Особенности защиты информации в сети Интернет.

Данная задача является довольно трудной для электронно вычислительных машин, в силу того что, нужно перебирать все делители чисел, а функция перебора, будет расти экспоненциально. Соответственно невозможно за сравнительно приемлемое время расшифровать сообщение, даже если шифр будет найден для одного сообщения, к тому же к этому времени оно может потерять актуальность. В сети Интернет довольно распространен криптографический протокол SSL, который используют туже идеологию. Основная задача протокола SSL защитить информационный обмен между клиентом и сервером организации. Довольно часто данным протоколом пользуются сервера – Интернет-банкинга, других сайтов, где используются персональные данные пользователей.
Принцип работы данного протокола состоит в следующем:
когда вы запрашиваете сертификат для домена своей компании, то запускаете на своем сервере процесс генерации пары ключей – открытого и секретного. секретный ключ устанавливается на сервере и при этом очень важно, чтобы никто кроме Вас не имел доступа к нему. На основе секретного ключа создается цифровая подпись, которая является своеобразной электронной печатью Вашей компании. Если Вы потеряете секретный ключ, то больше не сможете использовать свой сертификат. Необходимо создавать резервные копии секретного ключа, что является неотъемлемым элементом управления безопасностью информации.
Парный открытый ключ устанавливается на web-сервер и является частью цифрового сертификата. Открытый и секретный ключи связаны математической закономерностью, но не идентичны. Желающий установить с Вами защищенный сеанс (при помощи SSL протокола) клиент обращается к открытому ключу вашего сертификата и с помощью открытого ключа шифрует посылаемую Вам информацию. Этот процесс происходит мгновенно и незаметно для пользователя. Расшифровать информацию можно только с помощью секретного ключа сервера. Это дает гарантию клиенту, что никакая третья сторона не получит доступ к его информации.

Ограничение доступа к небезопасным ресурсам сети.

Ограничение доступа к ресурсам сети является одной из задач отдела по защите информации. В небольших компаниях данная роль может быть отведена единственному администратору безопасности.
В соответствии с моделью угроз предприятия, которая разрабатывается отделом безопасности на основании документации и действующего законодательства создаются, перечень мер по защите информации.
При более детальном анализе перечня мер по ограничению доступа к небезопасным ресурсам сети стоит отметить перечень мер которые применяются:
Это определение репутации сайта, и создании соответствующей шкалы риска того или иного ресурса. Обычно применяется дифференцированная шкала, которая может определять уровень угрозы от -10 до +10. Поэтому все ресурсы, которые возможно используются в работе, анализируются и исходя из них производится блокировка таких сайтов. Также известно, что многие антивирусные компании публикуют рейтинги безопасности сайтов, но это также не является показателем защищенности ресурса. Также стоит понимать, в любом значимом новостном ресурсе, может применяться реклама или любая другая информация, которая может вести на подозрительные сайты. Поэтому данные сайты также должны подвергаться блокировки ресурсов.
Если защищаемый ресурс – это государственная организация, то обязательной блокировки также подвергаются определенные категории сайтов такие как: файлообменники, онлайн-казино и различные форумы если, только не форум который может быть использован в работе. Для использования данной методики используются блокировка по URL сайта. Поэтому существует своеобразные белые и черные списки, в которых содержаться разрешенные и запрещенный список сайтов.
Немаловажным фактором защиты от небезопасных ресурсов сети, обеспечит антивирусное обеспечение, которое будет сканировать загружаемые файлы сети. Известно, что основной проблемой в защите информации является проблема запуска программного обеспечения содержащего вирус – пользователем данной сети. Поэтому проверка входящих файлов должна быть организованна на уровне антивирусного программного обеспечения. При появления зловредного программного обеспечения антивирусное программное обеспечения немедленно производит перенос данного файла в карантин, тем самым уменьшая риск заражения компьютеров сети.
Комплекс мер по защите информации.

