Защита конфиденциальных данных, как способ поддержания информационной
безопасности
Protecting confidential data as a way to maintain information security
Богданова А.М.
Курсант
Московский университет МВД России имени В.Я. Кикотя
РФ, г. Москва e-mail: bogdanova. nastya15@mail. ru
Bogdanova A.
Cadet
Moscow University of the Ministry of Internal Affairs of Russia named after V. Y. Kikotya
Russia, Moscow e-mail: bogdanova.nastya15@mail.ru
Путилов А.О.
Старший преподаватель кафедры информатики и математики Московский университет МВД
России имени В.Я. Кикотя РФ, г. Москва e-mail: bogdanova.nastya15@mail.ru
Putilov A.
Senior Lecturer, Department of Informatics and Mathematics Moscow University of the Ministry of Internal Affairs ofRussia named after V.Y. Kikotya
Russia, Moscow e-mail: bogdanova.nastya15@mail.ru
Аннотация.
Современный мир характеризуется такой интересной тенденцией, как постоянное повышение роли информации. За последнее столетие появилось много отраслей, которые практически полностью опираются только на информацию, например, дизайн, создание программного обеспечения, реклама и другие. В статье рассматриваются вопросы обеспечения защиты конфиденциальных данных, как способа поддержания информационной безопасности, виды информационных угроз, позволяющие производить доступ к конфиденциальной информации. А также меры противодействия и защиты конфиденциальной информации для обеспечения информационной безопасности.
Annotation.
The modern world is characterized by such an interesting trend as the constant increase in the role of information. Over the past century, many industries have emerged that rely almost entirely on information alone, such as design, software development, advertising, and others. The article deals with the issues of ensuring the protection of confidential data as a way to maintain information security, types of information threats that allow access to confidential information. As well as measures to counteract and protect confidential information to ensure information security.
Ключевые слова: конфиденциальная информация, информационная безопасность, информационные угрозы, персональные данные, информационные системы, защита данных.
Key words: confidential information, information security, information threats, personal data, information systems, data protection.
В современном мире существуют множество областей и отраслей жизнедеятельности общества, которые требуют особенного подхода в использовании. Ежедневно человечество сталкивается с такими проблемами, как: грабежи, случайные связи с незнакомыми людьми, потеря вещей. Информатизация нашего общества продолжается в достаточно быстром темпе. Пользователей информационными системами становится все больше. Количество информационного ресурса увеличивается в геометрической прогрессии. Немаловажным
является и прослушивание телефонных разговоров, чтение личной информации в социальных сетях и просто слежение за действиями определенных лиц.
С одной стороны, информация стоит денег. Утечка или потеря информации ведет к материальному ущербу. С другой стороны, информация - это управление. Несанкционированное вмешательство в управление может иметь катастрофические последствия для объекта управления - производства, транспортировки, военного дела. Необходимость изучения уровня защиты конфиденциальности информации в информационной системе на всех этапах ее жизненного цикла определяется необходимостью принятия рационального управленческого решения для обеспечения защиты информации, в том числе ее конфиденциальности. Актуальность проблемы усугубляется тем фактом, что обеспечение адекватной защиты конфиденциальности информации важно для успешного функционирования самой информационной системы и требует выделения значительного ресурса. Поэтому требование по обеспечению эффективности функционирования подсистемы защиты конфиденциальности в составе системы защиты информации является одним из ключевых.
Информационные угрозы, как правило, направлены на получение информации по определенным объектам, чаще всего это конфиденциальная информация различных организаций и отдельных людей. При разглашении коммерческой тайны предприятие или фирма может сильно ухудшить свою экономическую ситуацию.
Каналами утечки, как было упомянуто выше, могут быть локальные пользователи, но присутствует риск потери данных со стороны злоумышленников особой секретности. Таковыми являются хакеры, способные дистанционно похитить информацию, которая находится под неразглашением.
Большинство внешних угроз возникает из-за неправильной конфигурации систем информационной безопасности или человеческих факторов. Примером является атака Stegosploit. Атака была начата в 2015 году индийским исследователем безопасности Саумилом Шахом. Атака включает в себя сокрытие исполняемого вредоносного кода в пикселе изображения, и если пользователь решит загрузить изображение в браузер, он нарушит систему.
