Информационная безопасность хабр и H 12 шагов информационной безопасности в черновиках

Настало время написать про Австралию и мою поездку на конференцию AusCERT. На этом волшебном континенте мне предстояло провести три недели, начав с города Gold Coast. Ожидания, связанные с находящимся там отличным серф-спотом, были самыми приятными. В итоге, мой серф так и не изведал этого места, найдя еще более шикарные австралийские волны, после чего прямиком оттуда я попал в Сингапур, где выступил на культовой конференции RSA.

Итак, первое, что я увидел в Австралии, это – к-е-н-г-у-р-у, нет, не мертвый, как дельфин из прошлой истории, и это меня очень обрадовало. «Хороший знак», — подумалось мне. А дальше – провал, вызванный тяжелым перелётом, состоящим из 4 рейсов общей протяженностью 36 часов.

Конференция

Перед конференцией мне предстояло провести тренинг по безопасности SAP. Читать доклады уже не модно, теперь круто проводить тренинги. О нем рассказывать не буду, поскольку здесь либо все, либо ничего, а наш пост посвящен Австралии и AusCERT. Кратко: это был мощный мозговой штурм для местных пентестеров, поскольку пришлось запихнуть им дневной материал за 4 часа, но, в общем, все остались довольны. А я, утомленный джетлагом и тренингом, был совершенно свободен на конференции, что позволило мне лучше ознакомиться с местным рынком, докладчиками и вообще.
Итак, конференция: я был очень удивлен, что ивент этот проводится уже без малого 20 лет! Получается, что это чуть ли не старейшая секюрити-конференция, хотя правильнее называть ее выставкой или вендор-пати. На выставке было порядка 70 стендов, что, в общем, немного больше обычного. И снующие повсюду продавцы и маркетологи всего, что связано с инфобезопасностью. Просто постоять в очереди за кофе там не получится, не набрав листовок или не ответив на десяток анкет и вопросов про BYOD (кстати, что это такое, кто-нибудь в курсе?). Все обеды, перерывы и прочие ништяки щедро спонсированы, а про благодетелей навязчиво жужжат громкоговорители. В общем, обычная выставка вендоров, только очень уж “продажная”. Апогеем этой вакханалии стал завершающий салют нехилого размаха. На этом фоне очень отличились ребята из HackLabs со стендом на улице, фото которого в начале статьи.
Для завершения пафосности на конференции был еще и гольф. Перед конференцией, во время тренингов, проводились гольф-турнирчики. Рядом с отелем — огромная гольф-площадка. Ну пока другие спикеры дружески резались в гольф, я вел тренинг, так что это поле тоже пока не охвачено. Но ничего, я еще постучу по шарикам клюшкой, когда песок с меня начнет сыпаться на кресло Бентли.

Читайте также  Защитите свой аккаунт ВКонтакте: узнайте, как сделать его приватным
Доклады
Дела-Отдых-Дела-Отдых

Итак, коли пост об информационной безопасности, то расскажу, как дела обстоят с этим в Австралии. В общем, если кратко, там очень популярны пентесты и пентестинг компаний, пентестеров хоть отбавляй, работы гора, конкуренция огромная. Работа само по себе не шибко интеллектуальная, потому что все поставлено на поток, масса коротких проектов а-ля комплаенс. Почему так? Ну, отчасти, из-за законов.

Итак, законы. Есть у них госучреждения, называемые council, что-то типа районных управлений. И вот, всех этих “управдомов” обязали делать пентест. А надо отдельно сказать, что управдомы там — все, они и мусор вывозят, и деревья пилят, простым смертным это делать запрещено. На любые работы граждане пишут заявки “управдому”, который любую бумажку за денежку уберет с тротуара. И всех этих “мусорщиков”, которых на всю страну тысячи, надо пентестить, причем не раз в году, а все четыре. Конечно, попадаются среди них конкретно не понимающие ничего и хотящие только бумажку, как некоторые наши компании, измученные обязательным соответствием PCIDSS, например. И весь этот большой и не особо грамотный в технических вопросах рынок окучивает большое число посредственных исполнителей, хотя, безусловно, есть и отличные команды.
Пентест тут оценивается по человеко-дням, и у пентестерских компаний есть определенные рейты на человеко-день пентестера, обычного и продвинутого. Зачастую, поскольку компании сильно тратиться не хотят на неведомую услугу, все происходит за 2-3 человеко-дня. «А если не успеют ничего найти?» — поинтересовался я. На это мне резонно заметили, что, мол, задача не разломать все вдребезги, как в России, копая, если надо, впятером месяц, а просто проверить, так сказать, наличие определенного уровня защищенности, равняющегося трем человеко-дням пентестера.

