Результаты исследований группы Информационная безопасность/ РЛ-16-3: различия между версиями

Материал из Wiki Mininuniver
Перейти к навигацииПерейти к поиску
(Результаты проведённого исследования)
 
(не показана 21 промежуточная версия этого же участника)
Строка 12: Строка 12:
  
 
== Проблемный вопрос (вопрос для исследования)==
 
== Проблемный вопрос (вопрос для исследования)==
'''Как обеспечить свою информационную безопасность?'''
+
'''Как обеспечить информационную безопасность?'''
  
 
== Гипотеза исследования ==
 
== Гипотеза исследования ==
Строка 24: Строка 24:
 
'''ЗАДАЧИ ИССЛЕДОВАНИЯ:'''
 
'''ЗАДАЧИ ИССЛЕДОВАНИЯ:'''
  
#изучить доктрину информационной безопасности РФ 2016 года, выписать основные понятия;
+
#Изучить доктрину информационной безопасности РФ 2016 года, выписать основные понятия;
#выполнить классификацию угроз информационной безопасности личности и способов защиты;
+
#Выполнить классификацию угроз информационной безопасности личности и способов защиты;
#провести опрос одногруппников по обеспечению информационной безопасности в Интернете с помощью анкетирования;
+
#Провести опрос одногруппников по обеспечению информационной безопасности в Интернете с помощью анкетирования;
#сформулировать рекомендации по решению проблемы информационной безопасности.
+
#Сформулировать рекомендации по решению проблемы информационной безопасности.
  
 
'''ФОРМА ПРЕДСТАВЛЕНИЯ РЕЗУЛЬТАТОВ ИССЛЕДОВАНИЯ:'''
 
'''ФОРМА ПРЕДСТАВЛЕНИЯ РЕЗУЛЬТАТОВ ИССЛЕДОВАНИЯ:'''
#Вики-статья
+
#Вики-статья;
#Карта знаний «Информационная безопасность» с помощью сервиса создания карт знаний
+
#Карта знаний «Информационная безопасность» с помощью сервиса создания карт знаний;
#Анкетирование с помощью Google-форм. Оформление результатов с помощью диаграмм
+
#Результаты анкетирования с помощью Google-форм. Оформление результатов с помощью диаграмм;
#Виртуальная on-line доска
+
#Виртуальная on-line доска.
  
 
==Результаты проведённого исследования==
 
==Результаты проведённого исследования==
 
'''''1. Вики-статья'''''
 
'''''1. Вики-статья'''''
Основные понятия из [http://www.garant.ru/products/ipo/prime/doc/71456224/| Доктрины информационной безопасности РФ 2016 года]
+
 
 +
Основные понятия из [http://www.garant.ru/products/ipo/prime/doc/71456224/ Доктрины информационной безопасности РФ 2016 года]
  
 
а) национальные интересы Российской Федерации в информационной сфере (далее - национальные интересы в информационной сфере) - объективно значимые потребности личности, общества и государства в обеспечении их защищенности и устойчивого развития в части, касающейся информационной сферы;
 
а) национальные интересы Российской Федерации в информационной сфере (далее - национальные интересы в информационной сфере) - объективно значимые потребности личности, общества и государства в обеспечении их защищенности и устойчивого развития в части, касающейся информационной сферы;
Строка 55: Строка 56:
 
з) информационная инфраструктура Российской Федерации (далее - информационная инфраструктура) - совокупность объектов информатизации, информационных систем, сайтов в сети «Интернет» и сетей связи, расположенных на территории Российской Федерации, а также на территориях, находящихся под юрисдикцией Российской Федерации или используемых на основании международных договоров Российской Федерации.
 
з) информационная инфраструктура Российской Федерации (далее - информационная инфраструктура) - совокупность объектов информатизации, информационных систем, сайтов в сети «Интернет» и сетей связи, расположенных на территории Российской Федерации, а также на территориях, находящихся под юрисдикцией Российской Федерации или используемых на основании международных договоров Российской Федерации.
  
