воздействия. В этом случае следует применять как независимые с точки зрения эффективности защиты средства, так и взаимозависимые. Для того чтобы обеспечить достаточно высокий уровень безопасности данных, надо найти компромисс между стоимостью защитных мероприятий, неудобствами при использовании мер защиты и важностью защищаемой информации. На основе детального анализа многочисленных взаимодействующих факторов можно найти разумное и эффективное решение о сбалансированности мер защиты от конкретных источников опасности.

Объект защиты – это такой компонент системы, в котором находится защищаемая информация. Элементом защиты является совокупность данных, которая может содержать необходимые защите сведения.

При деятельности компьютерных систем могут возникать:

• отказы и сбои аппаратуры;

• системные и системотехнические ошибки;

• ошибки человека при работе с компьютером.

Несанкционированный доступ к информации возможен во время технического обслуживания компьютеров в процессе прочтения информации на машинных и других носителях. Незаконное ознакомление с информацией разделяется на пассивное и активное. При пассивном ознакомлении с информацией не происходит нарушения информационных ресурсов и нарушитель может лишь раскрывать содержание сообщений. В случае активного несанкционированного ознакомления с информацией есть возможность выборочно изменить, уничтожить порядок сообщений, перенаправить сообщения, задержать и создать поддельные сообщения.

Для обеспечения безопасности проводятся разные мероприятия, которые объединены понятием «система защиты информации».

Система защиты информации – это совокупность организационных (административных) и технологических мер, программно-технических средств, правовых и морально-этических норм, которые применяются для предотвращения угрозы нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Организационно-административными средствами защиты называется регламентация доступа к информационным и вычислительным ресурсам, а также функциональным процессам систем обработки данных. Эти средства защиты применяются для затруднения или исключения возможности реализации угроз безопасности. Наиболее типичными организационно-административными средствами являются:

• допуск к обработке и передаче охраняемой информации только проверенных должностных лиц;

• хранение носителей информации, которые представляют определенную тайну, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;

• учет применения и уничтожения документов (носителей) с охраняемой информацией;

• разделение доступа к информационным и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.

Технические средства защиты применяются для создания некоторой физически замкнутой среды вокруг объекта и элементов защиты. При этом используются такие мероприятия, как:

• ограничение электромагнитного излучения через экранирование помещений, в которых осуществляется обработка информации;

• реализация электропитания оборудования, отрабатывающего ценную информацию, от автономного источника питания или общей электросети через специальные сетевые фильтры.

Программные средства и методы защиты являются более активными, чем другие применяемые для защиты информации в ПК и компьютерных сетях. Они реализуют такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и изучение протекающих процессов; предотвращение возможных разрушительных воздействий на ресурсы; криптографическая защита информации.

Под технологическими средствами защиты информации понимаются ряд мероприятий, органично встраиваемых в технологические процессы преобразования данных. В них также входят:

• создание архивных копий носителей;

• ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера;

• автоматическая регистрация доступа пользователей к различным ресурсам;

• выработка специальных инструкций по выполнению всех технологических процедур и др.

Правовые и морально-этические меры и средства защиты включают в себя действующие в стране законы, нормативные акты, регламентирующие правила, нормы поведения, соблюдение которых способствует защите информации.

Идентификацией называется присвоение тому или иному объекту или субъекту уникального имени или образа. Аутентификация – это установление подлинности объекта или субъекта, т. е. проверка, является ли объект (субъект) тем, за кого он себя выдает.

Конечная цель процедур идентификации и аутентификации объекта (субъекта) заключается в допуске его к информации ограниченного пользования в случае положительной проверки либо отказе в допуске при отрицательном результате проверки.

Объекты идентификации и аутентификации включают в себя: людей (пользователей, операторов); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки); магнитные носители информации; информацию на экране монитора.

К наиболее распространенным методам аутентификации относятся присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Паролем называется совокупность символов, которая определяет объект (субъект).

Пароль как средство обеспечения безопасности способен использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.

С учетом важности пароля как средства повышения безопас – ности информации от несанкционированного использования необходимо соблюдать следующие меры предосторожности:

1) не хранить пароли в вычислительной системе в незашифрованном месте;

2) не печатать и не отображать пароли в открытом виде на терминале пользователя;

3) не применять в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения, номер домашнего или служебного телефона, название улицы);

4) не применять реальные слова из энциклопедии или толкового словаря;

5) использовать длинные пароли;

6) применять смесь символов верхнего и нижнего регистров клавиатуры;

7) применять комбинации из двух простых слов, соединенных специальными символами (например, +,=,

В наш современный век слишком много инструментов используется для того, чтобы контролировать среднего гражданина. Террористические угрозы и мониторинг асоциальных элементов приводит к тому, что прослушивают почти всех. Или всех. Как бы там не было, общение уже давно не является личным. Если спецслужбы вами не интересуются, то личности более сомнительного характера точно будут рады личной переписке.

