Результаты исследования группы Информационная безопасность общества и личности/ИСТ-18 — различия между версиями

Материал из НГПУ им. К.Минина
Перейти к: навигация, поиск
(Новая страница: «{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto" | style="width: 50%; background-color: #fe…»)
 
(Способы защиты информации)
 
(не показаны 162 промежуточные версии 7 участников)
Строка 1: Строка 1:
 +
<!--
 +
Цвета наполнения блоков:
 +
1. #E0FFFF
 +
2. #FFEBCD
 +
3. #C7F7D7
 +
4. #FFE4E1
 +
-->
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
| style="width: 50%; background-color: #fefbcd; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
+
| style="width: 50%; background-color: #E0FFFF; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
<noinclude>{| border=1
+
{|border=0 style="width: 50%" align="right"
 +
|style="width: 60%"|«''When there are no physical attacks, then physical protection is not needed, but informational security is always needed.''»<br><p align=right>'''Steve Jobs'''</p>
 +
|[[Изображение: AnonTasf.jpg|260px|right]]
 +
|}
  
[[Категория:Проекты]]</noinclude>
 
[[Файл:4t23t4tg54g1.jpg|500px|thumb|right|Фото с конференции в Ростове-на-Дону по информационной безопасности и импортозамещению]]
 
  
==''Авторы и участники проекта''==
+
 
 +
==Авторы и участники проекта==
 +
 
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
| style="width: 50%; background-color: #c7f7d7; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
+
| style="width: 50%; background-color: #FFEBCD; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
#[[Участник:Вахрамеев Алексей|'''Вахрамеев Алексей''']]
+
 
#[[Участник:Гергель Никита|'''Гергель Никита''']]
+
*[[Участник:Бобров Сергей|'''Бобров Сергей''']]
#[[Участник:Bardanovk|'''Барданов Константин''']]
+
 
#[[Участник:Андрей21|'''Васильев Андрей''']]
+
*[[Участник:Александр Будилов|'''Будилов Александр''']]
#[[Участник:Mitrofandr|'''Митрофанов Андрей''']]
+
 
 +
*[[Участник:Курганский Максим|'''Курганский Максим''']]
 +
 
 +
*[[Участник: Полтавец Александр|'''Полтавец Александр''']]
 +
 
 +
*[[Участник: Темнов Александр|'''Темнов Александр''']]
 +
 
 +
*[[Участник:Даниил Якимшин|'''Якимшин Даниил''']]
 
|}
 
|}
  
 
==''Тема исследования группы''==
 
==''Тема исследования группы''==
Обеспечение информационной безопасности личности.
+
 
 +
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 +
| style="width: 50%; background-color: #FFEBCD; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
 +
 
 +
<span style="font-size: 12pt">Обеспечение информационной безопасности личности.</span>
 +
 
 +
|}
  
 
==''Проблемный вопрос (вопрос для исследования)''==
 
==''Проблемный вопрос (вопрос для исследования)''==
Как обеспечить свою информационную безопасность?
+
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 +
| style="width: 50%; background-color: #FFEBCD; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
  
== ''Гипотеза исследования'' ==
+
<span style="font-size: 12pt">Как обеспечить информационную безопасность?</span>
Мы предполагаем, что обеспечение информационной безопасности отдельного человеека зависит от соблюдения конституционных прав и свобод человека в области получения информации и пользования ею. Важно так же совершенствование законодательной базу, которая должна изменяться "вногу со временем". Другим средством защиты, на наш взгляд, выступает сама личность, ее предусмотрительное отношение к информации, которой она располагает, которую предоставляет, размещает.
+
 
 +
|}
 +
 
 +
==''Гипотеза исследования''==
 +
 
 +
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 +
| style="width: 50%; background-color: #FFEBCD; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
 +
 
 +
<span style="font-size: 12pt">Мы считаем, что Обеспечение информационной безопасности личности зависит от соблюдения конституционных прав и свобод человека в области получения информации и пользования ею. Важно так же развивать законодательную базу с расчётом на будущее развитие информационных систем и технологий.</span>
 +
 
