Онлайн-журнал о безопасности дома
HomeИнформационная безопасность

Информационная безопасность

Содержание:

Насколько неуязвим искусственный интеллект?

Сегодня искусственные нейронные сети лежат в основе многих методов «искусственного интеллекта». При этом процесс обучения новых нейросетевых моделей настолько поставлен на поток (благодаря огромному количеству распределенных фреймворков, наборов данных и прочих «заготовок»), что исследователи по всему миру с легкостью строят новые «эффективные» «безопасные» алгоритмы, порой даже не вдаваясь в то, что в результате получилось. В отдельных случаях это может приводить к необратимым последствиям на следующем шаге, в процессе использования обученных алгоритмов. В сегодняшней статье мы разберем ряд атак на искусственный интеллект, как они устроены и к каким последствиям могут приводить.

Этапы организации защиты информации и ее способы

Организация защиты информации и коммерческой тайны предприятия включает в себя обязательное выполнение следующих этапов:

  1. Определение предмета защиты. На данном этапе необходимо разработать перечень сведений, которые составляют коммерческую тайну предприятия. Она содержит наиболее ценную информацию, которая нуждается в усиленной охране и защите. Также на данном этапе учитываются требования по защите других организаций, что принимают участие в совместных работах.
  2. На следующем этапе организации защиты информации необходимо установить периоды существования определенных сведений, которые составляют коммерческую тайну.
  3. Далее необходимо определить категории носителей ценной информации: персонал, внутренняя документация, материалы и изделия; физические излучения, а также технические средства обработки, хранения и передачи ценной информации. Для того чтобы организовать правильное восприятие формируемой системы защиты, на данном этапе разрабатывается соответствующая схема, где установлены конкретные сотрудники, что осведомлены о коммерческой тайне.
  4. Далее необходимо перечислить стадии выполняемых работ и время материализации коммерческой тайны применительно к пространственным зонам.
  5. На следующем этапе необходимо составить схему с указанием конкретных сведений в пределах предприятия и вне его.
  6. После этого необходимо рассмотреть допустимые для компании несанкционированные перемещения, что можно использовать с целью овладения конкурентами коммерческой тайной. Эти перемещения корректируются или разрабатываются в процессе осуществления анализа разрешительных подсистем допуска и допуска к определенным сведениям, что составляют коммерческую тайну.
  7. На следующем этапе устанавливается, кто имеет право реализовать мероприятия и, кто несет ответственность за защиту определенной информации. Также планируются координационные меры и назначаются конкретные исполнители.
  8. В завершении намечаются действия, которые направлены на стимулирование и активизацию лиц, что задействованы в организации защиты информации предприятия. Обязательно проверяется надежность мер обеспечения защиты информации, которые приняты к реализации.

Предприниматели России в процессе организации защиты информации используют такие способы:

  • Законодательная защита, которая подразумевает соблюдение тех прав юридического лица на защиту конфиденциальной информации, что предусмотрены действующим законодательством РФ. Если эти права будут нарушены, предприниматель может обратиться в соответствующие органы для того, чтобы восстановить нарушенные права и возместить убытки.
  • Физическая защита информации подразумевает реализацию пропускного режима, который установлен на предприятии, а также охрану и использование специальных гостевых карточек, секретных шкафов и закрывающихся сейфов для посторонних.
  • Организационная защита подразумевает создание должности, которая будет нести ответственность за отнесение определенной информации к категории конфиденциальной, а также за соблюдение правил доступа и пользования этих информационных данных.
  • Техническая защита – это применение технических средств защиты и контроля (микрофоны, видеокамеры, сигнализирующие устройства, средства идентификации и защиту программных комплексов предприятия от несанкционированного вмешательства.

Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого
числа компонентов различной степени автономности, которые связаны между собой
и обмениваются данными. Практически каждый компонент может подвергнуться
внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной
системы можно разбить на следующие группы:

  • аппаратные средства — компьютеры и их составные части (процессоры,
    мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры,
    кабели, линии связи и т.д.);
  • программное обеспечение — приобретенные программы, исходные,
    объектные, загрузочные модули; операционные системы и системные программы
    (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
  • данные — хранимые временно и постоянно, на магнитных носителях,
    печатные, архивы, системные журналы и т.д.;
  • персонал — обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить
на случайные и преднамеренные. Анализ опыта проектирования, изготовления и
эксплуатации информационных систем показывает, что информация подвергается
различным случайным воздействиям на всех этапах цикла жизни системы. Причинами
случайных воздействий при эксплуатации могут быть:

  • аварийные ситуации из-за стихийных бедствий и отключений электропитания;
  • отказы и сбои аппаратуры;
  • ошибки в программном обеспечении;
  • ошибки в работе персонала;
  • помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия — это целенаправленные действия нарушителя.
В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник.
Действия нарушителя могут быть обусловлены разными мотивами:

  • недовольством служащего своей карьерой;
  • взяткой;
  • любопытством;
  • конкурентной борьбой;
  • стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

  • квалификация нарушителя на уровне разработчика данной системы;
  • нарушителем может быть как постороннее лицо, так и законный пользователь
    системы;
  • нарушителю известна информация о принципах работы системы;
  • нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений
является несанкционированный доступ (НСД). НСД использует любую
ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их
некорректной установке и настройке.

Проведем классификацию каналов НСД, по которым можно осуществить
хищение, изменение или уничтожение информации:

  • Через человека:
    • хищение носителей информации;
    • чтение информации с экрана или клавиатуры;
    • чтение информации из распечатки.
  • Через программу:
    • перехват паролей;
    • дешифровка зашифрованной информации;
    • копирование информации с носителя.
  • Через аппаратуру:
    • подключение специально разработанных аппаратных средств, обеспечивающих
      доступ к информации;
    • перехват побочных электромагнитных излучений от аппаратуры, линий связи,
      сетей электропитания и т.д.

Особо следует остановиться на угрозах, которым могут подвергаться
компьютерные сети. Основная особенность любой компьютерной сети состоит в том,
что ее компоненты распределены в пространстве. Связь между узлами сети
осуществляется физически с помощью сетевых линий и программно с помощью
механизма сообщений. При этом управляющие сообщения и данные, пересылаемые
между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так
называемые удаленные атаки. Нарушитель может находиться за тысячи
километров от атакуемого объекта, при этом нападению может подвергаться
не только конкретный компьютер, но и информация, передающаяся по сетевым
каналам связи.

Правила безопасности

Есть несколько обязательных правил информационной безопасности, которые соблюдать просто необходимо (2014 г.).

Заслон от вирусов и спама

Заслон для вирусов и спама. Самую большую угрозу безопасности компании, по данным экспертов, представляет вредоносное ПО. На август 2014 года ежедневно появляется около 200 тыс. новых его образцов. По данным участников ИБ-рынка, в 2013 году 95% российских компаний по меньшей мере один раз подверглись хакерской атаке. Не менее серьезной угрозой является утечка в результате незащищенного обмена корпоративной информацией через мобильные устройства сотрудников.

Чтобы не допустить возникновения этих угроз, необходимо отказаться от «левого» софта, установить файрвол и современный антивирус, регулярно обновлять его.

Компьютер для ДБО использовать только для ДБО

Компьютер, на котором установлено ДБО, необходимо отключить от локальных сетей. Выходить в интернет с него, кроме как для связи с банком, нельзя.

Не пользоваться соцсетями и открытым Wi-Fi с рабочих компьютеров

Если в работе или для хранения информации используются смартфоны и планшетные компьютеры, не надо выходить с них в социальные сети и пользоваться общедоступным Wi-Fi.

Ключи и пароли держать под замком

Часто руководители СМБ сами дают карты в руки мошенникам, держа ключи от ДБО и электронной подписи в доступном месте.

Эти сведения необходимо хранить в сейфе или другом надежном месте, доступ посторонних к ним должен быть запрещен.

Корпоративные данные должны храниться на удаленном сервере

Коммерческие и персональные данные лучше всего доверить облачным сервисам. Это безопаснее, чем в папке на столе или компьютере, на флешке или съемном диске. Данные в дата-центрах хранятся в зашифрованном виде, и добраться до них можно только с помощью электронных ключей и цифровой подписи.