Уберечься от всего этого можно, пусть и сложно. Эксперты Guide.team29.org перечислили 10 правил для безопасной работы в Сети.

1. Используйте надежные пароли

Пароль — базовый способ защиты ваших данных. К его выбору стоит подходить аккуратно. Примитивные наборы цифр, слова, в том числе изменённые, какие-либо из ваших личных данных, заключённые в вашем пароле, заинтересованными во взломе лицами подбираются достаточно быстро с помощью специального софта.

Рекомендуется использовать в пароле сочетание букв в разных регистрах, специальных символов и цифр. Ещё лучше, чтобы пароль был длиннее 16 знаков (P#$$M>Rd_wR1443N_c0Wpl1c4^3D). Чтобы подобрать такой пароль, злоумышленникам, владеющим современными программными средствами, понадобится больше 200 лет.

Запомнить все сложные пароли от десятков аккаунтов довольно трудно. Поэтому можно использовать хранилище паролей вроде KeePass или LastPass. Они также выступают в качестве генераторов паролей.

Пароли от наиболее важных аккаунтов — часто используемых соцсетей и почты — придётся запомнить.

Кроме того, рекомендуется отключать сохранение паролей в браузерах.

Периодически меняйте пароли. Не следует вводить логины и пароли в общественных местах, где установлено видеонаблюдение.

Не рекомендуется использовать один и тот же пароль для разных аккаунтов.

2. Зашифруйте свои данные

Вы можете зашифровать информацию на жёстких дисках и съёмных носителях. Это будет полезным в случае, если посторонние отберут у вас компьютер или снимут с него жесткий диск. Без ввода специального пароля они не смогут прочитать содержимое дисков. Вся информация на диске для них будет выглядеть как абракадабра.

На компьютерах Mac: Используйте стандартную программу FileVault, которая имеет функцию полнодискового шифрования. На официальном сайте компании можно найти инструкцию по ее работе.

На компьютерах с ОС Windows: У профессиональных версий операционной системы (Enterprise, Pro, Ultimate Edition) от Microsoft есть встроенная программа BitLocker. Для остальных случаев есть программа VeraCrypt. На расшифровку защищённых ею данных у спецслужб при современном развитии технологий уйдёт не менее 40 лет.

3. Зашифруйте свою электронную почту

Для шифрования писем в электронной почте нужно воспользоваться технологией PGP, которая шифрует сообщения перед отправкой и позволяет их прочитать только владельцу специального пароля. Даже если ваше письмо перехватят, то прочитать его содержимое посторонним будет невозможно. Полученный текст для них будет выглядеть как абракадабра.

4. Включите двухфакторную авторизацию

Для этого понадобится включить — там, где это возможно — двухфакторную аутентификацию. Это дополнительная защита аккаунтов в соцсетях, мессенджерах, электронной почте, Apple, Google и т.п.

Если вы включили эту функцию, то при входе в ваш аккаунт вам нужно будет ввести не только пароль, но и одноразовый код. Его вы или получаете по SMS или берёте из установленного на ваш смартфон приложения-генератора кодов.

5. Сохраняйте анонимность в сети

Для этого нужно использовать VPN (Virtual Private Network, виртуальная частная сеть). Эта технология позволяет заходить на интернет-ресурсы якобы из других стран, никто не узнает о вашем настоящем местоположении. Это важно, если вы хотите сохранить местонахождение в тайне или воспользоваться сервисом, доступным только в определённой стране. Это пригодится, если вы решили из-за границы совершить операцию в российском банке или подключиться к сервису для просмотра сериалов Netflix из России.

Услуги VPN предоставляют VPN-провайдеры. Есть два критерия качества таких сервисов: он не должен хранить ваши данные и у него должно быть много внешних серверов, чтобы вы могли выбрать, из какой страны вы «видны» для сайта, который решили посетить.

Наиболее распространёнными и популярными VPN-сервисами являются Betternet, TunnelBear и Hideman. Они соответствуют описанным выше критериям качества. У обоих есть приложения для iOS и Android, и версии для персональных компьютеров. Запускаете программу, выбираете страну и теперь все ваши подключения с данного устройства зашифрованы. У TunnelBear также есть отдельные расширения для браузеров Chrome и Opera.