Читайте также  Узнайте, что говорится в отчете ВКонтакте за 2021 год

Вдобавок к этому «великолепию» на рынок стремительно выходят индийские компании с дневным рейтом чуть ли ни в 10 раз ниже. Естественно, некоторые клиенты выбирают их, о чем потом крайне жалеют: хитрые индусы не предупреждают заранее, что проект, скорее всего, затянется, а также о том, что их цена учитывает только работу пентестера, которому для работы обязательно нужны разные программы за дополнительные деньги. И несчастные клиенты покупают лицензии на метасплойт или нессус и т. д. В итоге, такая «экономия» обходится заказчикам очень дорого. Безусловно, стандарты и большой рынок – это, конечно, лучше, чем отсутствие рынка вообще, но и пентест в этом случае уже не торт.

Потом я немножко пообщался с партнерами, продал немножко ERPScan, и полетел в Сингапур — выступать на конференции RSA APAC.

Это, наверное, первая конфа, где среди спикеров не встретил я ни одного знакомого, все сплошь большие боссы крупных компаний несут баяны с умными личиками. И хотя мой доклад был самым нетехническим из всех моих докладов, он оказался самым технически-хардкорным на RSA. Ну а так, конечно, RSA – это статус, абы кого там выступать не берут, среди спикеров – только профессионалы, поэтому гостям, безусловно, полезно послушать аналитику и выжимку о том, что произошло за год. А технарям там делать нечего, это факт. Доклад если что, доступен для просмотра.

ЗЫ:

Напоследок я еще заглянул в Тасманию. Местные при упоминании о ней делают страшные глаза и рассказывают про двухголовых аборигенов и нереальный холод, ну примерно как у нас говорят о «замкадье». Там я искал тасманского дьявола, а нашел традиционно труп непонятного зверя (и я не имею ни малейшего понятия кто это, но это точно не ТАЗ). Чтобы не травмировать публику, на этот раз фото — по ссылке. Еще были кенгуру, коала, валаби и другая местная живность.

Тут, кстати, объявили конкурс за лучшие достижения в ИБ в России и прочие прелести, среди компаний и простых граждан. Бумажники уже наверняка проголосовали, а технари, скорее всего, не в курсе даже, так что будет справедливо, если я просто оставлю ссылку здесь, а вы уже решите, кто чего достоин.
Все, последний пост с некачественными фотками, ждите новый опять из ЮАР или из Америки. Пока не решил, что интереснее.

Чем занимаются плохие менеджеры ИБ? / Хабрахабр

Чем занимаются плохие менеджеры ИБ?Последние 6 лет я провел, работая в направлениях информационной безопасности, управления ИТ-рисками и ИТ-аудита.

Будучи педантом, я очень заморочен вопросом персональной эффективности и постоянно ищу способы её повышения в рамках курируемых мною рабочих вопросов. В ход идет и обучение\сертификация, позволяющие систематизировать знания и провести гап-анализ своих практик в сравнении с общепризнанными, и общение с коллегами по интересам — за несколько лет я оброс знакомствами с ИБ специалистами разного уровня, начиная от технических администраторов, заканчивая топ-менеджерами крупных компаний. Но самую большую пользу мне принесла и приносит обратная связь от конечных пользователей и менеджеров, то есть от бизнеса.