Разграничить доступ к данным между сотрудниками

Важно также предупредить и внутренние угрозы – умышленные или случайные нарушения политики информационной безопасности сотрудниками компании. Эти риски можно минимизировать, установив доступ к корпоративной информации в зависимости от уровня полномочий сотрудников

Например, менеджер по продажам располагает сведениями только о своих клиентах, а полная база и вся история продаж будет доступна только начальнику отдела продаж. Главный бухгалтер должен иметь доступ только к бухгалтерской отчетности, а управленческая отчетность будет доступна только гендиректору. Конечно, в маленькой компании добиться полного обособления функций сложно, но попытаться разграничить потоки информации между сотрудниками все-таки необходимо. Все это также снизит вероятность утечки данных.

Предотвращение cross-site tracking в Safari на MacOs

Каждый раз, когда вы посещаете сайт, он собирает данные о вашем устройстве — такие как системные настройки — и использует эти данные для отображения страницы адаптированной под ваше устройство. Некоторые компании пытаются использовать эти данные для идентификации именно вашего устройства — это называется снять отпечаток (fingerprinting). Во избежание этого Сафари предоставляет упрощенную версию конфигурации вашей системы. Ваш Мак будет похож на большинство других Маков, что серьезно снижает возможности следящих программ, трекеров, надежно идентифицировать ваше устройство.

Виды безопасности

  • Авиационная безопасность
  • Безопасность дорожного движения
  • Безопасность движения на железнодорожном транспорте
  • Безопасность полетов
  • Биологическая безопасность
  • Военная безопасность
  • Государственная безопасность
  • Безопасность систем управления
  • Информационная безопасность
  • Компьютерная безопасность
  • Национальная безопасность
  • Охрана труда
  • Пожарная безопасность
  • Половая безопасность
  • Промышленная безопасность
  • Радиационная безопасность
  • Теория национальной безопасности
  • Техника безопасности
  • Техносферная безопасность
  • Экономическая безопасность
  • Экологическая безопасность
  • Электрическая безопасность
  • Энергетическая безопасность
  • Ядерная безопасность

Какие человеческие качества способствуют повышению уровня психологической защищенности?

Уровень психической безопасности зависит от индивидуальных черт личности человека. Его можно повысить, развивая необходимые качества:

  1. Психическая устойчивость. Мнительность, переменчивость мнения — причины нестабильной психики и боязни любой угрозы.
  2. Высокая самооценка. Уверенного в себе человека сложнее запугать, его способность к оценке реальности адекватнее.
  3. Критическое мышление. Умение отличать реальную угрозу от субъективной неправильной оценки обеспечивает возможность предусмотреть свои действия.

Психически слабый, зависимый человек склонен к бессознательной потере чувства безопасности. Неразличимое чувство тревоги мешает доверять миру. У него формируется враждебное, негативистское поведение.

Поэтому повышение уровня личной психологической безопасности зависит от желания самого индивида усовершенствовать защитные навыки

В процессоры Intel, AMD и Qualcomm добавят чип безопасности Pluton от Microsoft вместо TPM. Право на ремонт под угрозой?

На днях стало известно о том, что сразу три крупных производителя чипов: Intel, AMD и Qualcomm, планируют встраивать в свои процессоры новый чип безопасности Pluton. Он разрабатывался совместно с корпорацией Microsoft, и в будущем заменит собой используемый в настоящее время модуль TPM. Во всяком случае, о таких перспективах рассказали производители.
Что касается Pluton, то этот чип базируется на технологиях, которые корпорация Microsoft разработала для системы защиты своей игровой консоли Xbox One. Цель, которую преследовала Microsoft — не дать пиратам взломать игровую приставку и предотвратить запуск пиратских же игр.