'''''2. Карта знаний «Информационная безопасность», созданная с помощью сервиса создания карт знаний'''''
+
'''''2. Карта знаний «Информационная безопасность», созданная с помощью [https://drive.mindmup.com/ сервиса создания карт знаний]'''''
[[Изображение:МентальнаякартаинформационнаябезопасностьРЛ-16-3.png]]
+
[[Изображение:МентальнаякартаинформационнаябезопасностьРЛ-16-3.png|center]]
  
 
'''''3. Виртуальная on-line доска'''''
 
'''''3. Виртуальная on-line доска'''''
[[Изображение:онлайн-доскаРЛ-16-3.png]]
+
 
 +
Мы представляем правила, созданные с помощью ресурса [https://padlet.com/caterina_zinowjewa2017/cul7sje4p501 on-line доска], которые помогут пользователям обезопасить себя при работе в сети Интернет.
 +
 
 +
[[Изображение:онлайн-доскаРЛ-16-3.PNG|centre]]
 +
 
 +
'''''4. Опрос с помощью [https://www.google.ru/forms/about/ Google-форм]'''''
 +
 
 +
Согласно проведенному [https://docs.google.com/forms/d/e/1FAIpQLSeSwLwtZwhE6kWQg5DuxAofhzx6bHXIU_sT5i0WEe8rYzCQcw/viewform?c=0&w=1 опросу] на тему информационной безопасности 33,3% респондентов не знают, что такое информационная безопасность. Остальные опрошенные знакомы с данным понятием и их волнует проблема сохранения информационной безопасности, так как 83,3% из них сталкивались с негативным информационным влиянием и были подвержены информационному риску.
 +
[[Изображение:диаграмма!рл-16-3.png|centre]]
 +
 
 +
Данные [https://docs.google.com/forms/d/e/1FAIpQLSeSwLwtZwhE6kWQg5DuxAofhzx6bHXIU_sT5i0WEe8rYzCQcw/viewform?c=0&w=1 опроса] показали, что большая часть опрошенных знакома только с антивирусными программами, как способ защиты информации при работе в сети Интернет.Все опрошенные считают важным и необходимым соблюдение правил информационной безопасности. Однако только 75% респондентов соблюдают их при работе с ресурсами, подверженными различным информационным опасностям.
 +
[[Изображение:ДИАГРАММАрл-16-3.png|centre]]
 +
 
 +
Многих опрошенных беспокоит вопрос соблюдения правил информационной безопасности и их возможности предотвращения некоторых террористических и экстремистских актов, так как по мнению самих опрошенных это позволит избежать утечки государственно важной информации, которая может быть использована террористическими группировками в своих злоумышленных целях.
  
