В чем важность сохранения конфиденциальности и целостности информации
Информационная безопасность для самых маленьких. Часть 1
Вступление.
Многие слышали про взломы различных платежных систем, про новые стандарты в области информационной безопасности, про то, что государство разрабатывает новые нормативы в области персональных данных. Некоторые даже слышали три таинственных слова «конфиденциальность, целостность и доступность», но не многие понимают, что все это означает и зачем все это нужно. Сюда относятся и многие ИТ — специалисты не говоря уже про людей далеких от ИТ.
Хотя в мире, где все основано на информационных технологиях, должны понимать что такое «информационная безопасность». Информационная безопасность – это не только антивирус и файрвол, информационная безопасность это целый комплекс мер.
На Хабре начинается серия публикаций по информационной безопасности, в этих публикациях будут рассмотрены многие важные аспекты ИБ, такие как:
• конфиденциальность, целостность и доступность;
• уязвимости в программных продуктах (также обсудим черный рынок 0-day уязвимостей и эксплоитов);
• технические меры защиты;
• организационные меры (политики, процедуры, инструкции);
• модели доступа;
• стандарты и законы в области ИБ.
А также обсудим другие очень интересные вещи. Как и любой другой предмет начнем с самых основ, то есть теории.
Недавно в Твитере развернулись нешуточные страсти по «бумажной» и «практической» безопасности. Здесь будут рассмотрены как «бумажная» так и «практическая» безопасность, хотя, по моему мнению, эти две составляющие нельзя делить. Если речь идет о серьезном подходе «практика» не может существовать без «бумаги», так как для начальства, аудиторов в первую очередь важны бумажные отчеты Вашей работы. Не говоря уже про такие стандарты ISO и PCI DSS, которые требуют утвержденные руководством «бумажной безопасности».
Конфиденциальность, целостность и доступность. 
Именно эти три слова служат прочным фундаментом информационной безопасности. Хотя многие считают что эта «триада» уже устарела, но об этом позже. Чтобы лучше понять значение этих слов необходимо представить следующую картину: три человека обхватили друг друга руками, и каждый сильно откинулся назад, если один из них отпустит руку другого то все упадут. Информационная безопасность достигается соотношением именно этих трех свойств, если у информации нету, хотя бы одной из этих свойств о безопасности говорить не приходиться.
Каждая из этих свойств «триады» обеспечивается рядом мер, причем для обеспечения одного свойства необходимо использовать не одно, а несколько мер. Любая информация обладает, так или иначе, всеми тремя свойствами, давайте разберем каждое значение их этой триады.
Конфиденциальность – свойство информации, гарантирующее, что доступ к информации имеет доступ только определенные лица.
Например. В фирме «Рога и копыта» есть информация, а именно отчет о продажах. Доступ имеют только сотрудники отдела продаж и бухгалтерии. Причем сотрудники отдела продаж имеют ко всей информации (более подробно будет описано ниже), а бухгалтерия только к окончательным расчетам (чтобы рассчитать налоги с продаж.).
Таким образом, конфиденциальность означает не только доступ к информации, но и разграничение доступа к информации, то Петров имеет доступ к одной части информации, Сидоров ко второй, а Иванов ко всей информации.
Целостность – свойство информации, гарантирующее, что только определенные лица могут менять информацию.
Например. Продолжим пример с фирмой «Рога и Копыта» и с их отчетом по продажам. Как было ранее сказано Отдел продаж имеет доступ ко всей информации, а бухгалтерия только к определенной части. Но для безопасности это еще мало. Необходимо еще и разграничить доступ среди Отдела продаж. В отделе есть два специалиста Сидоров и Петров, у каждого свой отчет. Необходимо чтобы каждый мог иметь право записи только в свой отчет. Вдруг Петров занизит продажи Сидорова.
Еще хороший пример.
Фирма «Рога и Копыта» создала и отправила платеж по ДБО в свой банка, однако хакер Вася перехватил платеж и в поле получателя вставил номер своего счета. Это прямое нарушение целостности. Чтобы такого не произошло необходимо предпринимать ряд мер, к примеру, ЭЦП.