Альтернативой VPN-сервисам является Tor Browser. Он также позволяет оставаться анонимным в сети.

6. Используйте облачные хранилища данных

В случае утраты какого-либо из устройств вы не потеряете информацию.

Хранилище Google Drive привязано к вашему Google-аккаунту. На нём можно установить двухфакторную аутентификацию и посмотреть журнал посещений и включить оповещения о входе с неизвестных устройств. Google Drive сам не шифрует данные. Для этого потребуются сторонние сервисы — например, Boxcryptor или VeraCrypt.

У пользователей техники Apple есть хранилище данных iCloud. Доступ к нему также можно защитить двухфакторной аутентификацией.

Из популярных облачных хранилищ шифрование данных предоставляет Mega. То, что хранится на его серверах, не может узнать даже администрация сервиса. Ваш пароль от аккаунта — это уникальный ключ-дешифратор, потеря которого приведёт к утрате всех ваших данных.

7. Вводите важную информацию только на сайтах с защищённым соединением

Любую информацию — от ввода логина и пароля до номера банковской карты и вашей фамилии — стоит отправлять только с ресурсов, где включён HTTPS. Это зашифрованный способ передачи информации. От обычного протокола HTTP он отличается тем, что любые данные, которые вы отправляете на сайт шифруются и недоступны для перехвата.

Google Chrome автоматически включает HTTPS на всех сайтах, где он предусмотрен. На большинстве банковских сайтов он также работает по умолчанию. В Facebook — тоже. А вот во «ВКонтакте» придётся настраивать всё самому.

8. Минимизируйте возможность подсмотреть за вами и подслушать вас

Злоумышленники или спецслужбы, используя специальное программное обеспечение и уязвимости вашего софта, могут подключиться к микрофону и камере вашего компьютера, телефона или планшета. Веб-камеру на ноутбуке можно закрыть и заклеить. Выломать микрофон нельзя, поэтому важные разговоры лучше всего вести при выключенном устройстве. Чтобы ваше местонахождение сложнее было выявить, отключите сервисы геолокации на смартфоне. Кроме того, вы можете перевести его в авиарежим или вообще выключить.

9. Следите за тем, кто и когда заходил в ваш аккаунт

Соцсети, почтовые сервисы и мессенджеры умеют сообщать пользователям о всех фактах входа в их аккаунты. Например, если у вас есть приложение «ВКонтакте» на смартфоне, то сообщения о входе в ваш аккаунт будут приходить автоматически. В Facebook и Google эту опцию нужно настроить.

Если автоматических оповещений нет, то обычно в настройках своего аккаунта можно посмотреть список последних сессий (входов в ваш аккаунт) и завершить их, если есть подозрительные. Такой журнал посещений есть и в Facebook, и во «ВКонтакте», и в GMail, и в мессенджере Telegram.

10. Соблюдайте правила информационной гигиены

Для совершения важных операций (финансовые транзакции, покупка билетов и т.п.) нужно использовать компьютер, в защищённости которого вы уверены. Лучше не использовать чужое устройство. Помните, что компьютер, которым вы пользуетесь на работе, принадлежит не вам, а вашему работодателю.

На вашем компьютере должно быть лицензионное программное обеспечение, в том числе операционные системы. На пиратских копиях может находиться вредоносный и шпионский софт. Если вы не хотите покупать лицензионные программы, можно воспользоваться бесплатными аналогами.

Софт на вашем устройстве должен постоянно обновляться. Это увеличивает вероятность того, что разработчики уже устранили основные уязвимости.

Не следует подключать к вашему устройству неизвестные носители (флешки, SD-карты, смартфоны), даже для подзарядки. Не стоит подключать любые неизвестные USB-устройства к вашему компьютеру. Даже у работающего от USB-порта фонарика может быть носитель памяти, содержащий вредоносный софт.

Следует отключить автозапуск для внешних устройств. Это поможет избежать автоматического запуска содержащихся на них вредоносных программ.

Не стоит заряжать свои телефоны и планшеты где попало. Вы можете подключить устройство к заражённому компьютеру, который получит доступ к данным на вашем устройстве или загрузит на него вредоносные программы. Не стоит без крайней необходимости пользоваться общественными зарядными устройствами, которые выглядят как киоск или ящик с проводами. Неизвестно, к чему именно вы таким образом подключитесь. Лучше поискать обычную электрическую розетку и воткнуть в нее собственную зарядку.