Имхо, мне удалось добиться определенных успехов в популяризации информационной безопасности на выделенном мне периметре (и что не менее важно, в повышении уровня информационной безопасности), в то же время, я вижу как некоторые коллеги, возглавляющие службы ИБ терпят неудачи. Сейчас я расскажу, как потерпеть неудачу, когда тебя назначили руководителем службы ИБ всего за 9 простых шагов. Предупреждаю, что путь к плохому руководителю ИБ службы может занять более года, а как правило — 10-12 лет.

2. Ты никогда не участвуешь в проектах
Если не хочешь, чтобы контроли и средства защиты были внедрены к выходу системы в продакшн, то лучшее время для игнорирования требований ИБ — начало проекта, тот самый момент, когда прикидываются сроки, бюджеты и примерная архитектура. Отсутствие оценки рисков на первых этапах внедрения проекта приводит к огромной головной боли в будущем и существенно повышает затраты на приведение ситуации в порядок. Но ты же не будешь приводить ситуацию в порядок.

3. Ты никогда не рассказываешь о проблемах ИБ внутренним аудиторам
Тебе ведь виднее, что творится в компании и тебе не нужен независимый взгляд со стороны.
А самое важное, тебе не нужно, чтобы кто-то оказывал дополнительное давление на топ-менеджеров, вынуждая их принимать меры к снижению ИТ\ИБ рисков.

4. Потому что риск-ориентированный подход будет только мешать
Так как с ним не получится внедрить DLP (data leakage prevention) решение за 20млн. (для защиты активов на 230 рублей мелочью), чтобы мониторить переписку пользователей и запрещать им сидеть вконтакте. Ведь кому, как ни тебе заниматься вопросами мотивации и повышением лояльности сотрудников?

5. Не общайся с пользователями
Мнение пользователей не важно, потому что они не разбираются в вопросах ИБ и априори не могут возразить ничего конструктивного против твоего экспертного мнения.
Внедряемые тобой изменения это вынужденные меры, повышающие информационную безопасность в компании, и, производительность труда (естественно).

9. Скрывай результаты своей работы от менеджмента
Если не дай бог, тебя попросят отчитаться о результатах работы, то рецепт прост. Делаешь презентацию со следующими слайдами:
— выгрузка из консоли антивируса, чем больше цифр — тем лучше. Это самые наглядные данные о самых опасных угрозах. 93,8%!!!
— служебная записка на имя председателя с результатами расследования инцидента с флешкой, чем больше текста состоящего из длинных цепочек букв — тем лучше. Желательно, приложить объяснительную.
— Выгрузка с прокси со списком посещенных ресурсов и расходу трафика. Чтобы вызвать живой интерес у аудитории, следует красным выделить самые сальные сайты,

Буду рад подискутировать на эту тему, еще больше рад, если кто-то в этой статье увидит свои ошибки и задумается.

Это был наибольший вклад в корпоративную информационную безопасность (ИТ-безопасность) за последнее десятилетие, а возможно, и четверть века. И создателем ее, по сути, был Enron.

Сегодня американцы, даже если они не могут вспомнить компанию Enron Corp., используют «Enron» как синоним корпоративного мошенничества и коррупции. Enron была спроектирована как сложная бухгалтерская сверхструктура, скрывающая почти не существующее ядро бизнес-модели и создающая видимость доходов за счет фальсификации финансовой информации.

Одним из итогов банкротства Enron стало принятие Конгрессом США закона Сарбейнза – Оксли, устанавливающего новые учетные структуры и цепочки ответственности в публичных корпорациях. Согласно закону вводились независимые наблюдатели и члены правления, единственной работой которых стало обеспечение целостности финансовой информации и контроль ее публичного раскрытия.

Какое-то время никто не знал, как провести этот закон в жизнь. На заре 21 века суды разгадали сложные схемы, тщательно выстроенные для обработки информации умышленно неверно, но не было никакой системы, как это должно работать правильно. Возникла необходимость в надежном списке, основанном на лучших практиках, в котором эксперт, оценивающий предприятие, мог бы ставить галочки и таким образом определять соответствие. Ближе всего к этой цели был BS 7799, созданный в Великобритании в 1995 году. Это был набор лучших практик, по которым компании, законодатели и судьи могли договориться. На его основе в 2005 году был разработан стандарт ISO 27001.