Доступность – свойство информации, гарантирующее, что лица имеющие доступ к информации в нужный момент смогут получить доступ.
Например. Генеральный директор фирмы «Рога и Копыта» в понедельник утром пришел на работу, включил компьютер и с удивлением обнаружил, что не может открыть базу отдела продаж по продажам. Так что же произошло? Элементарно, Ватсон! В воскресенье ночью в потолке прорвало трубу, вода попала в компьютер, где хранилась база, и жесткий диск благополучно сгорел. Так как директор никогда не слышал про информационную безопасность, а локальная сеть была создана студентом, не было ни резервной копии, ни избыточности в виде RAID. Это самый простой пример, можно привести кучу примеров, сайт компании не был доступен и клиент не смог открыть сайт одной компании, но открыл сайт другой и естественно купил продукт второй компании.
Это было первым выпуском серии «Информационная безопасность для маленьких».
Продолжение следует.
Сохранение конфиденциальности вашей информации
Эксплуатация современного компьютера не похожа на то, что было раньше; компьютеры сейчас более взаимосвязаны, чем когда-либо; интернет-приложения сделали шаг вперед, они стали более интеллектуальными, поэтому разные приложения собирают пользовательскую информацию. Эта информация собирается и отправляется периодически, небольшими порциями без участия пользователя. Некоторая передаваемая информация может быть конфиденциальной, а некоторая информация может иметь мало отношения к личности пользователя. Тем не менее, передаваемая информация, хоть ее и немного, все же имеет некоторое значение, и именно поэтому передается.
Сам процесс записи и передачи информации не представляет какой-либо проблемы. Сложности возникают, когда информация используется против пользователя и/или передается серверу через Интернет и хранится ненадежным способом. Конфиденциальность и содержательность рассматриваемой информации тоже должны приниматься во внимание, однако это не всегда так. Информацией часто делятся маркетинговые группы, что со временем выливается в огромную рекламную сеть или даже хуже, находясь в руках фишеров и прочих злоумышленников. Существуют различные законы и указы, регулирующие такую передачу данных, а также правила, как нужно хранить и обрабатывать полученные данные.
Компьютерные профессионалы и пользователи должны обращать внимание на этот аспект, так как речь о репутации и нормальной работе пользователей и организаций.
Приложения, Троянский конь
Некоторые проигрыватели медиа следят за тем, какие DVD вы просматриваете, а затем отправляют эту информацию на центральный сервер. Эта информация принимается во внимание и может быть использована для прямого маркетинга. Некоторые приложения управляют компьютером пользователя и проникают в браузер, перенаправляя трафик на те сайты, на которые пользователь никогда бы не зашел. Большинство пользователей не знают о таком поведении, и могут только заметить ухудшение производительности системы.
Некоторые приложения не влияют на работу системы, и их намного сложнее обнаружить из-за незаметности изменений, осуществляемых ими в системе. Так что же нужно делать с вашими данными? Все данные, созданные пользователем, являются собственностью пользователя. Личные данные также являются собственностью пользователя, и хранить их необходимо согласно законам о собственности, регулирующим субъекты права, хранящие информацию.
Шифрование данных будет способствовать сохранению конфиденциальности информации
Все данные, которые необходимо держать в тайне, нужно зашифровывать. Это касается и резервных копий и архивных данных. Надежность также требуется при хранении ключей шифров, которые ни в коем случае не должны храниться на том же жестком диске, что и данные.
Антишпионское, Антивирусное и прочее ПО для защиты от вредоносных программ
Набор средств, позволяющих пользователю обнаруживать и контролировать вредоносные программы, был бы очень полезен. Установка приложений из источников, которым вы не доверяете, также может вызвать проблемы.
Вирусы довольно хорошо контролируются современными антивирусными программами, уже много времени прошло с момента последней большой эпидемии, и, по-видимому, производители антивирусных программ уже блокировали большинство точек входа. Однако появляются другие сильные вредоносные программы, использующие уязвимости, которые пока еще не закрыты производителями антивирусов. В результате становится необходимой большая защита для пользователей и организаций при попытках иметь дело с этим новым сложным кругом вредоносных программ. Необходимы полномасштабные наборы средств, выявляющих и изолирующих приложения, которые вмешиваются в настройки системы и перенаправляют трафик.
