Elettracompany.com

Компьютерный справочник
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Вопросы по защите информации

Пять нестыдных вопросов про кибербезопасность

С тех пор, как ловкачи с наперстками сменились на наглецов у экранов компьютеров, всем, кто держит в руках телефон с выходом в интернет нужно как азбуку знать правила кибербезопасности. Директор учебного центра «СёрчИнформ» Алексей Дрозд выделил четыре главные ошибки, приводящие к проблемам с кибербезопасностью и дал ответы на самые частые вопросы.

– С началом цифровой эры главные опасности – от банального воровства до буллинга и шантажа исходят из сети. Кажется, что правил кибербезопасности слишком много, чтобы вообще ею заморачиваться. На самом деле есть всего 4 главные ошибки, которых нужно избегать:

  • Установка слабых паролей – взламываются в считанные секунды.
  • Использование одной и той же пары логин/пароль на разных ресурсах, что при компрометации одного сервиса ведет к компрометации и всех остальных.
  • Игнорирование возможностей двухфакторной аутентификации для доступа к сервисам.
  • Излишнее доверие к сайтам и приложениям.

Но обо всем по порядку в вопросах и ответах.

1. В сети слишком много советов о паролях. Все-таки: какой пароль безопасный, как часто его менять, позволять ли браузеру его запоминать?

Принято считать, что нужно менять пароль раз в месяц. Но это требование хорошо, если предположить, что каждый раз человек меняет пароль на новый криптостойкий. Но человеческий мозг устроен так, что при необходимости постоянно удерживать в голове новые коды, начинает выкручиваться.

Как выяснили киберэксперты, каждый новый пароль пользователя в этой ситуации становится слабее предыдущего. Один из выходов – использовать сложные пароли, менять их раз в месяц, но использовать для хранения специальное приложение, использовать двухфакторную аутентификацию везде, где это возможно. Но я сам придерживаюсь другого правила. У меня три пароля. Один уникальный, который я использую только для защиты финансового сервиса, он больше нигде и никогда не фигурирует. Второй – для других важных сервисов вроде почты. Третий пароль – для аккаунтов, взлом которых будет не столь критичен, например, Facebook.

Попробовать бесплатно продукты «СёрчИнформ»

Самыми надежными сейчас считают парольные фразы. Это какое-то относительно бессмысленное, но легко запоминающееся предложение, которое набирается в другой раскладке. Наличие в ней цифр, символов и прописных букв, конечно, только усилит пароль.

Что касается запоминания в браузере – это, действительно, не лучший выход. Как только человек нажимает кнопку «запомнить пароль», он забывает свой пароль сам. Но самое главное, если браузер будет скомпрометирован, к злоумышленнику попадет не один пароль, который вы вбиваете руками (в этом нет ничего страшного при условии двухфакторной аутентификации), а все пароли, которые вы когда-то сохранили.

2. Как не создать себе проблемы, устанавливая приложения на телефон? Чего нельзя разрешать приложениям?

Скачивать приложение только из официальных магазинов – это главное требование безопасности. AppStore и GooglePlay не гарантируют полной безопасности, но они все-таки проводят минимальную проверку производителя и приложения. Вероятность скачать из неофициальных источников вредоносное или фальшивое приложение гораздо выше.

При установке обращайте внимание на разрешения, которые хочет получить приложение. Они должны быть обоснованы тем, что предполагает функционал приложения. Понятно, что для Instagram нужен доступ к фотографиям, а вот для приложения «фонарик» – нет. Если можно отказаться от разрешений, и это не повлияет на функциональность сервиса, лучше это сделать. Если нет, и приложение хочет слишком много – лучше отказаться от него вовсе. Следует также обращать внимание, какие новые права получает приложение при обновлении.

Отключите автосинхронизацию с облачными сервисами, кроме случаев, когда она действительно необходима.

Используйте антивирус и задействуйте системные средства повышения безопасности. Они есть как в виде отдельного ПО, так и в виде эксклюзивного контента для отдельных моделей телефонов (например, DTEK для Blackberry).

Выбор в пользу платных приложений – тоже хороший вариант повысить уровень безопасности. Разработчики таких сервисов мотивированы лучше их защищать и имеют меньше соблазнов монетизироваться за счет ваших данных, то есть продавать данные на сторону.

3. Говорят, если не ставить на телефон приложение банка, вероятность, что мошенники доберутся до счета, меньше. Так ли это?

