Личная информационная безопасность

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Сибирский государственный университет геосистем и технологий»

Реферат

На тему: «Личная информационная безопасность»

Выполнил студент группы БЗ-12

Нужин Д.С.

Проверил к.т.н., доцент кафедры ПИиИС

Кацко С.Ю.

Новосибирск, 2017

Содержание

Введение

1. Теоретические основы информационной безопасности

1.1 Понятие информационной безопасности

1.2 Защита информации

1.3 Угрозы конфиденциальной информации

2. Обеспечение личной информационной безопасности

2.1 Проблемы безопасности персональных данных

2.2 Виды мошенничества в сети Интернет

2.3 Меры по сохранению личной информационной безопасности и борьба с мошенничеством в сети Интернет

Заключение

Список литературы

Введение

Современный мир -- это мир информации и информационных технологий. Мгновенный доступ к любой информации в любой момент времени, практически где угодно, несомненно, является великим достижением человечества. Но оно породило и массу проблем: бесконтрольное распространение нелегитимной информации, мошенничество с электронными финансами, киберпреступления и практически полное отсутствие конфиденциальности субъектов в личном смысле. Социальные сети, интернет-магазины, сайты знакомств, различные форумы и т.д. хранят миллионы терабайт личной информации пользователей, львиная доля которой по всем признакам относится к персональным данным, защита которых в нашем государстве регламентируется целым рядом нормативно-правовых актов.

Вот только далеко не все операторы, осуществляющие обработку персональных данных, могут или хотят предпринимать какие-то определенные действия, направленные на защиту этих данных, а подчас сознательно уклоняются от выполнения требований нормативно-правовых актов в сфере информационной безопасности и, в частности, защиты персональных данных по причине нежелания тратить средства на обеспечение безопасности и конфиденциальности указанной информации.

Информационная безопасность -- это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [4].

Информационная безопасность должна быть обеспечена в компьютерных и вычислительных сетях, операционных системах, базах данных, системах связи и коммуникации. Обеспечение информационной безопасности само по себе технически сложно, при этом одной из существенных проблем является установление связи между технической стороной обеспечения информационной безопасности и обеспечением информационной безопасности личности в современных условиях.

Традиционно необходимо обеспечивать информационную безопасность государства, информационную безопасность крупного, в первую очередь транснационального, бизнеса (корпораций, холдингов и т.д.), однако личная информационная безопасность остается в тени. Как в реальном мире, так и виртуальном должны действовать некоторые социальные регуляторы поведения. Попытки принять такие нормы предпринимаются по сути с самого зарождения Интернета. К сожалению, их эффективность пока не высока.

Целью данного реферата является комплексный анализ личной информационной безопасности. Цель обусловила постановку следующих задач:

- Проанализировать основные понятия информационной безопасности;

- Рассмотреть систему мер, направленных на сохранение личной информационной безопасности;

- Рассмотреть виды мошенничества в сети Интернет;

- Разработать правила личной информационной безопасности виртуальном пространстве.

Объектом исследования является информационная безопасность в целом.

Предметом исследования является личная информационная безопасность.

1. Теоретические основы информационной безопасности

1.1 Понятие информационной безопасности

Под информационной безопасностью (ИБ) следует понимать защиту интересов субъектов информационных отношений. Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Доступность -- это возможность за приемлемое время получить требуемую информационную услугу.

Целостность -- актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Конфиденциальность -- это защита от несанкционированного доступа к информации [4].

Целостность можно подразделить на:

- статическую, понимаемую как неизменность информационных объектов;

- динамическую, относящуюся к корректному выполнению сложных действий. Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность -- какой смысл в информационной услуге, если она содержит искаженные сведения? Наконец, конфиденциальные моменты есть также у многих организаций и отдельных пользователей (например, пароли).

Сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства и сбыта товаров и услуг. Это,

естественно, требует определенных действий, направленных на защиту конфиденциальной информации.

Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, можно выделить и компоненты безопасности -- такие, как персонал, материальные и финансовые средства и информацию.

1.2 Защита информации

Защита информации -- это организованная совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

С позиций системного подхода к защите информации предъявляются определенные требования [10]. Защита информации должна быть:

- непрерывной. Это требование проистекает из того, что злоумышленники только и ищу т возможность, как бы обойти защиту интересующей их информации;

- плановой. Планирование осуществляется путем разработки каждой службой детальных планов за щиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);

- целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;

- конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

- активной. Защищать информацию необходимо с достаточной степенью настойчивости;

- надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреп лены;

- универсальной. Считается, что в зависимости от вида канала у течки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;

- комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита -- это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных обусловливающих друг друга сторон, свойств, тенденций.