В настоящее время в типовом отделе компании положение о коммерческой тайне и конфиденциальной информации, а также система, обеспечивающая защиту конфиденциальной информации, могут оказать негативное влияние на информационную безопасность. Поскольку компания предоставляет свои услуги в течение многих лет, вы можете оценить большой объем данных, которые необходимо защитить.
В правовом аспекте информационная безопасность может быть нарушена при умышленном или случайном нарушении свойств информационной среды. Менеджмент хозяйствующего субъекта столкнется тогда с уничтожением или модификацией информации.
Стоит отметить, что подобного рода развитие обстоятельств может привести к непредсказуемым исходам. Так, к примеру, каждый злоумышленник способен тайным путем остаться не замеченным в содеянном правонарушении, однако место его работы, естественно теряет прежнюю организационную силу, что на руку конкурентам. Чтобы избежать подобных проблем, каждый владелец компании или организации должен строго соблюдать следующие правила:
- четкая формулировка кадровой политики, проведение работ по обеспечению лояльности персонала;
- обсуждение и определение политики ИБ в отношении конфиденциальной информации;
- организационные меры по обеспечению юридической ответственности за разглашение конфиденциальной информации;
- ограничение доступа к конфиденциальной информации в соответствии с политикой. Устранение путей утечки больших объемов информации;
- контроль, архивирование информационных потоков. Расследование случаев утечки информации по обвинению авторов, даже преступников; [8]
С частью локального хищения дела обстоят куда проще, чем в области утери информации дистанционно. Не трудно догадаться, речь пойдет об утечки конфиденциальной информации путем взлома систем. Взлом систем производит специалист компьютерной области с высоким уровнем квалификации, способный взламывать защиту компьютерной системы. Каждый, кто использует компьютер или ноутбук, имеет на своем компьютере что-то, что никто не должен видеть или это не должно никого беспокоить. Взлом компьютерных систем и вторжение третьих лиц, таких как хакеры, обычно становятся настоящей проблемой. ПК могут в настоящее время содержать контент, который не должен быть доступен другим. Сначала он собирает информацию о предполагаемой цели, находит лучший план атаки, а затем атакует возможные уязвимости (уязвимости) в системе. Поэтому в это время не лишне безопасно играть, то есть всегда устанавливать последнюю версию антивируса и постоянно обновлять ее. Вам необходимо постоянно следить за обновлениями браузера. Потому что разработчики браузеров постоянно совершенствуют свои браузеры, что повышает защиту компьютера и снижает риск взлома компьютера.
На сегодняшний день в ПК могут находиться материалы, которые не должны быть доступны другим людям. Вначале он собирает информацию о намеченной цели, выясняет лучший план атаки, а затем атакует возможные уязвимости (слабые места) в системе.
Поэтому, в нынешнее время, не лишним будет перестраховаться, то есть всегда ставить новейшую версию антивирусной программы и постоянно её обновлять, необходимо постоянно наблюдать за обновлением браузера. Для тех, кто пользуется роутерами, в целях безопасности, нужно установить пароль. Кроме того, для защиты компьютера от хакеров, нужно проверять на подлинность URL. Чаще всего, именно ошибкой, всего в одну букву пользуются взломщики, для получения пароля. [6]
Как и в любой другой системе, призванной защищать и предотвращать, одним из первых средств является аудит, включающий в себя сбор и анализ событий, а также механизмы обратной связи (оповещение о критических событиях, автоматический запуск необходимых процессов защиты).
Средства обеспечения безопасности должны быть адекватны степени конфиденциальности данных и требованиям к их защите. Есть места, где необходима защита любой ценой, но в большинстве случаев стоимость внедрения и сопровождения систем ИБ не должна превышать возможные убытки от потенциальных проблем.
Одним из основных средств защиты информации является шифрование, которое позволяет шифровать информацию и, таким образом, защищать ее от чтения и незаметных изменений при хранении и передаче по каналам связи. По мере появления новых информационных технологий перед их средствами защиты появляются многообещающие области для разработки и внедрения систем защиты информации.
В настоящее время широкое распространение получили облачные хранилища, такие как Яндекс.Диск, Dropbox и Google Drive.