 
==Вывод==
 
==Вывод==
 +
Современная действительность диктует свои правила информационной безопасности (ИБ). Соблюдение этих правил призвано обеспечить защищенность интересов кредитной организации и её клиентов в условиях угроз в информационной сфере при оказании услуг дистанционного банковского обслуживания.
 +
 +
Задачи ИБ сводятся к минимизации ущерба, а также к прогнозированию и предотвращению случайных или злонамеренных воздействий. Для обеспечения надлежащей степени защищенности необходимо использование комплексного подхода, когда вопросам ИБ уделяется достаточно внимания как на стороне банка, так и на стороне клиента.
 +
 +
Для минимизации рисков при дистанционном банковском обслуживании Компания BSS рекомендует Банкам и их Клиентам:
 +
 +
Использовать в работе только лицензионные версии операционных систем и прикладного программного обеспечения;
 +
Применять сертифицированные средства криптографической защиты информации (СКЗИ);
 +
Применять и своевременно обновлять средства антивирусной защиты;
 +
Своевременно устанавливать обновления безопасности для используемого ПО;
 +
Разработать, постоянно совершенствовать и, безусловно, соблюдать:
 +
— Политику ИБ в вопросах дистанционного банковского обслуживания, которая в обязательном порядке должна содержать:
 +
 +
требования к аппаратным и программным средствам, обеспечивающим информационную безопасность каналов связи в вопросах взаимодействия в рамках дистанционного банковского обслуживания;
 +
требования к обязательности предоставления провайдерами Интернет-услуг механизмов защиты (в т. ч. и от DDOS-атак);
 +
требование по разделению функции администраторов системы, СУБД и администраторов безопасности;
 +
последовательность необходимых действий, осуществляемых при возникновении внештатной ситуации или при подозрении на неё.
 +
— Регламент доступа к компьютерам и секретным ключам, который в обязательном порядке должен содержать:
 +
 +
перечень событий, наступление которых должно повлечь за собой немедленную замену/изъятие ключей электронной цифровой подписи;
 +
предупреждающую информацию об увеличении риска хищения и дальнейшего неправомерного использования электронной цифровой подписи при доступе к системе интернет-банкинга с гостевых рабочих мест.
 +
 +
Разработанные Политику и Регламент доводить до сведения всех своих сотрудников, работа которых связана с системой ДБО, вести регулярный внутренний мониторинг;
 +
Регулярно проводить обучение и аттестацию сотрудников с целью повышения их грамотности в области защиты информации. (В этом может помочь Учебный центр Компании BSS);
 +
Разработать и регулярно обновлять, доводя в обязательном порядке до сведения своих клиентов, Памятку по обеспечению ИБ при использовании системы;
 +
Применять современные технические средства:
 +
— для снижения риска неправомерного доступа и использования услуг ДБО в результате похищения злоумышленниками идентификаторов клиента (логина, пароля и криптографических ключей) такие, как:
 +
 +
отторгаемые ключевые носители (токены, смарт-карты) с неизвлекаемым ключом;
 +
генераторы одноразовых паролей или скретч-карты;
 +
генераторы MAC-кодов (криптокалькуляторы);
 +
— для защиты от сетевых атак такие, как:
 +
 +
сетевые брандмауэры (FireWall) для фильтрации и разграничения доступа;
 +
системы обнаружения (IDS) и противодействия вторжениям (IPS);
 +
 +
Использовать весь доступный функционал используемого программного обеспечения системы ДБО:
 +
 +
— расширенные функции парольной защиты, включающие в себя ограничения на:
 +
 +
использование «простых» паролей;
 +
минимальную длину паролей;
 +
период запрета на повторное использование;
 +
период действия паролей;
 +
возможность задавать дату окончания срока действия пароля;
 +
требование принудительной смены пароля при входе в систему;
 +
— механизмы защиты от подбора учетных записей и паролей пользователей, в т. ч. с помощью программ-роботов;
 +
 +
— ограничение разрешенных IP- и MAC-адресов компьютеров клиентов, с которых допускается работа в системе;
 +
 +
Для повышения эффективности выявления случаев мошенничества и несанкционированного доступа к услугам ДБО использовать такие средства, как:
 +
— уведомление как Клиентов, так и администраторов Банка по любым каналам связи о событиях, затрагивающих аспекты ИБ (например, с помощью продукта BSS «Сервер Нотификации»);
 +
 +
— использование механизмов регистрации событий в Системе, в т. ч. событий, связанных с ИБ;
 +
 +
— специализированные средства анализа операций на предмет выявления мошеннических операций (например, при помощи системы «FRAUD-Анализ» Компании BSS);
 +
 +
Регулярно проводить аудит системы обеспечения безопасности (в т. ч. и тесты на проникновение).
 +
Весь этот комплекс мер — как организационных, так и технических, — позволит Банкам и их Клиентам обеспечить высочайший из доступных в настоящее время уровень защиты услуг дистанционного банковского обслуживания от внешних угроз.
  
 
==Полезные ресурсы==
 
==Полезные ресурсы==
 +
Для выполнения данной работы мы использовали следующие источники информации и онлайн-ресурсы:
 +
 +
# [http://www.garant.ru/products/ipo/prime/doc/71456224/ Доктрина информационной безопасности Российской Федерации (Указ Президента РФ от 5 декабря 2016 г. № 646)];
 +
# [https://drive.mindmup.com/ Онлайн-сервис для создания карт знаний];
 +
# [https://padlet.com/?ref=logo Сервис для создания собственной виртуальной online-доски];
 +
# [https://www.google.ru/forms/about/ Google формы: бесплатный ресурс для создания собственных опросов онлайн].
  
 
== Другие документы ==
 
== Другие документы ==

Текущая версия на 13:00, 14 июня 2017


Авторы и участники проекта

  1. Зиновьева Екатерина
  2. Клюева Дарья
  3. Окунева Юлия
  4. Саломатова Дарья
  5. Фролова Анастасия

Тема исследования группы

Информационная безопасность общества и личности

Проблемный вопрос (вопрос для исследования)

Как обеспечить информационную безопасность?

Гипотеза исследования

Информационная безопасность играет огромную роль в век "информационных технологий", что придаёт важное значение информационной безопасности.

Цели исследования

  1. Выяснить, кому и от кого надо защищаться при информационной деятельности, в том числе в сети Интернет;
  2. Выяснить, как обеспечить информационную безопасность общества и личности.