Система защиты информации (СЗИ), как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:

- правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;

- организационное обеспечение. Реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими;

- информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;

- программное обеспечение. К нему относятся раз личные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;

- математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты; информационный безопасность мошенничество интернет

- лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;

- нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.

1.3 Угрозы конфиденциальной информации

Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются:

? ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

? модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

? разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полно ты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации.

Отношение объекта (лица, у которого есть определенные данные) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями.[5]

В этом случае возможны такие ситуации:

1. Владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;

2. Источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;

3. Промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

Факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации.

Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.

Утечка -- это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Несанкционированный доступ -- это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников.[3]

Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.

Разглашение, утечка информации и несанкционированный доступ к ее источникам являются основными способами неправомерного овладения информацией.

2. Обеспечение личной информационной безопасности

2.1 Проблемы безопасности персональных данных

За последние двадцать лет число пользователей сети Интернет многократно увеличилось. Большая часть планеты использует глобальную Сеть для тех или иных целей, но так или иначе абсолютное большинство пользователей вынуждены оставлять свои персональные данные, подписывая пользовательское соглашение. Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных», персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [1].

Пользовательское соглашение -- заключение договора, предусматривающего ряд условий между сторонами, среди которых, во-первых, предоставление пользователю сервисов в обмен на гарантии соблюдения режима пользования сервисами и согласие на получение рекламных объявлений [1]; во-вторых, санкции за несоблюдение условий договора. В ФЗ №152, как отмечалось ранее, к персональным данным относится информация, которая позволяет определить личность пользователя. То есть это фамилия, имя и отчество, дата и место рождения, адрес, семейное положение, паспортные данные, профессия и т. д.

При этом пароли к аккаунтам не являются персональными данными, так как не сообщают ничего о человеке. С согласия пользователя данные могут становиться общедоступными -- например, номер телефона или e-mail, которые передаются компании, это обычно происходит при беглом изучении пользовательского соглашения. Тем не менее по требованию пользователя эти данные должны быть убраны из общего доступа согласно статье 15 ФЗ №152, пункт 2: «Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных…» [1].

Доступ в безграничный мир информации, социальных и прочих сетей, пользователь, как правило, не понимает, тем самым обнажает себя, лишая себя защитной маски. Получая информацию, пользователи, так или иначе, оставляют информацию о себе, персональные сведения на сайтах социальных сетей, пользователи одновременно становятся объектами внимания не только личных неприятелей, но и властных и коммерческих структур.

На сегодняшний момент правительство всячески способствует защите данных своих граждан. С 1 сентября 2016 года приняты поправки, в которых говорится о том, что «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации…» [1].

Интернет стал неотъемлемой частью жизни человека, в связи с чем в 2013 году проводилось первое общероссийское научное исследование цифровой компетентности подростков и родителей детей подросткового возраста. Под цифровой компетентностью понимается основанная на непрерывном овладении компетенциями (системой соответствующих знаний, умений, мотивации и ответственности) способность индивида уверенно, эффективно, критично и безопасно, выбирать и применять инфокоммуникационные технологии в разных сферах жизнедеятельности (работа с контентом, коммуникации, потребление, техносфера), а также его готовность к такой деятельности [9].

С ростом числа интернет-пользователей задача целенаправленного развития цифровой компетентности российских подростков и родителей становится все более актуальной. Так, например, личные данные ребенка часто публикуются в открытом доступе в рамках отчетов о проведенных соревнованиях, олимпиадах и конкурсах, в связи с чем Роскомнадзор проводит мероприятия по повышению компетенции в области защиты персональных данных. С мая 2014 года Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных в Российской Федерации выявил 2027 сайтов, распространявших личную информацию о детях и их родителях в открытом доступе. Большинство выявленных ресурсов принадлежат школам, детским садам, интернатам, а также муниципальным образованиям и администрациям субъектов РФ [8].