Комплекс мер в себя включает, генерацию безопасных паролей, и соответственно безопасного хранения. Во многих компаниях, также и отдельными пользователями используется специальный бумажный журнал паролей, для избежание утечки паролей в сеть Интернет. Как говорилось выше использование антивирусного программного обеспечения. Установка специальных шлюзов или же использования файрвола, для создания ограничений по доступу к ресурсам сети. Использование шифрования между узлами используя протокол https также увеличивает защищенность соединения, но в тоже время очень часто может быть упущена из виду при использовании сети не специалистами в данной области. Поэтому для сотрудников организации, так и для отдельных пользователей необходимо повышение грамотности использования сети «Интернет». В тоже время стоит не забывать, то что для государственных учреждении и учреждении занимающихся обработкой персональных данных ФСБ Российской Федерации, Министерства информационных технологий и связи РФ и  Федеральной службы по техническому и экспортному контролю разработан приказ за номером N 55/86/20 от 13 февраля 2008 г «Об утверждении Порядка проведения классификации информационных систем персональных данных» в котором содержаться рекомендации по классификации и перечню мер по защите информации. Данный документ является одним из ключевых при разработке модели угроз и других мер по обеспечению защиты.
Поэтому исходя из данного вопроса защита информации, будет в первую очередь создание такой модели, в которой будет обеспечена наиболее полная защита предприятия.
Выводы.

Вопрос защиты информации является довольно сложным вопросом, во первых стоит разделять персональную защиту информации, но и защиту информации компании, предприятия, государственных учреждении. Вообще данная сфера является довольно новой по причине быстрого развития сети Интернет и довольно новизной данного вопроса. С одной стороны задача государства – это защитить персональную информацию граждан. В тоже время на основе инсайдерской информации можно сделать, что многие государства мира нарушают данный регламент в том числе и подписанные документы в Организации Объединенных нации, о запрете на сбор данных на любое физическое лицо. В тоже время, сеть Интернет, создала такие прецеденты когда, все данные пользователей хранятся в сети. Поэтому в это же время такая информация может быть использована злоумышленниками. Надо понимать с одной стороны повальное увлечение социальными сетями, может представлять угрозу для жизни человека или может представлять угрозу потери средств и личной персональной информации. Поэтому защита информации с точки зрения пользователей, является важной. В первую очередь пользователям сети Интернет надо проявлять грамотность и понимать, каким последствиям может приводить публикация в открытом доступе той или иной информации.
С точки зрения государственного предприятия или же финансового учреждения или любого другого учреждения являющиеся оператором персональных данных клиента, утечки информации могут быть связаны с репутационными рисками. В эпоху всеобщей публичности, любая негативная информация, или утечка может привести к катастрофическим последствиям. К примеру, если утечке подвергнутся данные о кредитных картах клиентов банка, то банк может не только лишится средств клиентов, но и может полностью потерять доверие со стороны пользователей, а это обозначает коммерческое самоуничтожение организации. Утечки же из государственных организации может и не приведут к большим негативным последствиям, но данная информация может быть использована злоумышленниками. К примеру в таких базах могут содержаться адреса прописки, актуальные номера телефонов, паспортные данные, что тоже не является само по себе положительным явлением.








Список литературы


Нормативно-правовые источники
Указ Президента Российской Федерации от 6 марта 1997 г. № 188
Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ.
Постановление Правительства РФ №687 от 15.09.2008 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
«Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства РФ от 17.11.2007 г. No 781.
«Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. No 687.
«Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные Постановлением Правительства РФ от 06.07.2008 г. No 512.
Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации по обеспечению безопасности ПДн при их обработке в ИСПДн.
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП).

Учебники, монографии, брошюры
Борисов М.А. Особенности защиты персональных данных в трудовых отношениях 2013. 224 с. ISBN 978-5-397-03294-0
Блинов А.М. Информационная безопасность. Учебное пособие. Часть 1 – СПб.: Изд-во СПбГУЭФ, 2010. – 96 с.
Книга «Тестирование черного ящика. Технологии функционального тестирования программного обеспечения и систем» Борис Бейзер, «Питер», 2004 г.

Диссертации и авторефераты диссертаций


Политики безопасности компании при работе в Internet. CISO Сергей Петренко, CISSP Владимир Курбатов, Группа компаний "АйТи"
























































Последний лист выпускной квалификационной работы
(является обязательным)




Выпускная квалификационная работа выполнена мной самостоятельно. Все использованные в работе материалы и концепции из опубликованной научной литературы и других источников имеют ссылки на них.

Ф. И.О. _________________ (подпись)"__" ________ 200_г.