Сейчас происходит замена старых технологий хранения документов и файлов. Из-за этого документы, хранящиеся в компьютере, более содержательны и хранят больше пользовательской информации. Распространяется все больше приложений, просматривающих систему пользователя в поисках важной информации и ссылок, которые могут быть использованы для прямых маркетинговых целей. Такие приложения потребляют ресурсы компьютера и разглашают конфиденциальную информацию пользователя. Все это надо прекращать. Единственная возможность для этого — контролировать информацию, приходящую и выходящую из компьютера. Что делает полиция, когда им нужно контролировать входы и выходы из города? Они устанавливают пропускные пункты.
Брандмауэры для пользователей и для корпоративных сетей становятся частью компьютерной жизни. Пользователи и организации все больше беспокоятся о потенциальных угрозах и уязвимостях, которые вредят пользователю. Брандмауэры помогают пользователям и организациям отслеживать входящий и исходящий трафик, а также выполняют сложные техники проверки, которые позволяют обнаружить волков в овечьей шкуре.
Анонимный Web-серфинг
Анонимная работа в Интернете предотвращает отслеживание привычек пользователя и его личных данных рекламными и прочими организациями. Многие сайты проверяют IP адрес и ID браузера пользователя при помощи технологии cookie, что упрощает собирать данные пользователя. Эти данные затем используются для прямой рекламы и в техниках социальной инженерии, в том случае, если данные собираются злоумышленниками.
Обмен данными и важность шифрования
Беспроводная связь
Не так давно было осуществлено беспроводное сканирование в течение 1 часа в деловом районе города, возле которого я живу. Мы проехали вокруг с беспроводным сканером и просканировали надежные и ненадежные точки доступа. Это было поверхностное тестирование на шифрование данных, такое как WPA и WEP, а результаты были представлены общественности IT безопасности для комментариев. Из 1367 найденных точек доступа более половины вообще не использовало шифрование! Некоторые точки доступа имели WEP ключи в качестве публичных, предоставляя их всем желающим. Простые процедуры вроде изменения пароля по умолчанию беспроводного маршрутизатора, MAC фильтрация и включение шифрования WPA PSK с ключом определенной длины, отпугнули бы простого злоумышленника. Это простые механизмы, добавляющие слои безопасности системе.
19 важных советов по безопасности, которые нужно помнить
Цифровая связь может быть записана
Чем сложнее зашифрована связь и данные, тем сложнее прочитать передаваемую информацию. Помните, что все созданное в электронном виде может быть записано и копировано. Если передача зашифрована, будут собраны зашифрованные данные, и полезная информация останется конфиденциальной.
Заключение
Новые технологии приносят новые проблемы. Миллионы людей взаимодействуют через Интернет. Часть этого взаимодействия производится с благоразумием при хранении важной и содержательной информации. Поддержание безопасности наших данных является следующей задачей, с которой сталкиваются пользователи и организации, так как множество злонамеренных и спекулятивных компаний пытаются украсть и злоупотребить пользовательской информацией, которая находится в свободном доступе. Если вы не следите за своей электронной личностью, этим займутся другие.
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?
«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.
Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.
Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.
Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.
В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.
Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.
Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.
Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.
Угрозы информационной безопасности, которые наносят наибольший ущерб
Рассмотрим ниже классификацию видов угроз по различным критериям:
Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.
На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.
Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.
Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.
Угрозы непосредственно информационной безопасности
К основным угрозам доступности можно отнести
Основные угрозы целостности
Можно разделить на угрозы статической целостности и угрозы динамической целостности.
Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.
С целью нарушения статической целостности злоумышленник может:
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Для наглядности данные виды угроз так же схематично представлены ниже на рис 1. 
Рис. 1. Классификация видов угроз информационной безопасности
Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.
Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:
Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».