ЗАДАЧИ ИССЛЕДОВАНИЯ:

  1. Изучить доктрину информационной безопасности РФ 2016 года, выписать основные понятия;
  2. Выполнить классификацию угроз информационной безопасности личности и способов защиты;
  3. Провести опрос одногруппников по обеспечению информационной безопасности в Интернете с помощью анкетирования;
  4. Сформулировать рекомендации по решению проблемы информационной безопасности.

ФОРМА ПРЕДСТАВЛЕНИЯ РЕЗУЛЬТАТОВ ИССЛЕДОВАНИЯ:

  1. Вики-статья;
  2. Карта знаний «Информационная безопасность» с помощью сервиса создания карт знаний;
  3. Результаты анкетирования с помощью Google-форм. Оформление результатов с помощью диаграмм;
  4. Виртуальная on-line доска.

Результаты проведённого исследования

1. Вики-статья

Основные понятия из Доктрины информационной безопасности РФ 2016 года

а) национальные интересы Российской Федерации в информационной сфере (далее - национальные интересы в информационной сфере) - объективно значимые потребности личности, общества и государства в обеспечении их защищенности и устойчивого развития в части, касающейся информационной сферы;

б) угроза информационной безопасности Российской Федерации (далее - информационная угроза) - совокупность действий и факторов, создающих опасность нанесения ущерба национальным интересам в информационной сфере;

в) информационная безопасность Российской Федерации (далее - информационная безопасность) - состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства;

г) обеспечение информационной безопасности - осуществление взаимоувязанных правовых, организационных, оперативно-розыскных, разведывательных, контрразведывательных, научно-технических, информационно-аналитических, кадровых, экономических и иных мер по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления;

д) силы обеспечения информационной безопасности - государственные органы, а также подразделения и должностные лица государственных органов, органов местного самоуправления и организаций, уполномоченные на решение в соответствии с законодательством Российской Федерации задач по обеспечению информационной безопасности;

е) средства обеспечения информационной безопасности - правовые, организационные, технические и другие средства, используемые силами обеспечения информационной безопасности;

ж) система обеспечения информационной безопасности - совокупность сил обеспечения информационной безопасности, осуществляющих скоординированную и спланированную деятельность, и используемых ими средств обеспечения информационной безопасности;

з) информационная инфраструктура Российской Федерации (далее - информационная инфраструктура) - совокупность объектов информатизации, информационных систем, сайтов в сети «Интернет» и сетей связи, расположенных на территории Российской Федерации, а также на территориях, находящихся под юрисдикцией Российской Федерации или используемых на основании международных договоров Российской Федерации.

2. Карта знаний «Информационная безопасность», созданная с помощью сервиса создания карт знаний

МентальнаякартаинформационнаябезопасностьРЛ-16-3.png

3. Виртуальная on-line доска

Мы представляем правила, созданные с помощью ресурса on-line доска, которые помогут пользователям обезопасить себя при работе в сети Интернет.

Онлайн-доскаРЛ-16-3.PNG

4. Опрос с помощью Google-форм

Согласно проведенному опросу на тему информационной безопасности 33,3% респондентов не знают, что такое информационная безопасность. Остальные опрошенные знакомы с данным понятием и их волнует проблема сохранения информационной безопасности, так как 83,3% из них сталкивались с негативным информационным влиянием и были подвержены информационному риску.

Диаграмма!рл-16-3.png

Данные опроса показали, что большая часть опрошенных знакома только с антивирусными программами, как способ защиты информации при работе в сети Интернет.Все опрошенные считают важным и необходимым соблюдение правил информационной безопасности. Однако только 75% респондентов соблюдают их при работе с ресурсами, подверженными различным информационным опасностям.

ДИАГРАММАрл-16-3.png

Многих опрошенных беспокоит вопрос соблюдения правил информационной безопасности и их возможности предотвращения некоторых террористических и экстремистских актов, так как по мнению самих опрошенных это позволит избежать утечки государственно важной информации, которая может быть использована террористическими группировками в своих злоумышленных целях.

Вывод

Современная действительность диктует свои правила информационной безопасности (ИБ). Соблюдение этих правил призвано обеспечить защищенность интересов кредитной организации и её клиентов в условиях угроз в информационной сфере при оказании услуг дистанционного банковского обслуживания.

Задачи ИБ сводятся к минимизации ущерба, а также к прогнозированию и предотвращению случайных или злонамеренных воздействий. Для обеспечения надлежащей степени защищенности необходимо использование комплексного подхода, когда вопросам ИБ уделяется достаточно внимания как на стороне банка, так и на стороне клиента.