Выбирая удобное место для хранения, пользователь обращает внимание на количество свободного места, доступного бесплатно, теряя из виду безопасность. Например, диск «Яндекс», который является одним из самых популярных средств архивирования и услуг, которым пользуются более 175 миллионов человек, не шифрует файлы при загрузке в облачное хранилище. Следовательно, данные в этой папке могут использовать все, кто имеет доступ к устройству или знает имя пользователя / пароль.
Существует два способа доступа к данным: через браузер и установку клиентской программы на компьютер. В первом случае доступ может быть ограничен выходом из учетной записи, во втором случае файлы
синхронизируются и физически доступны на устройстве. Второй вариант предпочтительнее с точки зрения удобства для пользователя, поскольку работа с ними ничем не отличается от работы с картой памяти.
Проект намеревается создать в облачном хранилище папку, к которой имеет доступ только владелец. Данные доступны только когда владелец находится на компьютере. Наш метод исключает использование украденного пароля пользователя из-за модифицированной системы аутентификации.
Изменение в системе аутентификации заключается в том, что вам необходимо подключить мобильный телефон (идентификационный ключ) к компьютеру и ввести пароль для подтверждения личности владельца. Когда телефон отключен, папка автоматически закрывается и шифруется.
Дополнительно: в случае потери мобильного телефона пользователь уведомляет службу, которая, в свою очередь, блокирует доступ к папке с помощью потерянного телефона и предлагает пользователю сгенерировать новые идентификаторы с использованием мастер-ключа (например, флешка).
Для вычислений (в MD5/MD6) инициализируются 4 переменных размером по 32 бита и задаются начальные значения шестнадцатеричными числами (порядок байтов тот же - littleendian, сначала младший байт): ABCD, а модификация предполагает включение 5-й переменной Е, что приведет к увеличению раундов, а значит, к более сложному криптоанализу.
Данные доступны только если владелец находится на компьютере. Наша методология исключает использование украденного пароля пользователя из-за модифицированной системы аутентификации.
Одна из модификаций системы аутентификации заключается в том, что для подтверждения личности владельца необходимо подключить мобильный телефон (который является ключом идентификации) к компьютеру и ввести пароль. Когда телефон отключен, папка автоматически закрывается и шифруется.
Кроме того, в случае потери мобильного телефона пользователь уведомляет службу, которая, в свою очередь, блокирует доступ к папке, используя потерянный телефон, и просит пользователя сгенерировать новые идентификаторы, используя первичный ключ (например, флешка).
Следующим наиболее важным аспектом в организации информационной безопасности в процессинговых центрах является защита на уровне операционных систем, приложений и баз данных. Основная задача должна быть выполнена: «Критические данные должны быть доступны только авторизованным лицам и только в порядке, разрешенном правилами безопасности». Это, в частности, подразумевает использование механизмов, которые контролируют запуск только авторизованных программ авторизованными пользователями (решения типа СА Access Control, системы типа host based intrusion prevention).
В заключении хотелось бы отметить, что защита конфиденциальной информации является самым важным аспектом в области хранения данных. Если информация будет содержать сведения о конкурентах, то следует ограничить круг проинформированных о ней сотрудников во избежание непредвиденных обстоятельств. Объединение и соблюдение в совокупности всех перечисленных правил поможет к достижению обеспечения максимального уровня защиты конфиденциальной информации.
Список используемой литературы:
1. Бабаш А.В. Информационная безопасность. Учебное пособие / А.В. Бабаш, Е.К.Баранова, Ю.Н. Мельников. - М.: КноРус, 2018. - 136c.
2. Егорова Ю.Н. Информационная безопасность: учебное пособие. / Ю.Н. Егорова- Чебоксары: Изд-во Чувашского ун-та, 2015. - 131 с.
3. Карзаева Н.Н. Основы экономической безопасности. / Н.Н. Карзаева - М.: ИНФРА-М, 2017. - 275с.
4. Исследование утечек информации за первое полугодие 2015 года [Электронный ресурс] URL: http://www.infowatch.ru/analytics/reports/16340.
5. Самые громкие утечки информации 2019 года [Электронный ресурс] URL: https://searchinform.ru/news/world-news/.
6. Бабенко Л.К., Ищукова Е.А. Современные алгоритмы блочного шифрования и методы их анализа. -М.: Гелиос АРВ,12006. -376 с.