Да, сам придерживаюсь этого мнения. Хотя бы потому, что чем меньше «точек доступа» к вашим деньгам, тем лучше. Да, удобнее контролировать финансы прямо с телефона, но я исхожу из того, что если мой телефон будет скомпрометирован, злоумышленник получит доступ и к приложению, и к смс-сообщениям, которые используются для двухфакторной аутентификации для подтверждения легитимности платежа. Поэтому я сам для управления счетом использую онлайн-банкинг на компьютере, даже если браузер окажется скомпрометирован, остается второй канал – смс.

Что касается безопасности самого банковского приложения, этот вопрос целиком и полностью на совести банка. Как правило, банки очень серьезны относительно безопасности своих сервисов, так как это и их риски тоже, они совершенствуют их. Приложения проходят тщательный анализ безопасности кода, зачастую привлекаются внешние именитые эксперты. Банк может заблокировать доступ к приложению, если вы сменили симку или даже переставили ее в соседний слот смартфона. Некоторые, самые защищенные приложения, даже не запускаются, пока не выполнены требования безопасности, например, если телефон не запаролен.

Конечно, это не означает, что приложения защищены на 100%. Даже в лучших обнаруживаются уязвимости, поэтому необходимо регулярное обновление, которые закрывают периодически открывающиеся уязвимости. О самых крупных пишут xakep.ru, anti-malware.ru, securitylab.ru и тому подобные специализированные СМИ.

4. Можно ли подключаться к открытым вайфай-точкам в торговых центрах, аэропортах, кафе?

Общественные Wi-Fi-точки – источник опасности. Можно долго расписывать, какие риски несет в себе использование подобных точек, но я ограничусь лишь одной фразой: MITM-атака. Но риск сводится к минимуму, если соблюдать простые правила безопасности:

  • убедиться, что точка доступа принадлежит кафе/аэропорту/ТЦ, а не хакеру. Легальная просит ввести номер телефона и высылает смс для входа;
  • использовать VPN-подключение для доступа в сеть. Он, собственно, и был придуман для того, чтобы безопасно выходить в интернет через небезопасные точки доступа;
  • если не знаете, как выполнить п. 1 и п. 2, лучше через такое соединение не передавать данные, а использовать интернет только «в режиме чтения» — для посещения сайтов и сервисов, где сообщать о себе ничего не требуется.

5. Для регистрации в игре или тесте нас просят оставить свои персональные данные. Кто их собирает и для чего использует?

Разработчика теста «какая вы принцесса», конечно, мало интересует, вы принцесса Белль или Ариэль. Их интересует та информация из социальной сети, к которой вы даете доступ приложению: личные данные, списки друзей и так далее. Собственно, данные – это и есть ваша плата за комфорт и возможность этим приложением/сервисом пользоваться.

Самые крупные «игроки» белого рынка и одновременно крупнейшие сборщики данных – это не разработчики тестов и игр, а корпорации вроде Apple и Google. У них скапливаются данные практически обо всех ваших движениях в интернете. Это неприятно, но не смертельно. Гораздо хуже, когда данные попадают и вовсе непонятно кому. В этом случае спектр применения данных может быть огромным. Чаще всего они используются в маркетинговых целях: какую рекламу предложить, как заставить совершить дополнительную покупку и так далее. И все же разглашение определенных личных данных может быть вполне чувствительным.

Важно помнить: все, что ушло в интернет, там и останется. Даже мессенджеры синхронизируют данные с облачными хранилищами. Поэтому я бы советовал не оставлять в сети информацию, которая может дискредитировать вас, вызвать проблемы при обнародовании, давать возможность для шантажа.

Вопросы по защите информации

Тесты по теме — Информационная безопасность (защита информации) с ответами

Правильный вариант ответа отмечен знаком +

1) К правовым методам, обеспечивающим информационную безопасность, относятся:

— Разработка аппаратных средств обеспечения правовых данных

— Разработка и установка во всех компьютерных правовых сетях журналов учета действий

+ Разработка и конкретизация правовых нормативных актов обеспечения безопасности

2) Основными источниками угроз информационной безопасности являются все указанное в списке:

— Хищение жестких дисков, подключение к сети, инсайдерство

+ Перехват данных, хищение данных, изменение архитектуры системы

— Хищение данных, подкуп системных администраторов, нарушение регламента работы

3) Виды информационной безопасности:

+ Персональная, корпоративная, государственная

— Клиентская, серверная, сетевая

— Локальная, глобальная, смешанная

4) Цели информационной безопасности – своевременное обнаружение, предупреждение:

+ несанкционированного доступа, воздействия в сети

— инсайдерства в организации

5) Основные объекты информационной безопасности:

Читать еще:  Требования к защите информации от нсд

+ Компьютерные сети, базы данных

— Информационные системы, психологическое состояние пользователей

— Бизнес-ориентированные, коммерческие системы

6) Основными рисками информационной безопасности являются:

— Искажение, уменьшение объема, перекодировка информации

— Техническое вмешательство, выведение из строя оборудования сети

+ Потеря, искажение, утечка информации

7) К основным принципам обеспечения информационной безопасности относится:

+ Экономической эффективности системы безопасности

— Многоплатформенной реализации системы

— Усиления защищенности всех звеньев системы

8) Основными субъектами информационной безопасности являются:

— руководители, менеджеры, администраторы компаний

+ органы права, государства, бизнеса

— сетевые базы данных, фаерволлы

9) К основным функциям системы безопасности можно отнести все перечисленное:

+ Установление регламента, аудит системы, выявление рисков

— Установка новых офисных приложений, смена хостинг-компании

— Внедрение аутентификации, проверки контактных данных пользователей

тест 10) Принципом информационной безопасности является принцип недопущения:

+ Неоправданных ограничений при работе в сети (системе)

— Рисков безопасности сети, системы

11) Принципом политики информационной безопасности является принцип:

+ Невозможности миновать защитные средства сети (системы)

— Усиления основного звена сети, системы

— Полного блокирования доступа при риск-ситуациях

12) Принципом политики информационной безопасности является принцип:

+ Усиления защищенности самого незащищенного звена сети (системы)

— Перехода в безопасное состояние работы сети, системы

— Полного доступа пользователей ко всем ресурсам сети, системы

13) Принципом политики информационной безопасности является принцип:

+ Разделения доступа (обязанностей, привилегий) клиентам сети (системы)

— Одноуровневой защиты сети, системы

— Совместимых, однотипных программно-технических средств сети, системы

14) К основным типам средств воздействия на компьютерную сеть относится:

+ Логические закладки («мины»)

— Аварийное отключение питания

15) Когда получен спам по e-mail с приложенным файлом, следует:

— Прочитать приложение, если оно не содержит ничего ценного – удалить

— Сохранить приложение в парке «Спам», выяснить затем IP-адрес генератора спама

+ Удалить письмо с приложением, не раскрывая (не читая) его

16) Принцип Кирхгофа:

— Секретность ключа определена секретностью открытого сообщения

— Секретность информации определена скоростью передачи данных

+ Секретность закрытого сообщения определяется секретностью ключа

17) ЭЦП – это:

18) Наиболее распространены угрозы информационной безопасности корпоративной системы:

— Покупка нелицензионного ПО

+ Ошибки эксплуатации и неумышленного изменения режима работы системы

— Сознательного внедрения сетевых вирусов

19) Наиболее распространены угрозы информационной безопасности сети:

— Распределенный доступ клиент, отказ оборудования

— Моральный износ сети, инсайдерство

+ Сбой (отказ) оборудования, нелегальное копирование данных

тест_20) Наиболее распространены средства воздействия на сеть офиса:

— Слабый трафик, информационный обман, вирусы в интернет

+ Вирусы в сети, логические мины (закладки), информационный перехват

— Компьютерные сбои, изменение админстрирования, топологии

21) Утечкой информации в системе называется ситуация, характеризуемая:

+ Потерей данных в системе

— Изменением формы информации

— Изменением содержания информации

22) Свойствами информации, наиболее актуальными при обеспечении информационной безопасности являются:

23) Угроза информационной системе (компьютерной сети) – это:

— Детерминированное (всегда определенное) событие

— Событие, происходящее периодически

24) Информация, которую следует защищать (по нормативам, правилам сети, системы) называется:

25) Разновидностями угроз безопасности (сети, системы) являются все перчисленное в списке:

+ Программные, технические, организационные, технологические

— Серверные, клиентские, спутниковые, наземные

— Личные, корпоративные, социальные, национальные

26) Окончательно, ответственность за защищенность данных в компьютерной сети несет:

27) Политика безопасности в системе (сети) – это комплекс:

+ Руководств, требований обеспечения необходимого уровня безопасности

— Инструкций, алгоритмов поведения пользователя в сети

— Нормы информационного права, соблюдаемые в сети

28) Наиболее важным при реализации защитных мер политики безопасности является:

— Аудит, анализ затрат на проведение защитных мер

Тест: Ответы на тест информационная безопасность

Тема: Ответы на тест информационная безопасность

Тип: Тест | Размер: 21.35K | Скачано: 146 | Добавлен 26.12.14 в 15:40 | Рейтинг: +3 | Еще Тесты

· сведения, поступающие от СМИ

· только документированные сведения о лицах, предметах, фактах, событиях

· сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления

· только сведения, содержащиеся в электронных базах данных

· не исчезает при потреблении

· становится доступной, если она содержится на материальном носителе

· подвергается только «моральному износу»

· характеризуется всеми перечисленными свойствами

3. Информация, зафиксированная на материальном носителе, с реквизитами,

позволяющими ее идентифицировать, называется

· документированной

4. Формы защиты интеллектуальной собственности —

· авторское, патентное право и коммерческая тайна

· интеллектуальное право и смежные права

· коммерческая и государственная тайна

· гражданское и административное право

5. По принадлежности информационные ресурсы подразделяются на

· государственные, коммерческие и личные

· государственные, не государственные и информацию о гражданах

· информацию юридических и физических лиц

· официальные, гражданские и коммерческие

6. К негосударственным относятся информационные ресурсы

· созданные, приобретенные за счет негосударственных учреждений и организаций

· созданные, приобретенные за счет негосударственных предприятий и физических

· полученные в результате дарения юридическими или физическими лицами

· указанные в п.1-3

8. По доступности информация классифицируется на

· открытую информацию и государственную тайну

· конфиденциальную информацию и информацию свободного доступа

· информацию с ограниченным доступом и общедоступную информацию

· виды информации, указанные в остальных пунктах

9. К конфиденциальной информации относятся документы, содержащие

· государственную тайну

· сведения о золотом запасе страны

10. Запрещено относить к информации ограниченного доступа

· информацию о чрезвычайных ситуациях

· информацию о деятельности органов государственной власти

· документы открытых архивов и библиотек

· все, перечисленное в остальных пунктах

11. К конфиденциальной информации не относится

· персональные данные о гражданах

· «ноу-хау»

12. Вопросы информационного обмена регулируются (. ) правом

· гражданским

13. Согласно ст.132 ГК РФ интеллектуальная собственность это

· информация, полученная в результате интеллектуальной деятельности индивида

· литературные, художественные и научные произведения

· изобретения, открытия, промышленные образцы и товарные знаки

· исключительное право гражданина или юридического лица на результаты

интеллектуальной деятельности

14. Интеллектуальная собственность включает права, относящиеся к

· литературным, художественным и научным произведениям, изобретениям и

· исполнительской деятельности артиста, звукозаписи, радио- и телепередачам

· промышленным образцам, товарным знакам, знакам обслуживания, фирменным

наименованиям и коммерческим обозначениям

· всему, указанному в остальных пунктах

15. Конфиденциальная информация это

· сведения, составляющие государственную тайну

· сведения о состоянии здоровья высших должностных лиц

· документированная информация, доступ к которой ограничивается в

соответствии с законодательством РФ

· данные о состоянии преступности в стране

16. Какая информация подлежит защите?

· информация, циркулирующая в системах и сетях связи

· зафиксированная на материальном носителе информация с реквизитами,

позволяющими ее идентифицировать

· только информация, составляющая государственные информационные ресурсы

· любая документированная информация, неправомерное обращение с которой

может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу

17. Система защиты государственных секретов определяется Законом

· «Об информации, информатизации и защите информации»

· «О государственной тайне»

18. Государственные информационные ресурсы не могут принадлежать

· всем перечисленным субъектам

19. Из нижеперечисленных законодательных актов наибольшей юридической силой в вопросах информационного права обладает

· Указ Президента «Об утверждении перечня сведений, относящихся к

государственной тайне»

· Закон «Об информации, информатизации и защите информации»

20. Классификация и виды информационных ресурсов определены

· Законом «Об информации, информатизации и защите информации»

· всеми документами, перечисленными в остальных пунктах

21. Определение понятия «конфиденциальная информация» дано в

· 2 Законе «О государственной тайне»

· 3 Законе «Об информации, информатизации и защите информации»