Для минимизации рисков при дистанционном банковском обслуживании Компания BSS рекомендует Банкам и их Клиентам:

Использовать в работе только лицензионные версии операционных систем и прикладного программного обеспечения; Применять сертифицированные средства криптографической защиты информации (СКЗИ); Применять и своевременно обновлять средства антивирусной защиты; Своевременно устанавливать обновления безопасности для используемого ПО; Разработать, постоянно совершенствовать и, безусловно, соблюдать: — Политику ИБ в вопросах дистанционного банковского обслуживания, которая в обязательном порядке должна содержать:

требования к аппаратным и программным средствам, обеспечивающим информационную безопасность каналов связи в вопросах взаимодействия в рамках дистанционного банковского обслуживания; требования к обязательности предоставления провайдерами Интернет-услуг механизмов защиты (в т. ч. и от DDOS-атак); требование по разделению функции администраторов системы, СУБД и администраторов безопасности; последовательность необходимых действий, осуществляемых при возникновении внештатной ситуации или при подозрении на неё. — Регламент доступа к компьютерам и секретным ключам, который в обязательном порядке должен содержать:

перечень событий, наступление которых должно повлечь за собой немедленную замену/изъятие ключей электронной цифровой подписи; предупреждающую информацию об увеличении риска хищения и дальнейшего неправомерного использования электронной цифровой подписи при доступе к системе интернет-банкинга с гостевых рабочих мест.

Разработанные Политику и Регламент доводить до сведения всех своих сотрудников, работа которых связана с системой ДБО, вести регулярный внутренний мониторинг; Регулярно проводить обучение и аттестацию сотрудников с целью повышения их грамотности в области защиты информации. (В этом может помочь Учебный центр Компании BSS); Разработать и регулярно обновлять, доводя в обязательном порядке до сведения своих клиентов, Памятку по обеспечению ИБ при использовании системы; Применять современные технические средства: — для снижения риска неправомерного доступа и использования услуг ДБО в результате похищения злоумышленниками идентификаторов клиента (логина, пароля и криптографических ключей) такие, как:

отторгаемые ключевые носители (токены, смарт-карты) с неизвлекаемым ключом; генераторы одноразовых паролей или скретч-карты; генераторы MAC-кодов (криптокалькуляторы); — для защиты от сетевых атак такие, как:

сетевые брандмауэры (FireWall) для фильтрации и разграничения доступа; системы обнаружения (IDS) и противодействия вторжениям (IPS);

Использовать весь доступный функционал используемого программного обеспечения системы ДБО:

— расширенные функции парольной защиты, включающие в себя ограничения на:

использование «простых» паролей; минимальную длину паролей; период запрета на повторное использование; период действия паролей; возможность задавать дату окончания срока действия пароля; требование принудительной смены пароля при входе в систему; — механизмы защиты от подбора учетных записей и паролей пользователей, в т. ч. с помощью программ-роботов;

— ограничение разрешенных IP- и MAC-адресов компьютеров клиентов, с которых допускается работа в системе;

Для повышения эффективности выявления случаев мошенничества и несанкционированного доступа к услугам ДБО использовать такие средства, как: — уведомление как Клиентов, так и администраторов Банка по любым каналам связи о событиях, затрагивающих аспекты ИБ (например, с помощью продукта BSS «Сервер Нотификации»);

— использование механизмов регистрации событий в Системе, в т. ч. событий, связанных с ИБ;

— специализированные средства анализа операций на предмет выявления мошеннических операций (например, при помощи системы «FRAUD-Анализ» Компании BSS);

Регулярно проводить аудит системы обеспечения безопасности (в т. ч. и тесты на проникновение). Весь этот комплекс мер — как организационных, так и технических, — позволит Банкам и их Клиентам обеспечить высочайший из доступных в настоящее время уровень защиты услуг дистанционного банковского обслуживания от внешних угроз.

Полезные ресурсы

Для выполнения данной работы мы использовали следующие источники информации и онлайн-ресурсы:

  1. Доктрина информационной безопасности Российской Федерации (Указ Президента РФ от 5 декабря 2016 г. № 646);
  2. Онлайн-сервис для создания карт знаний;
  3. Сервис для создания собственной виртуальной online-доски;
  4. Google формы: бесплатный ресурс для создания собственных опросов онлайн.

Другие документы