Основные средства защиты информации: классификация

Средства обеспечения защиты информации по вопросам предотвращения и минимизации преднамеренных действий разделяются на несколько категорий (в зависимости от способа их реализации):

  1. Технические или аппаратные средства. Сюда можно отнести различные по типу устройства (электронные, электромеханические, механические), которые решают задачи по защите информации при помощи аппаратных средств. К аппаратным средствам защиты информации относятся: сетевые фильтры, генераторы шума, сканирующие радиоприемники и другие устройства, которые перекрывают возможные каналы утечки информации или те, которые позволяют их обнаружить. Главными преимуществами аппаратных средств зашиты информации являются надежность, независимость от субъективных факторов, а также высокая устойчивость к модификации. Слабыми сторонами технических средств являются высокая стоимость, относительно большие масса и объем, а также недостаточная гибкость.
  2. Программные средства. Сюда можно отнести средства, которые включают программы для контроля доступа, для идентификации пользователей, шифрования информации, тестового контроля системы защиты, а также удаление остаточной информации типа временных файлов. Главными преимуществами программных средств защиты информации являются гибкость, универсальность, простота установки, надежность, а также способность к развитию и модификации. Недостатками программных средств являются использование части ресурсов файл-сервера и рабочих станций, ограниченная функциональность сети, высокая чувствительность к преднамеренным или случайным изменениям, а также возможная зависимость от типов персональных компьютеров и их аппаратных средств.
  3. Смешанные аппаратно-программные средства. Данные средства реализуют все те же функции, что и аппаратные и программные средства по отдельности, но кроме этого они обладают промежуточными свойствами.
  4. Организационные средства. Эти средства защиты информации складываются из организационно-правовых (государственные законодательства и правила работы, которые устанавливаются руководством конкретной организации) и организационно-технических средств (подготовка помещений с ПК, прокладка кабельной системы с учетом ограничений доступа к ней). Главные преимущества организационных средств информационной защиты являются заключаются в том, что они просты в реализации, позволяют решать множество различных проблем, а также имеют неограниченные возможности развития и модификации. Основные недостатки: большая зависимость от субъективных факторов, в том числе и от организации работы в конкретном подразделении предприятия.

По степени доступности и распространения выделяются программные средства, иные же средства защиты информации используются только в тех случаях, когда необходимо обеспечить дополнительный уровень защиты.

Обязательные требования к системе ИБ безналичных платежей

  • внедрение передовых практик по управлению IT и инфраструктурой;
  • создание комплексной системы защиты информации.
Защита персональных данных.
Основание – в платежных документах есть персональные данные (Ф.И.О. плательщика / получателя, его адрес, реквизиты документа, удостоверяющего личность)
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ КоАП РФ Статья 13.11, КоАП РФ Статья 13.12 – до 75 тыс. руб. штраф.,УК РФ Статья 137 – до 2 лет лишения свободы
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375)
Указание Банка России от 10 декабря 2015 г. № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных”
Обеспечение защиты информации в национальной платежной системе.
Основание – кредитная организация, выполняющая переводы денежных средств, является частью национальной платежной системы.
Федеральный закон «О национальной платежной системе» от 27.06.2011 № 161-ФЗ
Постановление Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе»
Положение Банка России от 9 июня 2012 г. N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
Положение Банка России от 24 августа 2016 г. № 552-П «О требованиях к защите информации в платежной системе Банка России»
Эксплуатационная документация на СКЗИ СКАД Сигнатура
Обеспечение безопасности критической информационной инфраструктуры Российской Федерации.
Основание – банк в силу п.8 ст. 2 ФЗ от 26.07.2017 № 187-ФЗ является субъектом критической информационной инфраструктуры
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» УК РФ Статья 274.1 – до 8 лет лишения свободы
Постановление Правительства РФ от 08.02.2018 N 127
»Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
Приказ ФСТЭК России от 21.12.2017 N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (Зарегистрировано в Минюсте России 22.02.2018 N 50118)
Приказ ФСТЭК России от 06.12.2017 N 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» (Зарегистрировано в Минюсте России 08.02.2018 N 49966)
Указ Президента РФ от 22.12.2017 N 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
Требования по защите информации, установленные договором об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России.
Основание – данный договор заключают все кредитные организации для электронного обмена платежными документами с Банком России.
Типовой договор обмена ЭС с приложениями. Документация на АРМ КБР, УТА (требования их использовании отражены в п.1. Приложения 3 к Договору) п. 9.5.4 Договора – одностороннее расторжение договора по инициативе Банка России.
  1. СТО БР ИББС. Стандарт и комплекс сопутствующих документов имеет силу только в случае его добровольного принятия кредитной организацией.
  2. PCI DSS. Стандарт будет действовать, только если в платежных документах передаются полные не маскированные номера платежных карт (PAN).
  3. Корпоративная политика информационной безопасности. Требования актуальны для больших банковских групп, где единая политика ИБ устанавливается в отношении всех банков группы и где каждый банк должен разрабатывать на ее базе внутренние документы.

