какие три способа можно использовать для обеспечения конфиденциальности информации

CISCO Cybersecurity Essentials 2018
Контрольная работа по главе 2

Что из перечисленного относится к первой грани куба кибербезопасности?
цели

Как называется защищенная виртуальная сеть, существующая внутри общедоступной сети?
VPN

Назовите три принципа проектирования, благодаря которым достигается высокая доступность. (Выберите три варианта.) обеспечение надежного механизма переключения на резервные ресурсы выявление отказов по мере их возникновения исключение единых точек отказа

Как называют устройство хранения данных, подключенное к сети?
NAS

Назовите два метода обеспечения доступности систем. (Выберите два варианта.) своевременное обновление операционных систем обслуживание оборудования

Назовите три метода идентификации, применяемые в процессе аутентификации. (Выберите три варианта.) фактор знания фактор свойства фактор владения

Назовите три средства контроля доступа. (Выберите три варианта.) учет авторизация аутентификация

Назовите две наиболее распространенные хеш-функции. (Выберите два варианта.) SHA MD5

Какой механизм определяет перечень доступных пользователю ресурсов и операций? учет авторизация

Назовите два метода проверки целостности данных. (Выберите два варианта.) хэширование проверка согласованности данных

Назовите два метода обеспечения конфиденциальности. (Выберите два варианта.) невозможность отказа шифрование аутентификация

К какой категории относятся законы в сфере кибербезопасности, регулирующие раскрытие организациями конфиденциальной информации о вас?
конфиденциальность персональных данных

Какой из принципов подразумевает исключение доступа неавторизованных лиц, ресурсов и процессов к информации? конфиденциальность

Как называется механизм передачи информации с одного устройства на другое с помощью съемного носителя? перенос данных вручную

Как называется действие, в результате которого первоначальные данные изменяются (путем изменения пользователями вручную, обработки и изменения этих данных приложениями или их изменения в результате отказа оборудования)? модификация

Назовите три задачи, которые должна решать комплексная политика безопасности. (Выберите три варианта.) установление правил ожидаемого поведения определение правовых последствий нарушений создание инструментов управления для специалистов по информационной безопасности

Какой механизм можно применить в организации в качестве средства защиты от непреднамеренного изменения информации авторизованными пользователями? управление версиями

Каковы три основных принципа кибербезопасности? (Выберите три варианта.) конфиденциальность доступность целостность

Назовите три состояния данных. (Выберите три варианта.) неактивные передаваемые обрабатываемые

Назовите три вида конфиденциальной информации. (Выберите три варианта.) публичная персональные данные государственная тайна коммерческая информация

Источник

ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ

В Российской Федерации конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определенным сведениям (сообщениям, данным) независимо от формы их представления, требование не передавать их третьим лицам, без согласия лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Выше был приведен список сведений, которые относят к конфиденциальным. Но закон «Об информации» разрешает обладателю информации наделять её статусом конфиденциальности самостоятельно.

К нарушениям конфиденциальности информацию можно отнести:

хищение (копирование) информации и средств ее обработки;

утрата (неумышленная потеря, утечка) информации и средств ее обработки.

Доступность информации – это свойство информации быть доступной для аутентифицированных законных ее владельцев или пользователей.

Нарушения при обеспечении доступности:

уничтожение информации и средств ее обработки.

Целостность информации – это свойство информации быть неизменной в семантическом смысле при воздействии на нее случайных или преднамеренных искажений, или разрушающих воздействий.

Нарушения при обеспечении целостности:

модификация (искажение) информации;

отрицание подлинности информации;

навязывание ложной информации.

2.ОТВЕТСТВЕННОСТЬ ЗА ПОСЯГАТЕЛЬСТВО НА ИНФОРМАЦИЮ

Правонарушения, связанные с хищением информации, могут принимать различные формы в зависимости от характера системы, в отношении которой осуществляется несанкционированный доступ. Информация, являющаяся объектом преступного посягательства, может быть отнесена к одному из четырех типов: персональные данные; корпоративная информация, составляющая коммерческую тайну; объекты интеллектуальной собственности и материалы, защищенные авторским правом; глобальная информация, имеющая значение для развития отраслей промышленности, экономики отдельных регионов и государств.