Если вы работаете с ноутбуком или компьютером в общественном месте и вам нужно ненадолго отойти, стоит перевести устройство в спящий режим либо заблокировать экран компьютера. Вернуться к работе можно только введя пароль. Если в общественном месте есть камеры видеонаблюдения, никакие пароли вводить не следует, и вообще стоит крайне осторожно пользоваться интернет-сервисами.

В общественном месте с незащищённым Wi-Fi стоит использовать VPN. Эта технология не только скрывает ваше реальное местоположение, но и шифрует информацию, которую вы передаёте. Известны случаи, когда злоумышленники пытались перехватить информацию с компьютеров в общественном Wi-Fi. Если на вашем компьютере включён VPN, у них, скорее всего, ничего не выйдет.

Если ваше устройство побывало в руках спецслужб — например, было изъято при пересечении границы или в ходе обыска — для важной переписки и финансовых транзакций оно уже небезопасно. Это же касается ремонта вашей техники. Есть вероятность, что после указанных манипуляций на вашем мобильном, планшете или компьютере окажется вирус, шпионская программа или дополнительный чип. Лучше приобрести новое устройство — иногда сохранность данных дороже денег.

За компьютером с Windows не стоит работать под аккаунтом с правами администратора. Лучше использовать аккаунт обычного пользователя. Тогда, если вредоносная программа попытается установиться без вашего ведома, Windows уведомит вас о необходимости введения пароля от аккаунта администратора.

Не стоит давать свой компьютер посторонним, которым нужно позвонить по Skype или проверить почту. Если же все-таки пришлось это сделать, то лучше заранее войти в гостевой аккаунт, из которого недоступна установка нового софта. Также будьте осторожны при передаче постороннему лицу своего телефона.

Используйте антивирус. У многих распространенных антивирусов есть бесплатная лицензия, возможностей которой вполне достаточно для обычного пользователя. Например, это AVG, Avast, Kaspersky. Не забывайте регулярно обновлять его.

Остерегайтесь писем с просьбами предоставить ваши персональные, в том числе регистрационные данные. Иначе вы можете стать жертвой интернет-фишинга.

Информационная безопасность очень важна при работе с данными в электронном виде. Чтобы свести к минимуму риски потери важной информации, мы рекомендуем придерживаться при работе в Системе простых правил.

Пароль должен быть надёжным

Пароль — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий.

Наиболее надёжный пароль содержит буквы разных регистров, цифры и специальные символы, не содержит логин, содержит не менее 8 символов.

Пример: «12345678» – плохой пароль, который очень легко подобрать. Пароль «LublU-ShkoLu75» – хороший пароль, так как подобрать его очень сложно.

Примечание: подробнее о требованиях к паролю рассказано здесь.

Нельзя оставлять логин и пароль в общедоступных местах, например, записывать в ежедневнике или приклеивать на монитор компьютера

Злоумышленники могут воспользоваться данными для входа с целью получения конфиденциальной информации, а также разместить от имени пользователя любые материалы. В этом случае факт взлома будет невозможно отследить, т.к. фактически взлом не произойдет.

Нельзя передавать пароль третьим лицам, даже своим коллегам

Если под одним аккаунтом будут работать несколько пользователей, это может привести к потере данных и невозможно будет установить личность, по чьей вине они пропали. Например, сотрудник может зайти под профилем администратора и неправильно импортировать журнал, тем самым удалив все оценки из Системы. В случае, если права администратора или редактора требуются другому лицу, он должен попросить школьного администратора расширить круг его полномочий.

Нельзя разрешать программному обеспечению «запоминать» логин и пароль в общедоступных местах

При включении функции сохранения пароля интернет-браузер запомнит данные пользователя для входа, и воспользоваться профилем сможет любой желающий, продолживший работать за общедоступным компьютером.

После завершения работы необходимо выходить из учетной записи

После завершения работы в Системе на любом устройстве (например, на школьном компьютере) необходимо обязательно выйти из учётной записи, чтобы избежать несанкционированного доступа к данным.

Особенно важен выход из учётной записи для педагогов, когда они покидают свое рабочее место в присутствии обучающихся.

Необходимо подтверждать email и номер телефона

Подтвержденные email и телефон необходимы для защиты страницы. При попытке смены пароля на почту или мобильное устройство пользователя придёт соответствующее уведомление, и злоумышленник не сможет осуществить взлом.

Также с его помощью можно быстро и самостоятельно восстановить доступ в Систему, если пользователь забудет свой пароль.

Примечание: подробнее о том, как подтвердить email и телефон, рассказано в статьях «Как изменить электронную почту в профиле?» и «Как подтвердить номер телефона?».

Соблюдение простых правил предосторожности поможет избежать потерь информации!