Определение понятия
Законодательное регулирование
Где нужна конфиденциальность информации
Любая сфера деятельности требует сохранения в тайне определенного объема информации. Примером может послужить коммерческое предприятие. Его работники не имеют права разглашать сведения о технологии производства, организационной структуре и прочих моментах, что закрепляется в соответствующих пунктах трудового договора. Нарушение данного правила грозит штрафом или увольнением.
Наверное, все слышали такое словосочетание, как государственная тайна. Это целый ряд сведений, которые находятся под защитой властных институтов и правоохранительных органов. Речь идет о научной, военной, политической, разведывательной и прочих видах деятельности. Предавая данные факты огласке, индивид не только может нанести государству экономический ущерб, но еще и поставить под угрозу его безопасность. За подобные правонарушения предусматривается серьезная ответственность.
В медицинских и прочих заведениях подобного рода также необходимо соблюдать конфиденциальность. Персонал не имеет права разглашать информацию о клиентах. Это же касается и аудиторских фирм. В противном случае потерпевшая сторона может инициировать судебное разбирательство.
Что не может быть конфиденциальной информацией
Рамки политики конфиденциальности не распространяются на следующие виды информации:
Охрана конфиденциальности
Конфиденциальность данных может быть защищена их владельцем следующим образом:
Выводы
Условия конфиденциальности во многом зависят от того, о какой сфере деятельности идет речь. Данного правила стоит придерживаться во всем, что касается коммерческой или государственной тайны, а также частной жизни индивида, независимо от его социального статуса и рода деятельности.
Защита конфиденциальности данных — проблема века
Насколько хорошо защищены ваши данные? В современном мире, где все взаимосвязано, этот вопрос беспокоит и большие компании, и обычных пользователей. Именно ему посвящен День защиты персональных данных (Data Privacy Day) — международная инициатива, которая поддерживается в 47 странах — участницах Совета Европы, а также в США, Канаде и Израиле. Ее цель — повысить осведомленность людей о том, как используется их личная информация и каким образом обезопасить себя от утечки. Участники мероприятий предлагают способы усиления конфиденциальности в сети, а также обсуждают возможность нововведений на законодательном уровне. Разработчики программного и аппаратного обеспечения, в свою очередь, представляют новые решения и проекты.
День защиты персональных данных отмечается 28 января, начиная с 2006 года. Дата приурочена к подписанию Конвенции Совета Европы от 28 января 1981 года «О защите лиц в связи с автоматизированной обработкой персональных данных». Этот документ впервые определил международные обязательства по защите приватной информации и прав на неприкосновенность личной жизни.
К настоящему времени Конвенцию подписали более 50 стран, однако проблема еще не решена. До сих пор миллионы людей не знают, как их данные собираются, хранятся и используются коммерческими компаниями и госорганами и как они становится целью добычи киберпреступников.
Всякий раз, когда мы проводим время в интернете, мы делимся персональными сведениями, которыми могут воспользоваться мошенники. Пользователям необходимо вооружиться знаниями, чтобы принимать соответствующие меры предосторожности. В их числе — резервное копирование с использованием надежного шифрования или защищенных облачных сервисов.
Согласно статистике, около 70% всех киберпреступлений в мире связаны с похищением идентичности. Это может случиться вследствие кражи пароля или даже самого компьютера и привести к тому, что преступники получат в свои руки конфиденциальную корпоративную информацию. Каждые две секунды в мире происходит новый инцидент взлома и похищения личных данных.
Чтобы помочь пользователям обезопасить себя, Национальный альянс по кибербезопасности (National Cyber Security Alliance, NCSA) создал единый портал для контроля над настройками конфиденциальности. Он содержит ссылки на популярные сайты электронной коммерции, почтовые и мобильные сервисы, поисковые системы и социальные сети. Учитывая, что каждый из этих многочисленных ресурсов собирает сведения о пользователях, им рекомендуется проверить и установить подходящий уровень приватности.
Производители также активно работают над защитой своих устройств. Например, предлагают многокомпонентные и многофакторные системы аутентификации, которые работают как вместе, так и по отдельности. Одним из самых надежных вариантов считаются смарт-карты для ноутбука.
