Як власник може захистити свою інформацію

Як власник може захистити свою інформацію

Головна | Про нас | Зворотній зв'язок

Які є вимоги до захисту інформації?

Документом визначено, що організаційні і технічні заходи захисту інформації повинні забезпечувати:

· Ідентифікацію та аутентифікацію суб'єктів доступу і об'єктів доступу;

· Управління доступом суб'єктів доступу до об'єктів доступу;

· Обмеження програмного середовища;

· Захист машинних носіїв інформації;

· Ведення запису про безпеки;

· Виявлення (запобігання) вторгнень;

· Контроль (аналіз) захищеності інформації;

· Цілісність інформаційної системи та інформації;

· Захист середовища віртуалізації;

· Захист технічних засобів;

· Захист інформаційної системи, її засобів і систем зв'язку і передачі даних.

Вибір заходів захисту інформації для їх реалізації в ІС включає:

визначення початкового базового набору заходів захисту інформації для встановленого класу захищеності ІС відповідно до базових наборами заходів захисту інформації, наведеними в додатку № 2 наказу;

адаптацію базового набору заходів захисту інформації стосовно структурно-функціональних характеристик інформаційної системи, інформаційних технологій, особливостей функціонування інформаційної системи (в тому числі передбачає виключення з базового набору заходів захисту інформації, заходів, безпосередньо пов'язаних з інформаційними технологіями, які не використовуються в інформаційній системі, або структурно-функціональними характеристиками, не властивими інформаційній системі);

уточнення адаптованого базового набору заходів захисту інформації з метою забезпечення захисту інформації від всіх актуальних загроз безпеки інформації, включених в модель загроз безпеки інформації оператора;

додаток уточненого адаптованого базового набору заходів захисту інформації заходами, що забезпечують виконання вимог про захист інформації, встановленими іншими нормативними правовими актами в галузі захисту інформації, в тому числі у сфері захисту персональних даних.

Крім того документ визначає, що при неможливості реалізації в інформаційній системі в рамках її системи захисту інформації окремих обраних заходів захисту інформації на етапах адаптації базового набору заходів захисту інформації або уточнення адаптованого базового набору заходів захисту інформації можуть розроблятися інші (компенсуючі) заходи захисту інформації, що забезпечують адекватне блокування (нейтралізацію) актуальних загроз безпеки інформації. В цьому випадку в ході розробки системи захисту інформації інформаційної системи має бути проведено обгрунтування застосування компенсуючих заходів захисту інформації, а при атестаційних випробуваннях оцінена достатність і адекватність даних компенсуючих заходів для блокування (нейтралізації) актуальних загроз безпеки інформації. Що з цього вийде покаже час, оскільки оцінка достатності та адекватності компенсуючих заходів - річ досить суб'єктивна, та й у фразі про «... неможливість реалізації в ІС окремих заходів захисту інформації ...» відсутні критерії оцінки такої неможливості.

Як власник може захистити свою інформацію?

Файлова система і права доступу. На жорстких дисках використовуйте файлову систему NTFS, це дозволить обмежити доступ до фалам визначені номери. Ефективно діє спільно з виконанням рад з попереднього пункту.

Антивірусний захист. Зловмисники можуть отримати доступ до Вашого комп'ютера за допомогою вірусів, тому антивірусна програма повинна бути встановлена ​​на комп'ютер і постійно оновлювати свої бази. Періодично потрібно сканувати систему "аварійними антивірусами", наприклад, Dr.Web CureIT.

Використання захищеного браузера. Як правило, велика кількість вірусів шахрайського програмного забезпечення завантажується з Інтернету, а деякі сторінки містять шахрайський код, який може змінювати критичні налаштування системи. Браузер повинен вміти протидіяти цим загрозам. Одним з найбільш захищених браузерів є Mozilla Firefox. Це правило стосується також поштових клієнтів і менеджерів завантаження файлів.

Ніколи не вводьте номер своєї кредитної картки на сайтах, де це потрібно для підтвердження віку. Користуйтеся тільки перевіреними Інтернет-магазинами.

Відключення автозапуску змінних носіїв. Це захистить від зараження autorun-вірусами.

Використовувати програми шифрування даних. Шифрування даних дозволить захиститися в разі, коли зловмисник все ж отримає Ваші файли. Якщо файли зашифровані з використанням сучасних алгоритмів, а ключ шифрування досить великий, швидше за все, зловмисник не зможе розшифрувати їх. У будь-якому випадку, розшифровка займе певний час, за яке власник даних може, наприклад, змінити вкрадені банківські реквізити або заблокувати рахунок.

Виконання цих порад зможе вберегти Вас від дій зловмисників, але все ж потрібно пам'ятати, що навіть найменший недолік у захисті інформації може мати катастрофічні наслідки. Тому будьте обережні.

4. Що таке інформаційне право?

'' '' Інформаційне право - галузь права, сукупність правових норм, що регулюють суспільні відносини в інформаційній сфері, пов'язаних з оборотомінформаціі, формуванням і використанням інформаційних ресурсів, створенням і функціонуванням інформаційних систем з метою забезпечення безпечного задоволення інформаційних потреб громадян, їх організацій, держави і суспільства.