Хотя этот стандарт изначально не был создан для сертификации, корпорации хотели быть сертифицированными по ISO 27001. В процессе разработки процедуры сертификации наконец-то был сделан большой вклад в ИТ-безопасность. В результате сообщество информационной безопасности помогло создать стандарт, говорящий на их языке: ISO 27002. Это набор принципов соответствия, разделенных на 12 различных категорий – практических, объяснимых, использующих общий язык областей. Каждая из этих областей состоит из отдельных повседневных задач, которым можно научить работников.

Одним из наиболее успешных публичных примеров взаимодействия высших руководителей и менеджеров по безопасности служат, что неудивительно, учебные заведения. В 2012 году университет Индианы реализовал один из первых национальных проектов обучения персонала безопасности. Для внутреннего пользования он получил название директива IT-28, как образовательная программа – «12 областей за 12 месяцев».

Руководитель службы безопасности Thomas R. Davis и руководитель службы обеспечения конфиденциальности Merri Beth Lavignino в одном из параграфов введения в программу 12 шагов заявляют, что стратегия информационной безопасности должна не только гарантировать защиту, но и не препятствовать соответствующему широкому использованию. Программа должна уважать частную жизнь людей и поддерживать высокие этические стандарты. Она также должна включать четкую методологию оценки риска и обеспечивать принятие мер по устранению выявленных рисков в случае необходимости.

Начиная с марта 2014 года, работники службы безопасности и президент университета совместно проводят образовательные программы и семинары для персонала, в том числе профессоров, секретарей и всех, кто работает с потенциально уязвимой информацией. Используя ISO 27001/27002 как ориентир, они сосредоточились на упрощенных формах в 12 областях:

  1. Оценка риска и подготовка, включая расстановку приоритетов критичности активов.
  2. Административная политика, в которой лидеры отражают свои принципы в письменной форме.
  3. Организация, относящаяся к выверке систем хранения и эксплуатации с информационными активами, с которыми они работают.
  4. Управление этими информационными активами, где бы они ни находились.
  5. Человеческие ресурсы, обеспечивающие наличие всех необходимых собственникам инструментов для управления этими активами.
  6. Физическая часть и окружающая среда, в которой работают эти люди, с соответствующими мерами безопасности.
  7. Взаимодействие и оперативное управление основными ресурсами в этих средах.
  8. Идентификация и контроль доступа к информационным ресурсам.
  9. Приобретение информационных систем, развитие, обслуживание и поддержание соответствия современным требованиям.
  10. Управление инцидентами, принципы документирования и тестирования для поддержания устойчивости под нагрузкой.
  11. Управление непрерывностью бизнеса, уверенность, что основной бизнес сохраняет работоспособность даже в стрессовых условиях.
  12. Соответствие, гарантирующее, что результаты этих усилий находятся в соответствии с отраслевыми и прочими стандартами.

История покажет, насколько состоятельна эта система, но дело Enron вызвало ряд событий, побудивших руководителей корпораций осознать, что кто-то из властных структур будет искать, какая конфиденциальная информация находится под угрозой. После этого компании и учреждения поняли, что лучше управлять информацией как активами с рассчитанной стоимостью. И это был первый реальный положительный импульс с организации безопасности дата центров.

Информационная безопасность (на английском Information Security или InfoSec) – это практика предотвращения несанкционированного доступа, использования, искажения, корректирования, исследования, уничтожения, записи и раскрытия той или иной информации. Понятие является универсальным. Оно используется вне зависимости от формы, которые принимают данные (физическая, электронная и так далее).

Ключевая задача информационной безопасности – это сбалансированная защита:

  • конфиденциальности;
  • целостности;
  • доступности данных.

Производительность организации при применении «защитных средств» не должна снижаться, а методы организации предварительно изучаются на предмет целесообразности.

В данной статье информационная безопасность данных будет рассмотрена более подробно. Предстоит рассмотреть ее аспекты, а также основы и особенности. А еще – как стать специалистом по ИБ.