Кроме охраны от несанкционированного доступа очень важно обеспечить целостность коммерческой информации в информационной системе и ее доступность на законных основаниях.

Значение целостности информации очевидно, например, при осуществлении платежей посредством передачи электронных документов по открытым каналам связи, заключении договоров аналогичным образом. Доступность информационного ресурса означает получение законным пользователем запрошенных данных в приемлемое время.

Как уже говорилось, большинство организаций имеют доступ к сети Интернет. Последняя, в свою очередь, будучи открытой информационной средой, представляет широкие возможности для различных злоумышленных действий, в том числе в отношении информационных ресурсов конфиденциального характера [1].

Выделим две наиболее серьезные угрозы, которые таит в себе доступ к информации через компьютерные сети.

2.1. Обеспечение конфиденциальности информации

Защита информации осуществляется с помощью средств, методов и организационных мероприятий, исключающих несанкционированный доступ к конфиденциальной информации, ее раскрытие, изменение, уничтожение или хищение. Для защиты информации создается система защиты информации, которая включает: физические и технические (программные и аппаратные) средства защиты; организационные мероприятия; совокупность специальных мер правового и административного характера; специальный персонал, выполняющий функции обеспечения безопасности автоматизированных систем. Система должна предупреждать несанкционированный доступ к хранящейся, обрабатываемой или передаваемой информации с целью ее неразрешенного использования, преднамеренного искажения, или уничтожения [1].

Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, то есть отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним. Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальной информации или доступ к ним ограничивается. Так, федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РФ «О банках и банковской деятельности» ограничивает доступ к сведениям по операциям и счетам клиентов и корреспондентов банка.

Однако не, по всем сведениям, составляющим конфиденциальную информацию, применяется прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это, в частности, относятся к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ и являются следующими:

соответствующая информация неизвестная третьим лицам;

К данной информации не установлено на законном основании свободного доступа;

меры по обеспечению конфиденциальности информации принимает собственник информации.

Конфиденциальная информация подразделяется на:

Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации [2].

2.2. ОСОБЫЕ ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ

Запрет на требование от гражданина (физического лица) предоставления информации о его частной жизни, а также на получение такой информации помимо его воли.

обеспечение защиты информации от неправомерного доступа:

установление ответственности за разглашение конфиденциальной информации

установление ответственности за несанкционированный доступ конфиденциальной информации с точки зрения ее создания и т.д.

Дефектная информация– информация, имеющая различные дефекты, возникающие в ходе ее изготовления, сбора или иных действий.

Дефекты – это те недостатки информации, которые превратили ее в недостоверную, незаконную, не дающую права использовать ее в законном порядке.

дефекты сбора информация:

доказательства, полученные с нарушением закона, не имеют юридической силы

дефект содержания информации

информация, разжигающая расовую или национальную рознь,

дефекты предоставления и распространения информации

Информация, распространяемая без использования СМИ, не включает достоверных сведений о ее обладателе или об ином лице, распространяющем информацию.

3.КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ УГРОЗ

Угрозы классифицируются по нескольким критериям:

Угрозы целостности – физическое уничтожение или порча носителей информации. Например, похититель может сломать карту памяти с курсовой работой.

О изменении информации, в последствии которой информация перестает нести в себе реальное положение дел, из-за чего она становиться противоречивой. Например, злоумышленник может изменить количество средств на своём счету.

Классификация угроз доступности:

О прекращении функционирования системы электронной обработки данных в последствии поломки обеспечивающей инфраструктуры. Например, система может перестать функционировать в последствии перебоя питания, отключения системы кондиционирования, из-за чего температура повыситься до недопустимой температуры, или прорыва водопровода.

О прекращение функционирования системы вследствие поломки оборудования (компьютеров, коммуникационного оборудования и т.д.)