Конфиденциальность + безопасность
Настройки конфиденциальности имеют большое значение, но их одних недостаточно: важно приложить максимум усилий для сохранности данных. Если приватность касается прав человека на управление его личной информацией, то безопасность — это совокупность методов защиты. Она начинается с программного обеспечения, которое должно регулярно обновляться, ведь каждый день появляются новые угрозы, и производители ПО выпускают обновления для их устранения.
Однако ключевую роль в сохранности данных имеют аппаратные функции безопасности. Они должны быть заложены архитектуру продукта с самого начала разработки (Security by Design).
Безопасность на уровне устройств начинается с надежных конструктивных решений, обеспечивающих защиту пользователей. Каждый компонент и источник его поставки должны быть проверенными: лишь это служит гарантией отсутствия «встроенных» угроз. Преступники все чаще нацеливаются на цепочки поставок, чтобы внедрить уязвимости в устройства во время производства и транспортировки.
Один из примеров аппаратных средств безопасности — шторка ThinkShutter, которая закрывает камеру ноутбука. Это простое решение, представленное Lenovo в прошлом году, не позволяет хакерам использовать камеру, чтобы шпионить за вами.
Шторка камеры Lenovo ThinkShutter дает пользователю ноутбука возможность самому решать, будет ли его кто-то видеть.
Хотя есть хакеры, использующие онлайн-камеры для слежки за людьми и для того, чтобы оценить домашнюю обстановку, чаще у них иная цель — посмотреть, используете ли компьютер в данный момент. Это делается для того, чтобы запустить серию сценариев для взлома, которые будут заметны на экране.
За щитом безопасности
Компания Lenovo первой создала несколько важных решений для безопасности. К ним относится сканер отпечатков пальцев, который теперь является ключевым компонентом биометрической проверки, а также первый чип TPM (Trusted Platform Module) — выделенный микроконтроллер, защищающий аппаратное обеспечение с помощью встроенных криптографических ключей.
Сегодня компания продолжает совершенствовать свои продукты, чтобы предотвратить несанкционированный доступ к личной информации. Так, Lenovo создала для своих корпоративных клиентов комплексную платформу безопасности ThinkShield, которая обеспечивает базовую конфиденциальность, аутентификацию, защиту данных и обнаружение сетевых уязвимостей.
Решение включает целый комплекс инструментов:
Интегрированная система безопасности охватывает весь жизненный цикл ПК, начиная с разработки BIOS и микропрограммного обеспечения в цепочке поставок и заканчивая вводом в эксплуатацию.
Проблемы и решения
Компании и правительственные организации используют целый ряд современных технологий — от куки-файлов веб-сайтов до датчиков, встроенных в машины, а также устройств для сбора беспрецедентных объемов данных о своих клиентах, гражданах, сотрудниках. В их задачи входит оценка настроений и предпочтений, прогнозирование потребностей, повышение производительности труда, выявление мошенничества, отслеживание местонахождения, мониторинг здоровья, контроль безопасности.
Большая часть этих данных собирается с благими целями. Однако никто не может ответить на один из самых актуальных вопросов: где проходит граница? Люди хотят быть осведомлены о том, как обрабатываются и хранятся персональные сведения и насколько обеспечена их конфиденциальность. Соблюдаются ли «право на забвение» и множество других международных, государственных и локальных правил безопасности?
По мнению экспертов, компаниям стоит предпринять меры по укреплению доверия, объяснять клиентам, зачем они собирают определенную информацию, как намереваются ее использовать, какую выгоду может получить вторая сторона и, конечно же, как все эти данные будут защищены.
Обеспечение безопасности является сложной задачей для любой компании, особенно с развитием облачных сред. Появляются стартапы, обещающие трансформировать способы защиты данных и управления ими, поставщики технологий и консалтинговые фирмы создают свои собственные платформы и методики. Сегодня охрана конфиденциальности стала целой отраслью.
И День защиты персональных данных — это повод еще раз задуматься о путях решения проблемы. В настоящее время инициативу Совета Европы по охране личной информации поддерживают около 80 государств, а практика правильной ее обработки используется в крупнейших мировых организациях, включая ООН.