 +
|}
  
 
==''Цели исследования''==
 
==''Цели исследования''==
Выяснить, кому и от кого надо защищаться при информационной деятельности, в том числе в сети Интернет, как обеспечить информационную безопасность общества и личности
+
 
 +
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 +
| style="width: 50%; background-color: #FFEBCD; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
 +
 
 +
#<span style="font-size: 11pt">Ознакомиться с доктриной информационной безопасности Российской Федерации.</span>
 +
#<span style="font-size: 11pt">Рассмотреть возможные угрозы для данных.Провести их классификацию.</span>
 +
#<span style="font-size: 11pt">Провести анкетирование по поводу обеспечения безопасной работы в Интернете.</span>
 +
#<span style="font-size: 11pt">Сформулировать принципы защиты информации. </span>
 +
 
 +
|}
  
 
==''Результаты проведённого исследования''==
 
==''Результаты проведённого исследования''==
  
== '''Доктрина информационной безопасности Российской Федерации''' ==
+
===<span style="font-size: 14pt">Доктрина информационной безопасности Российской Федерации</span>===
 +
 
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
| style="width: 50%; background-color: #dff2fb; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
+
| style="width: 50%; background-color: #C7F7D7; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
 +
 
 
'''Доктрина информационной безопасности Российской Федерации — это система официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере.'''
 
'''Доктрина информационной безопасности Российской Федерации — это система официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере.'''
  
 
''Утверждена Указом Президента Российской Федерации от 05.12.2016 г.''
 
''Утверждена Указом Президента Российской Федерации от 05.12.2016 г.''
[[Файл:dib.jpg|200px|thumb|right|]]
+
[[ Файл:Doctrin.jpeg|400px|Doctrin|right|]]
  
 
'''Основные понятия Доктрины информационной безопасности Российской Федерации'''
 
'''Основные понятия Доктрины информационной безопасности Российской Федерации'''
  
а) национальные интересы Российской Федерации в информационной
+
* национальные интересы Российской Федерации в информационной
 
сфере - объективно значимые потребности личности, общества и государства в
 
сфере - объективно значимые потребности личности, общества и государства в
 
обеспечении их защищенности и устойчивого развития в части,
 
обеспечении их защищенности и устойчивого развития в части,
 
касающейся информационной сферы;
 
касающейся информационной сферы;
  
б) угроза информационной безопасности Российской Федерации - совокупность действий и факторов,
+
* угроза информационной безопасности Российской Федерации - совокупность действий и факторов,
 
создающих опасность нанесения ущерба национальным интересам в информационной сфере;
 
создающих опасность нанесения ущерба национальным интересам в информационной сфере;
  
в) информационная безопасность Российской Федерации - состояние защищенности личности,
+
* информационная безопасность Российской Федерации - состояние защищенности личности,
 
общества и государства от внутренних и внешних информационных
 
общества и государства от внутренних и внешних информационных
 
угроз, при котором обеспечиваются реализация конституционных прав и
 
угроз, при котором обеспечиваются реализация конституционных прав и
Строка 56: Строка 101:
 
безопасность государства;
 
безопасность государства;
  
г) обеспечение информационной безопасности - осуществление
+
* обеспечение информационной безопасности - осуществление
взаимоувязанных правовых, организационных, оперативно-разыскных,
+
взаимоувязанных правовых, организационных, оперативно-розыскных,
 
разведывательных, контрразведывательных, научно-технических,
 
разведывательных, контрразведывательных, научно-технических,
 
информационно-аналитических, кадровых, экономических и иных мер по
 
информационно-аналитических, кадровых, экономических и иных мер по
Строка 64: Строка 109:
 
проявления;
 
проявления;
  
д) силы обеспечения информационной безопасности -
+
* силы обеспечения информационной безопасности -
 