22. Формой правовой защиты литературных, художественных и научных произведений является (. ) право

· авторское

23. Запрещено относить к информации с ограниченным доступом

· законодательные акты, информацию о чрезвычайных ситуациях и информацию о

деятельности органов государственной власти (кроме государственной тайны)

· только информацию о чрезвычайных ситуациях

· только информацию о деятельности органов государственной власти (кроме

· документы всех библиотек и архивов

24. Формой правовой защиты изобретений является

· институт коммерческой тайны

· патентное право

· все, перечисленное в остальных пунктах

25. К коммерческой тайне могут быть отнесены

· сведения не являющиеся государственными секретами

· сведения, связанные с производством и технологической информацией

· сведения, связанные с управлением и финансами

· сведения, перечисленные в остальных пунктах

26. Является ли авторское право, патентное право и КТ формами защиты интеллектуальной собственности?

· да

· только авторское и патентное

· защищенные новшества

· общеизвестные новые технологии

· опубликованные технические и технологические новинки

Читать еще:  Удалить троянский вирус с компьютера

28. Каким законом в РФ защищаются права исполнителей и производителей фонограмм?

· «О правовой охране программ для ЭВМ и баз данных»

· «Об авторском праве и смежных правах»

· «Патентный закон РФ»

· закон еще не принят

29. Закон «Об авторском праве и смежных правах» защищает права

· исполнителей (актеров, певцов и т.д.)

· организации эфирного и кабельного вещания

· всех лиц, перечисленных в остальных пунктах

30. Какой законодательный акт содержит сведения по защите коммерческой тайны?

· Закон «Об авторском праве и смежных правах»

· Закон «О коммерческой тайне»

· Закон «О правовой охране программ для ЭВМ и баз данных»

31. К информации ограниченного доступа не относится

· размер золотого запаса страны

· персональные данные

32. Система защиты государственных секретов

· основывается на Уголовном Кодексе РФ

· регулируется секретными нормативными документами

· определена Законом РФ «О государственной тайне»

· осуществляется в соответствии с п.1-3

33. Действие Закона «О государственной тайне» распространяется

· на всех граждан и должностных лиц РФ

· только на должностных лиц

· на граждан, которые взяли на себя обязательство выполнять требования

законодательства о государственной тайне

· на всех граждан и должностных лиц, если им предоставили для работы закрытые

сведения

34. К государственной тайне относится.

· информация в военной области

· информация о внешнеполитической и внешнеэкономической деятельности государства

· информация в области экономики, науки и техники и сведения в области разведывательной и оперативно-розыскной деятельности

· все выше перечисленное

35. Документы, содержащие государственную тайну снабжаются грифом

· указанным в п.1-3

36. Гриф «ДСП» используется

· для секретных документов

· для документов, содержащих коммерческую тайну

· как промежуточный для несекретных документов

· в учебных целях

37. Порядок засекречивания состоит в установлении следующих принципов:

· целесообразности и объективности

· необходимости и обязательности

· законности, обоснованности и своевременности

· всех выше перечисленных

38. Предельный срок пересмотра ранее установленных грифов секретности составляет

· 5 лет

39. Срок засекречивания сведений, составляющих государственную тайну

· составляет 10 лет

· ограничен 30 годами

Если вам нужна помощь в написании работы, то рекомендуем обратиться к профессионалам. Более 70 000 авторов готовы помочь вам прямо сейчас. Бесплатные корректировки и доработки. Узнайте стоимость своей работы

Вопросы защиты электронной информации

Рубрика: Технические науки

Дата публикации: 09.04.2017 2017-04-09

Статья просмотрена: 462 раза

Библиографическое описание:

Демидова О. В. Вопросы защиты электронной информации // Молодой ученый. — 2017. — №14. — С. 61-63. — URL https://moluch.ru/archive/148/41885/ (дата обращения: 06.04.2020).

Информация окружает нас со всех сторон в жизни, она имеет высокое значение, являясь ключевой в развитии государства и общества. Даже новый этап в развитии общества в настоящее время называется информационным. Развитию информационного общества в России отводится особое значение. Для этого разрабатываются концепции, доктрины и стратегии развития информационного общества, целью которого является, в первую очередь, повышение качества жизни граждан.