Например, если в железнодорожной кассе сломается компьютер, подключений к системе автоматизированной продажи билетов, то пассажиры не смогут купить в данной кассе.

4.Классификация методов защиты информации

Кроме того, в информационных системах выделяют следующие группы средств и соответствующих им методов защиты информации:

средства защиты от НСД;

системы анализа и моделирования информационных потоков (CASE-системы);

Источник

Защита конфиденциальности данных — проблема века

Насколько хорошо защищены ваши данные? В современном мире, где все взаимосвязано, этот вопрос беспокоит и большие компании, и обычных пользователей. Именно ему посвящен День защиты персональных данных (Data Privacy Day) — международная инициатива, которая поддерживается в 47 странах — участницах Совета Европы, а также в США, Канаде и Израиле. Ее цель — повысить осведомленность людей о том, как используется их личная информация и каким образом обезопасить себя от утечки. Участники мероприятий предлагают способы усиления конфиденциальности в сети, а также обсуждают возможность нововведений на законодательном уровне. Разработчики программного и аппаратного обеспечения, в свою очередь, представляют новые решения и проекты.

День защиты персональных данных отмечается 28 января, начиная с 2006 года. Дата приурочена к подписанию Конвенции Совета Европы от 28 января 1981 года «О защите лиц в связи с автоматизированной обработкой персональных данных». Этот документ впервые определил международные обязательства по защите приватной информации и прав на неприкосновенность личной жизни.

К настоящему времени Конвенцию подписали более 50 стран, однако проблема еще не решена. До сих пор миллионы людей не знают, как их данные собираются, хранятся и используются коммерческими компаниями и госорганами и как они становится целью добычи киберпреступников.

Всякий раз, когда мы проводим время в интернете, мы делимся персональными сведениями, которыми могут воспользоваться мошенники. Пользователям необходимо вооружиться знаниями, чтобы принимать соответствующие меры предосторожности. В их числе — резервное копирование с использованием надежного шифрования или защищенных облачных сервисов.

Согласно статистике, около 70% всех киберпреступлений в мире связаны с похищением идентичности. Это может случиться вследствие кражи пароля или даже самого компьютера и привести к тому, что преступники получат в свои руки конфиденциальную корпоративную информацию. Каждые две секунды в мире происходит новый инцидент взлома и похищения личных данных.

Чтобы помочь пользователям обезопасить себя, Национальный альянс по кибербезопасности (National Cyber Security Alliance, NCSA) создал единый портал для контроля над настройками конфиденциальности. Он содержит ссылки на популярные сайты электронной коммерции, почтовые и мобильные сервисы, поисковые системы и социальные сети. Учитывая, что каждый из этих многочисленных ресурсов собирает сведения о пользователях, им рекомендуется проверить и установить подходящий уровень приватности.

Производители также активно работают над защитой своих устройств. Например, предлагают многокомпонентные и многофакторные системы аутентификации, которые работают как вместе, так и по отдельности. Одним из самых надежных вариантов считаются смарт-карты для ноутбука.

Конфиденциальность + безопасность

Настройки конфиденциальности имеют большое значение, но их одних недостаточно: важно приложить максимум усилий для сохранности данных. Если приватность касается прав человека на управление его личной информацией, то безопасность — это совокупность методов защиты. Она начинается с программного обеспечения, которое должно регулярно обновляться, ведь каждый день появляются новые угрозы, и производители ПО выпускают обновления для их устранения.

Однако ключевую роль в сохранности данных имеют аппаратные функции безопасности. Они должны быть заложены архитектуру продукта с самого начала разработки (Security by Design).

Безопасность на уровне устройств начинается с надежных конструктивных решений, обеспечивающих защиту пользователей. Каждый компонент и источник его поставки должны быть проверенными: лишь это служит гарантией отсутствия «встроенных» угроз. Преступники все чаще нацеливаются на цепочки поставок, чтобы внедрить уязвимости в устройства во время производства и транспортировки.

Один из примеров аппаратных средств безопасности — шторка ThinkShutter, которая закрывает камеру ноутбука. Это простое решение, представленное Lenovo в прошлом году, не позволяет хакерам использовать камеру, чтобы шпионить за вами.