АВЗ.1АВЗ.2Письмо Банка России от 24.03.2014 N 49-ТЗИС.17

Физические способы обеспечения информационной безопасности

Физические меры защиты — это разного рода механические, электро- и электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам информационной системы и охраняемой информации. В перечень физических способов защиты информации входят:

  • организация пропускного режима;
  • организация учёта, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
  • распределение реквизитов разграничения доступа;
  • организация скрытого контроля за деятельностью пользователей и обслуживающего персонала информационной системы;
  • мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях аппаратного и программного обеспечения.

Когда физические и технические способы недоступны, применяются административные меры обеспечния информационной безопасности. Опыт функционирования организаций со сложной организацией информационной системы показал, что наилучшие результаты в достижении информационной безопасности достигаются при использовании системного подхода.

Обеспечение информационной безопасности

Формирование режима информационной безопасности — проблема комплексная.
Меры по ее решению можно подразделить на пять уровней:

  1. законодательный (законы, нормативные акты, стандарты и т.п.);
  2. морально-этический (всевозможные нормы поведения, несоблюдение которых
    ведет к падению престижа конкретного человека или целой организации);
  3. административный (действия общего характера, предпринимаемые руководством
    организации);
  4. физический (механические, электро- и электронно-механические препятствия
    на возможных путях проникновения потенциальных нарушителей);
  5. аппаратно-программный (электронные устройства и специальные программы
    защиты информации).

Единая совокупность всех этих мер, направленных на противодействие угрозам
безопасности с целью сведения к минимуму возможности ущерба, образуют систему
защиты.

Надежная система защиты должна соответствовать следующим принципам:

  • Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
  • Каждый пользователь должен иметь минимальный набор привилегий, необходимый
    для работы.
  • Защита тем более эффективна, чем проще пользователю с ней работать.
  • Возможность отключения в экстренных случаях.
  • Специалисты, имеющие отношение к системе защиты должны
    полностью представлять себе принципы ее функционирования и в случае
    возникновения затруднительных ситуаций адекватно на них реагировать.
  • Под защитой должна находиться вся система обработки информации.
  • Разработчики системы защиты, не должны быть в числе тех, кого эта система
    будет контролировать.
  • Система защиты должна предоставлять доказательства корректности
    своей работы.
  • Лица, занимающиеся обеспечением информационной безопасности, должны нести
    личную ответственность.
  • Объекты защиты целесообразно разделять на группы
    так, чтобы нарушение защиты в одной из групп не влияло на безопасность других.
  • Надежная система защиты должна быть полностью протестирована и согласована.
  • Защита становится более эффективной и гибкой, если она
    допускает изменение своих параметров со стороны администратора.
  • Система защиты должна разрабатываться, исходя из предположения, что
    пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие
    намерения.
  • Наиболее важные и критические решения должны приниматься человеком.
  • Существование механизмов защиты должно быть по возможности скрыто от
    пользователей, работа которых находится под контролем.
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Рекомендуем
0
Гидроэлеватор г-600: устройство и принцип действия
0
Пожарный треугольник огня (горения), пожарный тетраэдр
0
Обваловка емкостей
0
Зарплата пожарного
Гост 21.508-93 система проектной документации для строительства (спдс). правила выполнения рабочей документации генеральных планов предприятий, сооружений и жилищно-гражданских объектов (с поправкой)
0
План тушения пожара
0
Аварии с выбросом опасных химических веществ: примеры
0
Гост р 42.4.03-2015 гражданская оборона. защитные сооружения гражданской обороны. классификация. общие технические требования
0
Безопасность с помощью пожарного ящика для песка
Примеры и сравнительная характеристика естественных и искусственных экосистем
Онлайн-журнал о безопасности дома
Нашли ошибку, неточность или опечатку в тексте?
Выделите её и нажмите Ctrl + Enter Система Orphus
Adblock
detector