Информационное общество характеризуется, прежде всего, высоким уровнем развития информационных и телекоммуникационных технологий и их интенсивным использованием гражданами, бизнесом и органами государственной власти [1]. Это значит, что информация, с которой мы сталкиваемся каждый день, не только выполняя трудовые обязанности, но и внерабочее время, представлена в электронной форме.

В российском законодательстве нет конкретного разъяснения информации, представленной в электронной форме или электронной информации. Определение данному понятию, лишь косвенно, можно получить из Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации». В законе говорится, что информация — это сведения (сообщения, данные) независимо от формы их представления, а в определении такого термина как «электронный документ» сообщается, что информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах [2].

Работа с электронной информацией является основной в деятельности каждой организации, а потому вопросы её защиты всегда актуальны. Защита информации — это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [4].

Существуют различные виды, способы и средства защиты информации. К основным можно отнести:

− правовая защита информации;

− техническая защита информации;

− физическая защита информации;

− криптографическая защита информации.

К правовой защите информации относится защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением [4].

Техническая защита информации — это защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств [4].

К техническим мерам защиты электронной информации можно отнести:

− использование средств физической защиты, включая средства защиты кабельной системы, системы электропитания, средства архивации и копирования информации на внешние носители и т. д.

− организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев;

− разработку программных средств защиты, в том числе антивирусных программ, систем разграничения полномочий, программных средств контроля доступа;

− установку резервных систем электропитания; оснащение помещений замками, установку сигнализации.

Физическая защита информации — это защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты [4].

К способам защиты электронной информации, используя данный вид защиты, можно отнести:

− организация охраны организации;

− тщательный подбор персонала;

− исключение случаев ведения особо важных работ только одним человеком;

− меры защиты, включающие контроль доступа в помещения;

− организация надежной и эффективной системы архивации и дублирования наиболее ценных данных;

− возложение персональной ответственности на конкретных лиц, призванных обеспечить безопасность;

− введение в штат специалистов в области безопасности информации;

− универсальность средств защиты от всех пользователей (включая руководство);

− наличие плана восстановления работоспособности систем после выхода их из строя в случае непредвиденных ситуаций.

Более подробнее хотелось бы рассмотреть такой вид защиты электронной информации как криптографическая защита информации. Она представляет собой защиту информации с помощью ее криптографического преобразования [3]. Одним из самых распространенных средств защиты электронной информации в организациях является использование электронной подписи.

Электронная подпись — это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию [3].

Электронная подпись предназначена для аутентификации лица, подписавшего электронное сообщение. Кроме того, использование ЭП предоставляет возможность обеспечить следующие свойства при передаче в системе подписанного сообщения:

− осуществление контроля целостности передаваемого подписанного сообщения;

− доказательное подтверждение авторства лица, подписавшего сообщение;

− защита сообщения от возможной подделки [5].

Электронная подпись бывает двух видов: простая электронная подпись и усиленная электронная подпись. При этом различаются усиленная неквалифицированная электронная подпись и усиленная квалифицированная электронная подпись.

Для надежной защиты информации в электронной форме, для работы с которой необходимо применение электронной подписи, существует система сертификатов ключа электронной подписи.

Сертификат ключа проверки электронной подписи — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи [3].

Сертификат должен содержать в себе полную информацию о владельце. Сертификату присваивается уникальный номер, а также устанавливается срок его действия. Продолжительность действия сертификата составляет пятнадцать месяцев. Необходимость обновления сертификата связана в первую очередь с уязвимостью электронных документов, необходимостью внесения изменений в данные. Наиболее распространенная форма сертификата ключа смарт-карта, либо USB-носитель.

Сертифицированные средства криптографической защиты, полученные в удостоверяющем центре, не только подтверждают действительность электронной подписи, но и обеспечивают безопасность электронной информации.

Как уже говорилось ранее, на современном этапе развития общества электронная информация является одним из ценных ресурсов мирового сообщества. Практически любая деятельность в организациях тесно связана с получением, накоплением, обработкой, использованием и хранением разнообразных информационных потоков. Потому вопросам защиты электронной информации уделяется большое значение. Наука постоянно развивается, и этот прогресс влияет на все сферы жизни общества, а значит уже в ближайшем будущем можно ожидать более совершенных способов и средств защиты информации, независимо от формы ее представления.