Ключевые понятия

Основы информационной безопасности можно изучать после того, как человек четко понимает некоторые моменты в IT. Сначала нужно разобраться, что относят к понятию «информация». Это весьма расплывчатый термин. Его понятие меняется в зависимости от сферы применения.

Информация (в области обработки информации) – это любые данные, представленные в электронной форме, а также произнесенные и написанные на материальном носителе. Они используются для принятия решений, перемещения денег, предоставления в суд, считывания и проведения операций и иных манипуляций. Сюда также относят компоненты программного обеспечения обработки.

Для разработки концепции обеспечения информационной безопасности систем (ИБ) под информацией понимаются сведения, которые доступны для:

  • сбора;
  • хранения;
  • обработки (преобразования и редактирования);
  • использования;
  • передачи.

Соответствующие материалы могут быть доступны в иных ИС и даже компьютерных сетях. Они имеют высокую ценность. Именно поэтому необходимо обеспечивать надежную защиту информации – злоумышленники могут использовать ее в собственных целях. Последствия подобного поведения непредсказуемы.

Определение информационной безопасности

Перед разработкой концепций защиты данных, нужно разобраться с базовым определением ИБ. Безопасность информационной системы – это стабильное состояние защищенности информации, ее носителей, а также инфраструктуры, обеспечивающей целостность и устойчивость процессов, связанных с информацией, к намеренным/преднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые способны наносить вред информационным объектам.

Под защитой информации понимают комплекс мер, направленных на предотвращение реальных/предполагаемых угроз ИБ:

  • технических;
  • организационных;
  • правовых;
  • административных.

Сюда также относят манипуляции, направленные на устранение последствий разнообразных инцидентов. Процессы должны осуществляться на постоянной основе, гарантировать борьбу с реальными/потенциальными угрозами на всех этапах информационного цикла.

Рассматриваемое понятие можно отнести к одной из характеристик работоспособности системы. Последняя в каждый момент времени должна иметь определенный и измеряемый уровень защищенности. Обеспечение БС должно быть непрерывным. Соответствующий комплекс мер осуществляется на всех временных отрезках жизни системы.

Субъекты

В темах, посвященных рассматриваемому понятию, можно увидеть информацию о том, что такое субъект ИБ. Это – владельцы данных и их непосредственные пользователи. К последним относятся не только постоянные клиенты (сотрудники), но и те, кто разово обращаются к базам данных. Пример – государственные органы.

Поддерживающая структура

Рассматривая аспекты информационной безопасности, стоит обратить внимание на некоторые понятия. Поддерживающая структура – это:

  • компьютеры;
  • помещения;
  • телекоммуникационное оборудование;
  • персонал;
  • системы жизнеобеспечения;
  • сети.

Сюда относятся все те элементы, за счет которых происходит функционирование всей системы защиты данных. При анализе безопасности нужно изучить все компоненты, сделав акцент на персонале. Это связано с тем, что работники (как и иные люди) выступают носителями большинства угроз.

Угроза

К информационной угрозе принадлежат объективные возможности воздействия на защищаемый объект. Они могут привести к утечке, разглашению, распространению, а также хищению и удалению информации. Это – узкое понимание термина.

Система безопасности

Под системой информационной безопасности понимают юридические лица, а также специализированных работников IT-сферы. В первом случае речь идет о компании, во втором – о программном обеспечении.

В состав системы включены такие понятия как:

  • целостность;
  • доступность;
  • конфиденциальность.

Каждый компонент скрывает собственные аспекты и характеристики. Эта информация будет рассмотрена далее более подробно.

Целостность

Свойства целостности информации – это устойчивость баз данных и иных информационных материалов к случайным или намеренным нарушениям, внесению несанкционированных корректировок.

Соответствующее понятие может рассматриваться в нескольких видах:

  1. Статический тип. Он выражается в неизменности и аутентичности информационных объектов (ИО), которые были созданы по определенному, заданному заблаговременно техническому заданию. Включают себя информацию, достаточную для ведения основной деятельности.
  2. Динамический тип. Выражается корректным выполнением сложных операций и действий. В данном случае информация не должна повреждаться. Она остается в целости и сохранности.