Шторка камеры Lenovo ThinkShutter дает пользователю ноутбука возможность самому решать, будет ли его кто-то видеть.

Хотя есть хакеры, использующие онлайн-камеры для слежки за людьми и для того, чтобы оценить домашнюю обстановку, чаще у них иная цель — посмотреть, используете ли компьютер в данный момент. Это делается для того, чтобы запустить серию сценариев для взлома, которые будут заметны на экране.

За щитом безопасности

Компания Lenovo первой создала несколько важных решений для безопасности. К ним относится сканер отпечатков пальцев, который теперь является ключевым компонентом биометрической проверки, а также первый чип TPM (Trusted Platform Module) — выделенный микроконтроллер, защищающий аппаратное обеспечение с помощью встроенных криптографических ключей.
Сегодня компания продолжает совершенствовать свои продукты, чтобы предотвратить несанкционированный доступ к личной информации. Так, Lenovo создала для своих корпоративных клиентов комплексную платформу безопасности ThinkShield, которая обеспечивает базовую конфиденциальность, аутентификацию, защиту данных и обнаружение сетевых уязвимостей.

Решение включает целый комплекс инструментов:

Интегрированная система безопасности охватывает весь жизненный цикл ПК, начиная с разработки BIOS и микропрограммного обеспечения в цепочке поставок и заканчивая вводом в эксплуатацию.

Проблемы и решения

Компании и правительственные организации используют целый ряд современных технологий — от куки-файлов веб-сайтов до датчиков, встроенных в машины, а также устройств для сбора беспрецедентных объемов данных о своих клиентах, гражданах, сотрудниках. В их задачи входит оценка настроений и предпочтений, прогнозирование потребностей, повышение производительности труда, выявление мошенничества, отслеживание местонахождения, мониторинг здоровья, контроль безопасности.

Большая часть этих данных собирается с благими целями. Однако никто не может ответить на один из самых актуальных вопросов: где проходит граница? Люди хотят быть осведомлены о том, как обрабатываются и хранятся персональные сведения и насколько обеспечена их конфиденциальность. Соблюдаются ли «право на забвение» и множество других международных, государственных и локальных правил безопасности?

По мнению экспертов, компаниям стоит предпринять меры по укреплению доверия, объяснять клиентам, зачем они собирают определенную информацию, как намереваются ее использовать, какую выгоду может получить вторая сторона и, конечно же, как все эти данные будут защищены.

Обеспечение безопасности является сложной задачей для любой компании, особенно с развитием облачных сред. Появляются стартапы, обещающие трансформировать способы защиты данных и управления ими, поставщики технологий и консалтинговые фирмы создают свои собственные платформы и методики. Сегодня охрана конфиденциальности стала целой отраслью.

И День защиты персональных данных — это повод еще раз задуматься о путях решения проблемы. В настоящее время инициативу Совета Европы по охране личной информации поддерживают около 80 государств, а практика правильной ее обработки используется в крупнейших мировых организациях, включая ООН.

Источник

Информационная безопасность для самых маленьких. Часть 1

Вступление.
Многие слышали про взломы различных платежных систем, про новые стандарты в области информационной безопасности, про то, что государство разрабатывает новые нормативы в области персональных данных. Некоторые даже слышали три таинственных слова «конфиденциальность, целостность и доступность», но не многие понимают, что все это означает и зачем все это нужно. Сюда относятся и многие ИТ — специалисты не говоря уже про людей далеких от ИТ.
Хотя в мире, где все основано на информационных технологиях, должны понимать что такое «информационная безопасность». Информационная безопасность – это не только антивирус и файрвол, информационная безопасность это целый комплекс мер.

