Смотреть миникаст
Евгений Романенко и Олег Брагинский
– Сегодня одна из любимейших тем Олега – информационная безопасность. Эффективная информационная безопасность. Кого, как не человека, посвятившего этому два десятка лет спрашивать. Введём определение, что такое «информационная безопасность»?
– Информационная безопасность – процесс обеспечения конфиденциальности, целостности и доступности информации. Конфиденциальность означает, что чувствительные данные подвергаются обработке только надлежащими владельцами. Целостность обеспечивает неизменность. Доступность гарантирует, что в случае необходимости, информация будет находиться в ожидаемом месте. Помню, картинка рассмешила. На ней изображён человек, говорящий другому, который его собеседует: «Написал резюме со сдвигами, согласно знакам числа Пи после запятой. Потом в зеркальном варианте напечатал, пропустил через шредер и теперь претендую на должность администратора информбезопасности вашей компании». Если возвращаться к серьёзному ладу, информационная безопасность имеет 2 крыла: техническое и психофизическое. Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой данных по каналам техническим, а также несанкционированным и непреднамеренным воздействиям на ресурсы автоматизированной системы.
– Время перейти к правилам информационной безопасности. Давайте по традиции сформулируем не менее пяти.
– 1. Максимум систем должны иметь раздельные надёжные пароли или биометрические идентификаторы.
2. Нельзя оставлять логины, пароли, физические ключи в общедоступных местах, записывать на бумаге или текстовых документах, использовать программные менеджеры паролей.
3. Нежелательно передавать пароли и ключи третьим лицам. Даже супругам, коллегам и начальникам. Если пришлось, проводите аудит и смените максимум идентификаторов.
4. В путешествиях обходитесь без Wi-Fi на автозаправках, площадях, музеях, общественных местах. Не принимайте соединение по Bluetooth, не скачивайте приложений без крайней надобности.
5. Явным образом выходите из учётных записей. Особенно после работы в личных кабинетах банков, систем бронирования гостиниц и билетов, заказа транспортных средств и управления расписанием.
6. Используйте системы двухфакторной авторизации с подтверждением личности по SMS, почте, в мобильном приложении или гаджете.
7. Не работайте под паролями администратора даже на домашнем компьютере и запретите админам сидеть под рутовыми правами.
8. Резервируйте документы, файлы баз данных, создавайте диски экстренного восстановления.
9. Шифруйте информацию, сжимайте в архивы и минимизируйте объем данных, доступных без пароля.
10. Проводите аудит информбезопасности, обновляйте информационные системы, офисные программы. Не прибегайте к услугам случайных и неквалифицированных людей.
– Личная информационная безопасность рядовых пользователей Интернет, компьютеров. Таких, как мы с Вами, наши зрители. Какие нужно дать рекомендации?
– Любимая тема. Безопасники в организации работу делают плохо или хорошо, но в организации внедриться сложнее, чем проникнуть в компьютер человека. Пароли на BIOS, операционку, приложения, базы данных, шифрованные диски, биометрические флешки, распознавание лиц почти не усложняют работу профессиональным хакерам. Не слышал, чтобы взлом стоил дороже $10’000. Есть группы, специализирующиеся на почтовых ящиках, SMS, мессенджерах, банковских приложениях, гаджетах. Краткого контакта с устройством достаточно для внедрения аппаратного или программного жучка, закладки, снятия данных на внешний носитель. Люди не подозревают, что чем современней и быстрее устройство, тем уязвимее данные. Антивирус и спам-фильтр – не безопасность. Не важно, как громко называется купленный софт, всегда можно устройство раскурочить и выудить информацию прямо с чипа или диска.
– Как будут звучать главные рекомендации по информационной безопасности физическим, юридическим лицам – нашим зрителям и слушателям?
– 1. Не гоняйтесь за новинками программ. Не торопитесь пробовать всё первое. Дождитесь отзывов, станьте консервативным.
2. Проводите инвентаризацию средств и сред их размещения.
3. Уменьшите количество людей и систем, имеющих доступ к чувствительной информации.
4. Регулярно выполняйте резервное копирование с шифрованием на выносные носители.
5. Приучитесь к чувству нахождения под тотальным контролем. Придумайте шифры для общения на наиболее важные бизнесовые и личные темы.