Для контроля динамической целостности используются специальные технические средства и технологии. Они анализируют поток поступающих материалов. Соответствующие свойства в виде основной характеристики используются тогда, когда при наличии или поступлении тех или иных сведений принимаются решения относительно дальнейший действий. Нарушение последовательности команд или действий способно нанести огромный вред. Особенно тогда, когда речь заходит об описании технологических процессов и различных программных кодов.

Доступность

К доступности относят свойства, позволяющие осуществлять доступ авторизованных субъектов (клиентов) к данным, а также обмена ими.

Ключевое требование авторизации или легитимации позволяет обеспечить разные уровни доступа. Отказ системы предоставлять запрашиваемые сведения – проблема для любой организации или пользовательской группы.

Пример – недоступность сервисов государственных услуг при системном сбое. Это приводит к тому, что пользователи не смогут просмотреть интересующие их материалы на соответствующих страничках, а также у них не получится заказать то или иное обслуживание.

Конфиденциальность

Свойство быть доступным пользователям и процессам, которым доступ был разрешен изначально. Большинство предприятий выдвигают этот параметр в качестве основы ИБ. На практике полная его реализация оказывается весьма проблематичной.

Доступ к информации может осуществляться по различным каналам. И не всегда специалисты по ИБ о них знают. А некоторые средства защиты приобрести беспрепятственно вовсе не получится: доступ к ним ограничен.

Объекты защиты

К основным группам объектов защиты относятся:

  • любые информационные ресурсы;
  • права граждан, государственных служб и организаций на доступ к тем или иным сведениям;
  • системы создания, распространения и непосредственного применения данных (технологии и системы, архивы, нормативные документы, библиотеки и так далее);
  • системы формирования общественного создания (веб-ресурсы, социальные институты и учреждения, СМИ).

Каждый вариант предусматривает собственные средства и концепции защиты. Ее обеспечение базируется на системном подходе с учетом имеющейся специфики конкретного объекта.

Носители информации

В России можно классифицировать информацию по критериям доступности. Точно так же ситуация обстоит и в IT. Это помогает уточнять меры обеспечения ИБ:

  • сведения с ограничениями доступа на основании законов;
  • информация в открытом доступе – ее с легкостью узнает любой желающий;
  • общедоступные материалы, предоставляемые на конкретных условиях;
  • вредные, недостоверные и опасные сведения.

Первый вариант делится на две группы: государственная тайна и конфиденциальные сведения. Второй тип встречается в IT чаще всего, поэтому стоит обратить внимание именно на него.

К конфиденциальной информации относят:

  • персональные данные;
  • служебные тайны;
  • тайны судопроизводств и следствия;
  • профессиональные и коммерческие тайны;
  • материалы об изобретениях и полезных элементах;
  • сведения из дел осужденных;
  • материалы о принудительном исполнении судебных актов.

Персональные сведения могут существовать как в открытом, так и в конфиденциальном режимах. При создании программного обеспечения для работы с соответствующими материалами, а также работе с ними, нужно соблюдать «Закон о защите персональных данных». 

Основными носителями различных полезных сведений относят:

  • печатные/электронные средства массовой информации;
  • веб-ресурсы;
  • социальные сети;
  • сотрудников компаний, у которых есть доступ к тем или иным материалам;
  • средства связи, передающие или сохраняющие сведения: телефоны, планшеты, компьютеры, АСТ и так далее;
  • любые документы и ценные бумаги;
  • электронные носители с поддержкой автоматической обработки материалов.

Рассматривая обеспечение целостности и доступности информации, нужно обратить внимание на средства защиты. Они бывают нескольких типов, каждый из которых предусматривает свои ключевые особенности.

Средства защиты

Безопасно работать с различными полезными сведениями помогают разнообразные средства их защиты. Их можно разделить на:

  • нормативные (или неформальные);
  • технические (формальные).

Первая категория – это правила, документы и мероприятия. Вторая – специальные технические средства в той или иной среде, программное обеспечение. Такое разграничение помогает определять зоны ответственности при формировании информационной безопасности.