На Хабре начинается серия публикаций по информационной безопасности, в этих публикациях будут рассмотрены многие важные аспекты ИБ, такие как:
• конфиденциальность, целостность и доступность;
• уязвимости в программных продуктах (также обсудим черный рынок 0-day уязвимостей и эксплоитов);
• технические меры защиты;
• организационные меры (политики, процедуры, инструкции);
• модели доступа;
• стандарты и законы в области ИБ.
А также обсудим другие очень интересные вещи. Как и любой другой предмет начнем с самых основ, то есть теории.
Недавно в Твитере развернулись нешуточные страсти по «бумажной» и «практической» безопасности. Здесь будут рассмотрены как «бумажная» так и «практическая» безопасность, хотя, по моему мнению, эти две составляющие нельзя делить. Если речь идет о серьезном подходе «практика» не может существовать без «бумаги», так как для начальства, аудиторов в первую очередь важны бумажные отчеты Вашей работы. Не говоря уже про такие стандарты ISO и PCI DSS, которые требуют утвержденные руководством «бумажной безопасности».
Конфиденциальность, целостность и доступность.

Именно эти три слова служат прочным фундаментом информационной безопасности. Хотя многие считают что эта «триада» уже устарела, но об этом позже. Чтобы лучше понять значение этих слов необходимо представить следующую картину: три человека обхватили друг друга руками, и каждый сильно откинулся назад, если один из них отпустит руку другого то все упадут. Информационная безопасность достигается соотношением именно этих трех свойств, если у информации нету, хотя бы одной из этих свойств о безопасности говорить не приходиться.
Каждая из этих свойств «триады» обеспечивается рядом мер, причем для обеспечения одного свойства необходимо использовать не одно, а несколько мер. Любая информация обладает, так или иначе, всеми тремя свойствами, давайте разберем каждое значение их этой триады.

Конфиденциальность – свойство информации, гарантирующее, что доступ к информации имеет доступ только определенные лица.
Например. В фирме «Рога и копыта» есть информация, а именно отчет о продажах. Доступ имеют только сотрудники отдела продаж и бухгалтерии. Причем сотрудники отдела продаж имеют ко всей информации (более подробно будет описано ниже), а бухгалтерия только к окончательным расчетам (чтобы рассчитать налоги с продаж.).
Таким образом, конфиденциальность означает не только доступ к информации, но и разграничение доступа к информации, то Петров имеет доступ к одной части информации, Сидоров ко второй, а Иванов ко всей информации.

Целостность – свойство информации, гарантирующее, что только определенные лица могут менять информацию.
Например. Продолжим пример с фирмой «Рога и Копыта» и с их отчетом по продажам. Как было ранее сказано Отдел продаж имеет доступ ко всей информации, а бухгалтерия только к определенной части. Но для безопасности это еще мало. Необходимо еще и разграничить доступ среди Отдела продаж. В отделе есть два специалиста Сидоров и Петров, у каждого свой отчет. Необходимо чтобы каждый мог иметь право записи только в свой отчет. Вдруг Петров занизит продажи Сидорова.
Еще хороший пример.
Фирма «Рога и Копыта» создала и отправила платеж по ДБО в свой банка, однако хакер Вася перехватил платеж и в поле получателя вставил номер своего счета. Это прямое нарушение целостности. Чтобы такого не произошло необходимо предпринимать ряд мер, к примеру, ЭЦП.

Доступность – свойство информации, гарантирующее, что лица имеющие доступ к информации в нужный момент смогут получить доступ.
Например. Генеральный директор фирмы «Рога и Копыта» в понедельник утром пришел на работу, включил компьютер и с удивлением обнаружил, что не может открыть базу отдела продаж по продажам. Так что же произошло? Элементарно, Ватсон! В воскресенье ночью в потолке прорвало трубу, вода попала в компьютер, где хранилась база, и жесткий диск благополучно сгорел. Так как директор никогда не слышал про информационную безопасность, а локальная сеть была создана студентом, не было ни резервной копии, ни избыточности в виде RAID. Это самый простой пример, можно привести кучу примеров, сайт компании не был доступен и клиент не смог открыть сайт одной компании, но открыл сайт другой и естественно купил продукт второй компании.

Это было первым выпуском серии «Информационная безопасность для маленьких».
Продолжение следует.

Источник