  1. Стратегия развития информационного общества в Российской Федерации. Утв. Президентом РФ 07.02.2008 № Пр-212 // Российская газета. 16.02.2008. № 34.
  2. Федеральный закон Российской Федерации «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ (в ред. 19.12.2016) // Собрание законодательства Российской Федерации. 2006. № 31 (ч. 1). Ст. 3448; 2016. № 52 (ч. 5). Ст. 7491.
  3. Федеральный закон Российской Федерации «Об электронной подписи» от 27.07.2006 № 149-ФЗ (в ред. 23.06.2016) // Собрание законодательства Российской Федерации. 2011. № 15. Ст. 2036; 2016. № 26 (ч. 1). Ст. 3889.
  4. ГОСТ Р 50922–2006 Защита информации. Основные термины и определения. М. Стандартинформ. 2008.
  5. ГОСТ Р 34.10–2012 Информационная технология (ИТ). Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. М. Стандартинформ. 2013.
Читать еще:  Борьба с компьютерными вирусами кратко

Пять нестыдных вопросов про кибербезопасность

С тех пор, как ловкачи с наперстками сменились на наглецов у экранов компьютеров, всем, кто держит в руках телефон с выходом в интернет нужно как азбуку знать правила кибербезопасности. Директор учебного центра «СёрчИнформ» Алексей Дрозд выделил четыре главные ошибки, приводящие к проблемам с кибербезопасностью и дал ответы на самые частые вопросы.

– С началом цифровой эры главные опасности – от банального воровства до буллинга и шантажа исходят из сети. Кажется, что правил кибербезопасности слишком много, чтобы вообще ею заморачиваться. На самом деле есть всего 4 главные ошибки, которых нужно избегать:

  • Установка слабых паролей – взламываются в считанные секунды.
  • Использование одной и той же пары логин/пароль на разных ресурсах, что при компрометации одного сервиса ведет к компрометации и всех остальных.
  • Игнорирование возможностей двухфакторной аутентификации для доступа к сервисам.
  • Излишнее доверие к сайтам и приложениям.

Но обо всем по порядку в вопросах и ответах.

1. В сети слишком много советов о паролях. Все-таки: какой пароль безопасный, как часто его менять, позволять ли браузеру его запоминать?

Принято считать, что нужно менять пароль раз в месяц. Но это требование хорошо, если предположить, что каждый раз человек меняет пароль на новый криптостойкий. Но человеческий мозг устроен так, что при необходимости постоянно удерживать в голове новые коды, начинает выкручиваться.

Как выяснили киберэксперты, каждый новый пароль пользователя в этой ситуации становится слабее предыдущего. Один из выходов – использовать сложные пароли, менять их раз в месяц, но использовать для хранения специальное приложение, использовать двухфакторную аутентификацию везде, где это возможно. Но я сам придерживаюсь другого правила. У меня три пароля. Один уникальный, который я использую только для защиты финансового сервиса, он больше нигде и никогда не фигурирует. Второй – для других важных сервисов вроде почты. Третий пароль – для аккаунтов, взлом которых будет не столь критичен, например, Facebook.

Попробовать бесплатно продукты «СёрчИнформ»

Самыми надежными сейчас считают парольные фразы. Это какое-то относительно бессмысленное, но легко запоминающееся предложение, которое набирается в другой раскладке. Наличие в ней цифр, символов и прописных букв, конечно, только усилит пароль.

Что касается запоминания в браузере – это, действительно, не лучший выход. Как только человек нажимает кнопку «запомнить пароль», он забывает свой пароль сам. Но самое главное, если браузер будет скомпрометирован, к злоумышленнику попадет не один пароль, который вы вбиваете руками (в этом нет ничего страшного при условии двухфакторной аутентификации), а все пароли, которые вы когда-то сохранили.

2. Как не создать себе проблемы, устанавливая приложения на телефон? Чего нельзя разрешать приложениям?

Скачивать приложение только из официальных магазинов – это главное требование безопасности. AppStore и GooglePlay не гарантируют полной безопасности, но они все-таки проводят минимальную проверку производителя и приложения. Вероятность скачать из неофициальных источников вредоносное или фальшивое приложение гораздо выше.

При установке обращайте внимание на разрешения, которые хочет получить приложение. Они должны быть обоснованы тем, что предполагает функционал приложения. Понятно, что для Instagram нужен доступ к фотографиям, а вот для приложения «фонарик» – нет. Если можно отказаться от разрешений, и это не повлияет на функциональность сервиса, лучше это сделать. Если нет, и приложение хочет слишком много – лучше отказаться от него вовсе. Следует также обращать внимание, какие новые права получает приложение при обновлении.