Формальный тип

Сюда относят такие средства:

  1. Физические. Это разнообразные механизмы, функционирующие независимо от ИС. Они создают препятствия для пользователей при получении доступа к интересующим их материалам. Обычно дополняется средствами систем безопасности: камерами, регистраторами, датчиками и так далее.
  2. Аппаратные. Устройства, которые встраиваются в телекоммуникационные и информационные системы. Перед их внедрением необходимо убедиться в совместимости компонентов.
  3. Программные. Приложения, которые необходимые для решения не только комплексных, но и частных задач, связанных с ИБ. Пример – DLP-системы или SIEM-системы. Первые помогают предотвратить утечку материалов, переформатирование, перенаправление потоков. Вторые предотвращают инциденты в сфере ИБ.

Также есть специфические средства. Сюда относят криптографические алгоритмы. Они позволяют шифровать сведения на диске, которая перенаправляется по внешним связным каналам. Преобразование осуществляется посредством программных и аппаратных методов.

Неформальный тип

Эти процессы информационной безопасности действуют на уровне организации. Сюда относят не устройства и программное обеспечение, а документы и законы, акты. В мировой практике принято ориентироваться на стандарты защиты ISO/IEC 27000.

Неформальный тип защиты делится на:

  1. Организационные и административные меры. Сюда относят архитектурно-планировочные решения, которые позволяют защищать комнаты переговоров, кабинеты руководства от прослушивания и проникновения.
  2. Морально-этические меры. Отвечают за определение личного отношения человека к конфиденциальной или важной ограниченной информации. Для обеспечения безопасности необходимо просвещать сотрудников компании о потенциальных источниках угроз и их распространении, делая упор на сознательность подчиненных.

Чтобы защитить сведения от злоумышленников, рекомендуется использовать все перечисленные средства.

Советы по защите личных данных

Каждый ПК-пользователь должен позаботиться о защите информации, хранящейся на домашнем компьютере. В этом помогут следующие советы:

  1. Установить антивирус и своевременно обновлять его. Не отключать данное ПО при работе в интернете.
  2. Не переходить по сомнительным сайтам. Сюда же относят отказ от пиратских приложений и программ, загруженных из ненадежных источников.
  3. Пользоваться только лицензионным программным обеспечением.
  4. Нигде не указывать личные данные, а также конфиденциальные сведения.
  5. Использовать пароли везде, где это можно. Придумывать их нужно так, чтобы потенциальный злоумышленник не мог подобрать «комбинацию предоставления доступа».
  6. По мере возможности для авторизации в системе использовать двухфакторный метод, а также биометрические данные.

Пользователю рекомендуется отказаться от автоматического запоминания паролей в браузерах, а также от передачи третьим лицам авторизационных данных от своих учетных записей.

Как стать специалистом

Чтобы СОИБ и ключевые аспекты защиты данных не доставляли хлопот, можно выучиться на специалиста по информационной безопасности. Сделать это удается несколькими способами:

  1. Поступить в техникум на направление «Информатика» или «Безопасность». Отличный вариант для новичков.
  2. Отдать предпочтение поступлению в ВУЗ. Долгий и дорогой подход, но в конце удастся стать настоящим профессионалом в выбранном направлении. При обучении в техникуме на соответствующую специальность длительность учебы можно сократить на 2-3 года.
  3. Заняться самообразованием. Не самое лучшее решение, если хочется заниматься процессом в глобальных масштабах, а не в размерах «личного компьютера». Все материалы нужно искать самостоятельно, подтвердить познания и навыки документально не получится.

Идеальное решение – прохождение дистанционных онлайн-курсов. Пользователь может находиться в Москве, Калининграде или любой другой точке мира. Обучение рассчитано на срок до 12 месяцев и организовано полностью через интернет. В процессе будет много практики, интересных домашних заданий. Гарантировано постоянное кураторство опытными специалистами, а в конце обучения пользователю выдадут электронный сертификат для подтверждения приобретенного спектра навыков и знаний.

Хотите освоить современную IT-специальность? Огромный выбор курсов по востребованным IT-направлениям есть в Otus!

Понравилась статья? Поделиться с друзьями:
ТВОЙ ВК
Добавить комментарий