Информационная безопасность

Безопасность информации — состояние защищенности информации , при котором обеспечены её конфиденциальность, доступность и целостность.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные, используемые в информационной системе.

Три составляющие информационной безопасности:

• Конфиденциальность: свойство информации, связанное с тем, что она не станет доступной и не будет раскрыта для неуполномоченных лиц.
• Целостность: неизменность информации в процессе ее передачи или хранения.
• Доступность: свойство информации, определяющее возможность ее получения и использования по требованию уполномоченных лиц.

Меры защиты информации:

1. Технические

• защита от несанкционированного доступа к системе
• резервирование особо важных компьютерных подсистем
• организация вычислительных сетей
• установка противопожарного оборудования
• оснащение замками, сигнализациями

2. Организационные

• охрана вычислительного центра
• тщательный подбор персонала
• наличие плана восстановления работоспособности(после выхода из строя)
• универсальность средств защиты от всех пользователей

3. Правовые

• разработка норм, устанавливающих ответственность за компьютерные преступления
• защита авторских прав программистов
• совершенствование уголовного и гражданского законодательства

Угроза безопасности информационной системы – это возможность события, вследствие которого будет затронута  ее безопасность (т.е. затронута конфиденциальность, доступность, целостность). Осуществление этого события называют реализацией угрозы.

Атака на информационную систему – это попытка реализовать ту или иную угрозу безопасности.

Уязвимость – это такая характеристика системы, которая служит причиной появления той или иной угрозы безопасности

Необходимо обеспечить защиту информации:

• от сбоев оборудования;
• от случайной потери или искажения информации, хранящейся в компьютере;
• от преднамеренного искажения, производимого, например, компьютерными вирусами;
• от несанкционированного (нелегального) доступа к информации (её использования, изменения, распространения).

Методы защиты от случайной потери или искажения информации:

• автоматический запрос на подтверждение команды, приводящей к изменению содержимого какого-либо файла.
• установка специальных атрибутов документов. Например, многие программы-редакторы позволяют сделать документ доступным только для чтения или скрыть файл, сделав недоступным его имя в программах работы с файлами;
• возможность отменить последние действия.
• разграничение доступа пользователей к ресурсам файловой системы, строгому разделению системного и пользовательского режимов работы вычислительной системы. Защита информации от преднамеренного искажения часто еще называется защитой от вандализма.

Социальная инженерия

Социальная инженерия — это метод управления действиями человека без использования технических средств. 

Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. 

Ввел этот термин осуждённый компьютерный преступник и консультант по безопасности Кевин Митник, заявивший, что для злоумышленника гораздо проще хитростью выудить информацию из системы, чем пытаться взломать её.

Все техники социальной инженерии основаны на особенностях принятия решений людьми, суть которых в том, что человек должен кому-либо доверять в социальной среде воспитания.

Техники социальной инженерии:

Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию или совершить определённое действие.

Пример претекстинга с целью взлома аккаунта социальной сети

Пример: злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе

Фишинг — техника, направленная на жульническое получение конфиденциальной информации по сети путем подделки официальных документов или писем.

Пример фишингового сайта

Пример: цель получает письмо от банка или платёжной системы — требующее «проверки» определённой информации Это письмо обычно содержит ссылку на фальшивую веб-страницу, имитирующую официальную, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

Троянский конь

Эта техника эксплуатирует любопытство либо алчность цели. На компьютер внедряется троянская программа.

Распространение троянцев под видом ответа на объявление. Это не ссылка, а кнопка "Загрузить вирус"

Пример: злоумышленник отправляет e-mail, содержащий во вложении «клёвый» или «сексуальный» скринсейвер, важный апгрейд антивируса или даже свежий компромат на сотрудника.

Дорожное яблоко

Этот метод атаки представляет собой адаптацию троянского коня и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный диск или флешку в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный и сопровождается подписью, призванной вызвать любопытство.

Пример: злоумышленник может подбросить флешку с корпоративным логотипом и ссылкой на официальный сайт компании цели, и снабдить ее надписью «Заработная плата руководящего состава Q1 2017». Диск может быть оставлен на полу лифта или в вестибюле.

Методы защиты от социальной инженерии:

Антропогенные методы:

• Привлечение внимания людей к вопросам безопасности.
• Осознание пользователями всей серьезности проблемы и принятие политики безопасности системы.
• Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения

Минус антропогенных методов – они пассивны. Огромный процент пользователей не обращает внимания на предупреждения, даже написанные самым заметным шрифтом

В компьютерной безопасности это явление получило название «проблема пляшущих свинок»

Проблема "пляшущих свинок"

Под проблемой пляшущих свинок подразумевается отношение пользователя к компьютерной безопасности, когда, стремясь получить желаемое, пользователь обычно игнорирует угрозу безопасности/

Учитывая это, безопасность системы должна быть спроектирована так, чтобы не возникало необходимости спрашивать мнение пользователя, часто технически неграмотного/

Термин этот ввели специалисты в области защиты информации Гари Мак-Гроу и Эдвард Фельтен:

«Если дать пользователю выбрать между пляшущими свинками и безопасностью, он выберет пляшущих свинок. Если случайный посетитель, кликая на кнопку, обещающую пляшущих по экрану свиней, получит сообщение о потенциальной опасности данной программы, он не подумает отказываться от пляшущих свиней. Даже если компьютер запросит подтверждения с текстом: «Приложение ПЛЯШУЩИЕ СВИНКИ, возможно, содержит зловредный код, который может нанести необратимый ущерб вашему компьютеру, украсть все ваши сбережения и ослабить способность иметь детей», пользователь нажмет «ОК», не читая. Спустя тридцать секунд он забудет, что такое предупреждение когда-либо существовало»

В ходе исследования фишинга участникам продемонстрировали ряд поддельных сайтов, включая один, имитирующий главную страницу известного банка. «Симпатичный» дизайн, степень детализации и тот факт, что сайт не требовал чересчур много данных, показались убедительными большинству участвующих. Двое (из двадцати) сослались на анимированную заставку с медведем (якобы, «это должно быть не так просто подделать»). Участникам в целом понравилась обаятельная заставка, и многие даже перезагружали страницу, чтобы просмотреть ролик сначала.

Подробнее с методами социальной инженерии в можете познакомиться в видео:

Организация рабочего места пользователя компьютера

Результаты теста "Организация рабочего места пользователя" 11А класса:

Фамилия, имя	Оценка
Кемарський Микита та Марія Лебідь	10
Цыганов Александр Федоренко Владислав	9
Ясманович Дмитрий Гунько Антонио	11
Полухова Вика, Коваль Лиза	11
Іваненко Андрій	10
Петренко Татьяна	8
Крячун,Кузнецова	9
Лоик, Дударь	11
Ханишин Борисевич	9
Брилевич Полина, Безпалова Екатерина	11
прошинська вересова	11
Познанский Кильчанов	9
Солоп Олейник	8
Скляр Екатерина, Китаев Глеб	9

Результаты теста "Организация рабочего места пользователя" 11Б класса:

Фамилия, имя	Оценка
Юдин Александр, Матвиенко Денис	9
Гольская и Палий	9
Билык и Олейник	10
петрова хайрович	10
Школьная Анастасия	10
Пивовар Илья, Мирослав Иванченко	8
Святощук Ростислав	9
Клемятин Аким	10
Савчук и Дубохвост	8
Панченко и Малютенко	9
Сытник и Лыжин	10

Откройте форму "Организация рабочего места пользователя" и выполните задания:

Недавние исследования показали, что примерно 30% нарушений здоровья, связанных с работой  за компьютером, вызваны не "вредностью" компьютера как такового, а незнанием основных правил работы с ним, а также неправильной организацией рабочего места.

Эргономика - наука о взаимодействии человека и машины. Сегодня одна из главных ее задач - снизить нагрузки на организм человека, связанные с работой на компьютере.

Основные вредные факторы при работе за компьютером:

• Стесненная поза, сидячее положение в течение длительного времени;
• Воздействие электромагнитного излучения;
• Утомление глаз, нагрузка на зрение;
• Перегрузка суставов кистей;
• Стресс при потере информации;
• Психические расстройства

Правильное положение тела при работа за компьютером

Туннельный синдром -это профессиональная болезнь пользователей (синдром запястного канала) развивается, когда высота расположения клавиатуры оказывается заведомо ниже нормы.

Правильное положение руки при работе с мышью

Правильное положение рук при работе с клавиатурой

Пример правильного и неправильного положения за компьютером

«Вредное излучение» компьютера – миф или реальность?

Современные ЖК –мониторы не имеют электронно – лучевой трубки, а значит, не могут быть источником значительного электромагнитного излучения.

Но электронно-лучевая трубка не единственный источник излучения электромагнитных полей. Генерировать излучение может блок питания, а также схемы управления и формирования информации на ЖК- мониторах и другие элементы аппаратного обеспечения.

Что на самом деле приносит вред? Видимое излучение, как показывают данные экспериментов, способствует возникновению близорукости и переутомлению глаз, мигрени и головной боли, компьютерного зрительного синдрома, раздражительности, нервному напряжению и стрессу.

Всему виной – мерцание яркого изображения на экране, вынуждающее глаза постоянно подстраиваться и вызывающее тем самым перенапряжение глазных мышц.

Большое число пользователей (по некоторым данным до 60%) жалуется на усталость, резь и боль в глазах.

Симптомы компьютерного зрительного синдрома:

• жжение в глазах
• чувство «песка» под веками
• боли в области глазниц и лба
• боли при движении глаз
• покраснение глазных яблок
• боли в области шейных позвонков
• быстрое утомление при работе.

Чтобы избежать КЗС, необходимо правильно оборудовать свое рабочее место и соблюдать правила при работе с мониторами:

• Расстояние от глаз до монитора должно быть не меньше 60–70 сантиметров
• Монитор должен стоять примерно на 10 градусов ниже горизонта уровня глаз и не давать бликов
• В сумерках нужно зажечь дополнительный мягкий свет над рабочим местом
• Требуется повысить частоту обновления на экране и выбрать оптимальное разрешение
• Наиболее утомляющая работа -  при вводе информации,    поэтому желательно научиться печатать слепым методом, или печатать не глядя на экран
• Необходимо также делать 5-10 минутные перерывы после каждого часа работы. В перерыве глаза лучше направить на статичные неярко освещенные – например, посмотреть в окно