Множество мошеннических схем рассчитано на то, что пользователь сообщает злоумышленникам свои личные данные, такие как доступ к банковским счётам или аккаунтам в соцсетях. В связи с этим Роскомнадзор составил единый образец написания письма Деду Морозу согласно информации на официальной странице Ведомства «Вконтакте». В конце 2016 года Роскомнадзор составил образец корректного письма Деду Морозу и заблокировал 76 сайтов с некорректными письмами, в которых в свободном доступе были опубликованы персональные данные [7].

Одним из актуальных решений проблемы защиты персональных данных пользователей можно было бы назвать различные способы обезличивания этих данных при обработке, но, когда речь идет о пользователях, например, интернет-магазинов или сервисов по оплате различных услуг онлайн, они не всегда применимы, так как та же оплата онлайн требует ввода данных пластиковой карточки держателя этой карты, которые, так или иначе, могут быть перехвачены, чем и пользуются мошенники.

2.2 Виды мошенничества в сети Интернет

Типология махинаций в сфере информационных технологий (ИТ) может быть описана по ряду классификационных признаков. По способу получения доступа к хранилищу информации:

? путем взлома пароля защитной программы или менеджера паролей;

? получением кодовой комбинации методами фишинга;

? в результате подбора пароля посредством внешнего подключения специального устройства;

? посредством кражи или подделки электронного ключа [6].

По цели противоправного поступка:

? для хищения конфиденциальной, уникальной или значимой для третьего лица информации;

? для удаления или изменения информации таким образом, чтобы данные утратили свою ценность и потребовалось их повторное приобретение у обладателя резервной копии, являющегося инициатором мошенничества;

-- для блокировки учетной записи, с целью получения денежных сумм или имущества, в обмен на алгоритм снятия ограничений доступа к компьютеру.

Среди многих схем мошенничества хотелось бы отметить фишинг.

Фишинг -- это обман пользователя с целью получения его личных данных, таких как логин, пароль, номер телефона или банковской карты. Фишинг больше всего распространён в почтовых системах, социальных сетях, интернет-банкинге и электронных платёжных системах.

Мошенники маскируют фишинговые письма под официальные в расчёте на то, что пользователь не будет внимательно их изучать. Цель мошенников -- заставить пользователя перейти по ссылке в письме на фишинговый сайт и ввести там конфиденциальные данные. Здесь свою роль играет ещё и человеческий фактор, ведь очень многие «рядовые пользователи просто не задумываются о безопасности как своих персональных данных, так и конфиденциальных данных своей организации, в которой они работают [2]. Как правило, фишинговые сайты являются точной копией настоящих. Поэтому, когда людей просят ввести личные данные на таком сайте, они обычно не задумываются.

2.3 Меры по сохранению личной информационной безопасности и борьба с мошенничеством в сети Интернет

Большинство сервисов стремятся максимально повысить уровень защиты и безопасности аккаунта своих пользователей. В связи с чембольшинство ресурсов, таких как интернет-банкинг, используют двухэтапную аутентификацию. Двухэтапная аутентификация значительно повышает безопасность. Для доступа к данным пользователя требуется не только имя пользователя и пароль, но и код, присланный на мобильный телефон, не стоит пренебрегать простыми правилами: создавать сложные пароли, чаще их менять. Также существуют сервисы, обеспечивающие безопасный доступ в Интернет через VPN. VPN (англ. Virtual Private Network -- виртуальная частная сеть) -- обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).[4]

Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений, передаваемых по логической сети сообщений). Они используют специальное шифрование, которое защищает браузер, блокирует вредоносное ПО и позволяет заходить на сайты, которые могут быть недоступны в отдельных странах. Как правило, такое соединение предлагает оплату защищенного соединения на любых устройствах, эти сервисы также зарабатывают на рекламе, о которой упоминалось выше.

В заключение хотелось бы отметить некий набор правил, руководствуясь которым субъект персональных данных уменьшает риск утечки конфиденциальной информации личного характера:

? Если вы получили электронное письмо, в котором просят прислать деньги для чего-либо или сообщить данные для входа в ваш интернет-кошелек -- никогда не отвечайте на такие сообщения. Если вы не сообщали никому контактных данных, то вы должны проигнорировать такое сообщение.

? Нередки случаи мошенничеств, связанных с электронной коммерцией. При заказе товаров, билетов или услуг просят внести предоплату, зачастую путем внесения денежных средств на виртуальный кошелек. Магазин может исчезнуть или пришлет некачественный товар. Серьезные интернет-магазины не будут просить вас перечислить деньги на виртуальный кошелек или счет мобильного телефона.