Предмет і методи інформаційного права

Основним предметом правового регулювання інформаційного права виступають інформаційні відносини, тобто суспільні відносини в інформаційній сфері, що виникають при здійсненні інформаційних процесів - процесів виробництва, збору, обробки, накопичення, зберігання, пошуку, передачі, розповсюдження та споживання інформації. [1]

В інформаційному праві використовується вся сукупність способів регулюючого впливу на інформаційні правовідносини, тобто як диспозитивное регулювання (свобода вибору, рівність сторін, децентралізація, координація), так і імперативне регулювання (централізоване здійснення владних повноважень, сувора субординація). Включеність різних методів в систему інформаційного права не означає їх довільного зіткнення або конкуренції. Дискусії з питань значущості тих чи інших методів для інформаційного права можна примирити, тільки виробивши самостійну правову систему для вирішення проблем, що виникають у відносинах інформаційного властивості.

5. Які є акти федерального законодавства про захист інформації?

· Закон «Про інформатизації, захисту інформації», - дозволяє захищати інформаційні ресурси від спотворення, псування, знищення

· В КК України є розділ «Злочини у сфері комп'ютерної інформації».

1) Неправомірне доступ інформації

2) Створення, використання і поширення.

6. Які є способи захисту інформації?

Для опису технології захисту інформації конкретної інформаційної системи зазвичай будується так звана Політика інформаційної безпеки або Політика безпеки нашої інформаційної системи.

Політика безпеки (інформації в організації) (англ. Organizational security policy) [6] - сукупність документованих правил, процедур, практичних прийомів або керівних принципів в області безпеки інформації, якими керується організація у своїй діяльності.

Політика безпеки інформаційно-телекомунікаційних технологій (англ. ІСТ security policy) [4] - правила, директиви, що склалася практика, які визначають, як в межах організації та її інформаційно-телекомунікаційних технологій управляти, захищати і розподіляти активи, в тому числі критичну інформацію.

Для побудови Політики інформаційної безпеки рекомендується окремо розглядати такі напрями захисту інформаційної системи [9]:

· Захист об'єктів інформаційної системи;

· Захист процесів, процедур і програм обробки інформації;

· Захист каналів зв'язку (акустичні, інфрачервоні, провідні, радіоканали і ін.);

· Придушення побічних електромагнітних випромінювань;

· Управління системою захисту.

При цьому по кожному з перерахованих вище напрямків Політика інформаційної безпеки повинна описувати наступні етапи створення засобів захисту інформації:

1. Визначення інформаційних і технічних ресурсів, що підлягають захисту;

2. Виявлення повного безлічі потенційно можливих загроз і каналів витоку інформації;

3. Проведення оцінки вразливості і ризиків інформації при наявному безлічі загроз і каналів витоку;

4. Визначення вимог до системи захисту;

5. Здійснення вибору засобів захисту інформації та їх характеристик;

6. Впровадження та організація використання обраних заходів, способів і засобів захисту;

7. Здійснення контролю цілісності і керування системою захисту.

Політика інформаційної безпеки оформляється у вигляді задокументованих вимог на інформаційну систему. Документи зазвичай поділяють за рівнями опису (деталізації) процесу захисту.

Документи верхнього рівня Політики інформаційної безпеки відображають позицію організації до діяльності в області захисту інформації, її прагнення відповідати державним, міжнародним вимогам і стандартам у цій галузі. Подібні документи можуть називатися «Концепція ІБ», «Регламент управління ІБ», «Політика ІБ», «Технічний стандарт ІБ» і т. П. Область поширення документів верхнього рівня зазвичай не обмежується, проте дані документи можуть випускатися і в двох редакціях - для зовнішнього і внутрішнього використання.

До середнього рівня відносять документи, що стосуються окремих аспектів інформаційної безпеки. Це вимоги на створення і експлуатацію засобів захисту інформації, організацію інформаційних і бізнес-процесів організації по конкретному напрямку захисту інформації. Наприклад: Безпеки даних, Безпеки комунікацій, використання засобів криптографічного захисту, Контентная фільтрація і т. П. Подібні документи зазвичай видаються у вигляді внутрішніх технічних і організаційних політик (стандартів) організації. Всі документи середнього рівня політики інформаційної безпеки конфіденційні.

У політику інформаційної безпеки нижнього рівня входять регламенти робіт, керівництва по адмініструванню, інструкції по експлуатації окремих сервісів інформаційної безпеки.

7. Які є покарання за інформаційні правопорушення?

Особлива увага приділяється комп'ютерним злочинам, відповідальність за які передбачена в спеціальній 28 главі кодексу "Злочини у сфері комп'ютерної інформації". Глава 28 включає наступні статті:

b. Те саме діяння, вчинене групою осіб за попередньою змовою або організованою групою, або особою з використанням свого службового становища, а так само мають доступ до ЕОМ, системі ЕОМ або їх мережі, - карається штрафом в розмірі від п'ятисот до восьмисот неоподатковуваних мінімумів доходів громадян або в розмірі заробітної плати або іншого доходу засудженого за період від п'яти до восьми місяців, або обмеженням волі на строк від одного року до двох років, або арештом на строк від трьох до шести місяців, або позбавленням волі на строк до п'яти років.

a. Створення програм для ЕОМ або внесення змін в існуючі програми, явно призводять до несанкціонованого знищення, блокування, модифікації або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі, а так само використання або поширення таких програм або машинних носіїв з такими програмами, - карається позбавленням волі на строк до трьох років зі штрафом у розмірі від двохсот до п'ятисот неоподатковуваних мінімумів доходів громадян або в розмірі заробітної плати або іншого доходу засудженого за період від дв ух до п'яти місяців.