Отключите автосинхронизацию с облачными сервисами, кроме случаев, когда она действительно необходима.

Используйте антивирус и задействуйте системные средства повышения безопасности. Они есть как в виде отдельного ПО, так и в виде эксклюзивного контента для отдельных моделей телефонов (например, DTEK для Blackberry).

Выбор в пользу платных приложений – тоже хороший вариант повысить уровень безопасности. Разработчики таких сервисов мотивированы лучше их защищать и имеют меньше соблазнов монетизироваться за счет ваших данных, то есть продавать данные на сторону.

3. Говорят, если не ставить на телефон приложение банка, вероятность, что мошенники доберутся до счета, меньше. Так ли это?

Да, сам придерживаюсь этого мнения. Хотя бы потому, что чем меньше «точек доступа» к вашим деньгам, тем лучше. Да, удобнее контролировать финансы прямо с телефона, но я исхожу из того, что если мой телефон будет скомпрометирован, злоумышленник получит доступ и к приложению, и к смс-сообщениям, которые используются для двухфакторной аутентификации для подтверждения легитимности платежа. Поэтому я сам для управления счетом использую онлайн-банкинг на компьютере, даже если браузер окажется скомпрометирован, остается второй канал – смс.

Что касается безопасности самого банковского приложения, этот вопрос целиком и полностью на совести банка. Как правило, банки очень серьезны относительно безопасности своих сервисов, так как это и их риски тоже, они совершенствуют их. Приложения проходят тщательный анализ безопасности кода, зачастую привлекаются внешние именитые эксперты. Банк может заблокировать доступ к приложению, если вы сменили симку или даже переставили ее в соседний слот смартфона. Некоторые, самые защищенные приложения, даже не запускаются, пока не выполнены требования безопасности, например, если телефон не запаролен.

Конечно, это не означает, что приложения защищены на 100%. Даже в лучших обнаруживаются уязвимости, поэтому необходимо регулярное обновление, которые закрывают периодически открывающиеся уязвимости. О самых крупных пишут xakep.ru, anti-malware.ru, securitylab.ru и тому подобные специализированные СМИ.

4. Можно ли подключаться к открытым вайфай-точкам в торговых центрах, аэропортах, кафе?

Общественные Wi-Fi-точки – источник опасности. Можно долго расписывать, какие риски несет в себе использование подобных точек, но я ограничусь лишь одной фразой: MITM-атака. Но риск сводится к минимуму, если соблюдать простые правила безопасности:

  • убедиться, что точка доступа принадлежит кафе/аэропорту/ТЦ, а не хакеру. Легальная просит ввести номер телефона и высылает смс для входа;
  • использовать VPN-подключение для доступа в сеть. Он, собственно, и был придуман для того, чтобы безопасно выходить в интернет через небезопасные точки доступа;
  • если не знаете, как выполнить п. 1 и п. 2, лучше через такое соединение не передавать данные, а использовать интернет только «в режиме чтения» — для посещения сайтов и сервисов, где сообщать о себе ничего не требуется.

5. Для регистрации в игре или тесте нас просят оставить свои персональные данные. Кто их собирает и для чего использует?

Разработчика теста «какая вы принцесса», конечно, мало интересует, вы принцесса Белль или Ариэль. Их интересует та информация из социальной сети, к которой вы даете доступ приложению: личные данные, списки друзей и так далее. Собственно, данные – это и есть ваша плата за комфорт и возможность этим приложением/сервисом пользоваться.

Самые крупные «игроки» белого рынка и одновременно крупнейшие сборщики данных – это не разработчики тестов и игр, а корпорации вроде Apple и Google. У них скапливаются данные практически обо всех ваших движениях в интернете. Это неприятно, но не смертельно. Гораздо хуже, когда данные попадают и вовсе непонятно кому. В этом случае спектр применения данных может быть огромным. Чаще всего они используются в маркетинговых целях: какую рекламу предложить, как заставить совершить дополнительную покупку и так далее. И все же разглашение определенных личных данных может быть вполне чувствительным.

Важно помнить: все, что ушло в интернет, там и останется. Даже мессенджеры синхронизируют данные с облачными хранилищами. Поэтому я бы советовал не оставлять в сети информацию, которая может дискредитировать вас, вызвать проблемы при обнародовании, давать возможность для шантажа.

Ссылка на основную публикацию
Adblock
detector