Дело мастера боится

Подведем итог. Основными принципами — метауровнем — защиты информации являются: авторизация, адекватная защита информации в целом, предотвращение потери данных, обнаружение нарушенной защиты, возможность восстановления по резервной копии и принцип избыточной защиты в узловых (не рабочих) точках. Если соблюдать все эти простые принципы, то вероятность потери информации с вашего компьютера значительно снизится. Однако теория теорией, но что же нужно делать? Как на практике реализовать общие принципы защиты? Вкратце пробежимся по основным методам. Важно при выполнении этих методов помнить о том, как работает метауровень контроля системы: только при выполнении всех правил система будет достаточно защищена. Если вы пропускаете хотя бы один пункт, вы ослабляете всю систему.
1. После установки операционной системы и необходимого софта, конфигурирования всего и вся создайте образ диска (например, с помощью утилиты PowerQuest Drive Image или другой аналогичной программы). Так вы сможете быстро восстановить операционную систему при сбоях.

2. Не оставляйте на компьютере учетные записи пользователей по умолчанию (для всех Гостей), отключите их. Лучше заведите для каждого, кто пользуется компьютером, свою учетную запись и назначьте соответствующие права для каждого пользователя. Это займет пять минут вашего времени, но вы не только закроете доступ к важной информации, но и уменьшите риск вредоносных действий программных закладок и других опасных программ.

3. Задайте для директорий с важными документами разграничение доступа. Так вы защитите документы от нежелательного просмотра, а также предотвратите их случайное удаление или изменение.

4. Храните резервные копии самых важных документов на внешнем носителе.

5. Избегайте простых и примитивных паролей. Пароли типа “QWERTY”, “ВАСЯ”, “SEX” и подобные им подбираются в течение нескольких секунд. Лучше всего задавайте нетривиальные пароли, состоящие не менее чем из 9—12 символов и состоящие как из букв, так и цифр.

6. Подключите компьютер к сети через стабилизатор напряжения, а лучше — через источник бесперебойного питания. Этим вы снизите вероятность того, что после очередного скачка напряжения важная информация будет уничтожена.

7. Используйте антивирусное программное обеспечение и регулярно его обновляйте.

8. Не публикуйте в интернете подробную информацию о себе. Используя эти данные, злоумышленники могут подобрать пароль к ящику электронной почты или совершить какое-либо противоправное действие от вашего имени. Конечно, оправдаться вы сможете, но нервы вам помотают основательно.

В 8 случаев из 10 дыры в системе безопасности обусловлены тем, что пользователи пренебрегают базовыми принципами защиты информации. То есть метауровнем контроля над системой. Пренебрегают, потому что считают принципы банальными, очевидными и поэтому не заслуживающими внимания. Рядовой юзер ошибочно полагает: “если просто, значит, неэффективно”. Это стандартное умозаключение, свойственное новичкам в любой области знаний и умений. Они просто не принимают в расчет тот факт, что в основе работы любой системы лежат именно “банальные” принципы.

Еще один важный нюанс: если вы не уверены в том, как производится та или иная операция, лучше уточните у профессионалов. Это сэкономит ваше время и, самое главное, нервы.

Работая на компьютере, постоянно держите в голове основные принципы защиты информации, следуйте им — и тогда никакой вирус, никакая хакерская атака или скачок напряжения не смогут поколебать ваше спокойствие. Ведь вы будете уверены, что информация на вашем компьютере не пострадает.

5. Свойства защищенной системы обработки информации. (http://gpo.keva.tusur.ru/pmwiki/index.php/G5222/Gos6)

Защищенная система обработки информации должна обладать следующими свойствами: № Осуществление автоматизации некоторого процесса обработки конфиденциальной информации, включая все аспекты этого процесса, связанные с обеспечением безопасности информации. № Успешное противостояние угрозам безопасности, действующими в определенной среде. № Соответствие требованиям и критериям стандартов информационной безопасности. Если основная цель внедрения информационных технологий – автоматизировать процесс обработки информации, то частная задача автоматизации – обеспечить адекватную реализацию в компьютерной системе схемы информационных потоков и правил управления ими, существовавших до применения компьютерных средств.

Стандарты информационной безопасности. Основные понятия и определения. Угрозы безопасности компьютерных систем.

Международные стандарты

• BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
• BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
• BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
• ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
• ISO/IEC 27000 — Словарь и определения.
• ISO/IEC 27001:2005 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
• ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. Дата выхода — 2007 год.
• ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
• German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

• ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.
• Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.
• ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
• ГОСТ Р 51275-99 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
• ГОСТ Р ИСО/МЭК 15408-1-2002 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
• ГОСТ Р ИСО/МЭК 15408-2-2002 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
• ГОСТ Р ИСО/МЭК 15408-3-2002 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
• ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
• ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005.
• ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.
• ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.

Руководящие документы

• РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.

Стандартизированные определения

Безопасность информации (данных) — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

Информационная безопасность — защита конфиденциальности, целостности и доступности информации.

• Конфиденциальность: обеспечение доступа к информации только авторизованным пользователям.
• Целостность: обеспечение достоверности и полноты информации и методов её обработки.
• Доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность (англ. information security) — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации (данных) (англ. information (data) security) — состояние защищенности информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы— состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.

Информационная безопасность - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура - системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т.д., а также обслуживающий персонал. Неприемлемый ущерб - ущерб, которым нельзя пренебречь.

Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

• конфиденциальность (англ. confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
• целостность (англ. integrity) — избежание несанкционированной модификации информации;
• доступность (англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

• неотказуемость или апеллируемость (англ. non-repudiation) — невозможность отказа от авторства;
• подотчётность (англ. accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;
• достоверность (англ. reliability) — свойство соответствия предусмотренному поведению или результату;
• аутентичность или подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.