? Один из популярных способов мошенничества, основанный на доверии связан с размещением объявлений о продаже товаров на электронных досках объявлений и интернет-аукционах. Как правило, мошенники требуют перечисления предоплаты путем перевода денежных средств на электронный кошелек.

? Если вы получили электронное сообщение со ссылкой на скачивание открытки, музыки, картинки или какой-нибудь программы, не спешите открывать её. Перейдя по ссылке, вы можете, сами того не подозревая, получить вирус или оформить подписку на платные услуги. Если отправитель не знаком, не открывайте его.

? Многие люди сегодня пользуются различными программами для обмена сообщениями и имеют аккаунты в социальных сетях. Размещая детальные сведения о себе в социальных сетях, пользователи доверяют их тысячам людей, далеко не все из которых заслуживают доверия.

? Установка антивирусного программного обеспечения на компьютер -- это не прихоть, а мера, позволяющая повысить вашу безопасность.

Разработанные меры личной информационной безопасности помогут рядовому пользователю информационных технологий не стать жертвой мошенничества и сократят риск утечки информации.[2]

Заключение

Информационная безопасность -- это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Защита информации представляет собой сложный комплекс специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз. Если в полной мере не обеспечивать защиту информации на всех уровнях, то высока вероятность Разглашения утечки информации и несанкционированного доступ к ее источникам.

За последние двадцать лет число пользователей сети Интернет многократно увеличилось. Большая часть планеты использует глобальную Сеть для тех или иных целей, но так или иначе абсолютное большинство пользователей вынуждены оставлять свои персональные данные, подписывая пользовательское соглашение.

В России обеспечение личной информационной безопасности регулируется федеральным законом «О персональных данных» и предпринимаются мере по избеганию утечки информации, однако этих мер недостаточно, чтобы предотвратить возможное мошенничество и кражу персональных данных. Для того, чтобы сократить риск утечки конфиденциальной информации личного характера, были разработан набор правил поведения в сети Интернет.

Список литературы

1. О персональных данных [Электронный ресурс]: федер. закон от 27.07.2006 № 152-ФЗ. -- URL: http://www.consultant.ru/ document/cons_doc_LAW_61801/ (дата обращения: 04.12.2017).

2. Калуцкий И. В., Агафонов А. А. Роль человеческого фактора в обеспечении информационной безопасности бизнеса // Известия Юго-Западного государственного университета, 2012. - № 2 (17). - С. 173-179.

3. Калуцкий И. В., Рудак И. И., Бирюков В. И. Алгоритм автоматизированного построения комплекса защиты персональных данных // Телекоммуникации, 2016. - № 5. - С. 18-23.

4. Макаренко С. И. Информационная безопасность: учебное пособие/ С.И. Макаренко. -- Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. -- 372 с.

5. Обезличивание персональных данных при обработке в автоматизированных информационных системах / А. Г. Спеваков, И. В. Калуцкий, Д. А. Никулин, В. А. Шумайлова // Телекоммуникации, 2016. - № 10. - С. 16- 20.

6. Особенности мошенничества в сфере компьютерной информации [Электронный ресурс]. -- URL: http://ugolovka.com/prestupleniya/sobstvennost/moshennichestvo/v-sfere-kompyuternoj-informatsii.html. (дата обращения: 04.12.2017)

7. Роскомнадзор составил «правильное» письмо Деду Морозу и заблокировал 76 сайтов с «неправильными» [Электронный ресурс]: официальная страница Портала персональных данных уполномоченного органа по защите прав субъектов персональных данных в социальной сети ВКонтакте. - URL: https://vk.com/rkn (дата обращения: 04.12.2017)

8. Роскомнадзор рассказал учреждениям образования, как защитить персональные данные детей [Электронный ресурс]: портал персональных данных уполномоченного органа по защите прав субъектов персональных данных. - URL: http://pd.rkn.gov.ru/press-service/news4207. htm (дата обращения: 04.12.2017).

9. Цифровая компетентность подростков и родителей. Результаты всероссийского исследования / Г. У. Солдатова, Т. А. Нестик, Е. И. Рассказова, Е. Ю. Зотова. - М.: Фонд Развития Интернет, 2013. - 144 с.

10. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов/ В.И. Ярочкин. -- М.: Академический Проект; Гаудеамус, 2-е изд, 2004. -- 544 с.

Размещено на Allbest.ru

...