государственные органы, а также подразделения и должностные лица
 
государственные органы, а также подразделения и должностные лица
 
государственных органов, органов местного самоуправления  и
 
государственных органов, органов местного самоуправления  и
Строка 70: Строка 115:
 
информационной безопасности;
 
информационной безопасности;
  
е) средства обеспечения информационной безопасности -
+
* средства обеспечения информационной безопасности -
 
правовые, организационные, технические и другие средства,
 
правовые, организационные, технические и другие средства,
 
используемые силами обеспечения информационной безопасности;
 
используемые силами обеспечения информационной безопасности;
  
ж) система обеспечения информационной безопасности -
+
* система обеспечения информационной безопасности -
 
совокупность сил обеспечения информационной безопасности,
 
совокупность сил обеспечения информационной безопасности,
 
осуществляющих скоординированную и спланированную деятельность, и
 
осуществляющих скоординированную и спланированную деятельность, и
 
используемых ими средств обеспечения информационной безопасности;
 
используемых ими средств обеспечения информационной безопасности;
  
з) информационная инфраструктура Российской Федерации - совокупность объектов
+
* информационная инфраструктура Российской Федерации - совокупность объектов
 
информатизации, информационных систем, сайтов в сети "Интернет" и
 
информатизации, информационных систем, сайтов в сети "Интернет" и
 
сетей связи, расположенных на территории  Российской Федерации, а
 
сетей связи, расположенных на территории  Российской Федерации, а
Строка 85: Строка 130:
 
Федерации или используемых на основании международных договоров
 
Федерации или используемых на основании международных договоров
 
Российской Федерации.
 
Российской Федерации.
|}
 
  
== '''Классификация угроз''' ==
+
'''Составляющие национальных интересов Российской Федерации в информационной сфере в доктрине'''
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
+
| style="width: 50%; background-color: #dff2fb; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
+
'''Какие угрозы могут подстерегать личность в потоке информации?'''
+
  
 +
* Обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею.
 +
* Информационное обеспечение государственной политики РФ(доведение до граждан РФ и международной общественности о государственной политике РФ, официальной позиции по значимым событиям в России и в мире) с доступом граждан к открытым государственным ресурсам.
 +
* Развитие современных IT отечественной индустрии (средств информатизации, телекоммуникации и связи). Обеспечение IT внутреннего рынка России и выход на мировые рынки.
 +
* Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.
  
[[Файл:4523623164.png|1000px|thumb|center|[https://www.mindmeister.com/ru/976552192/ Ментальная карта-классификация угроз]]]
+
'''Виды угроз информационной безопасности РФ в доктрине'''         
|}
+
  
== '''Виды хакерских атак''' ==
+
* Угрозы, направленные на конституционные права и свободы человека в области информационной деятельности.
 +
* Угрозы информационному обеспечению государственной политики РФ.
 +
* Угроза развитию современных ИТ отечественной индустрии, а также выходу на внутренний и мировой рынок.
 +
* Угрозы безопасности информационных и телекоммуникационных средств и систем.
  
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 
| style="width: 50%; background-color: #dff2fb; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
 
  
'''''Хакерская атака''''' - действие, целью которого является захват контроля (повышение прав) над удалённой/локальной вычислительной системой, либо её дестабилизация, либо отказ в обслуживании. Изначально причиной атак послужил ряд ограничений, присущих протоколу TCP/IP. В ранних версиях протокола IP отсутствовали требования безопасности, которые появились только спустя несколько лет. Но только с бурным развитием интернет-коммерции проблема стала актуальной, и пришлось в сжатые сроки внедрять стандарты безопасности.
 
  
=== Mailbombing (SMTP) ===
+
'''Деятельность государственных органов по обеспечению информационной безопасности основывается на следующих принципах:'''
 +
* законность общественных отношений в информационной сфере и правовое равенство всех участников таких отношений, основанные на конституционном праве граждан свободно искать, получать, передавать, производить и распространять информацию любым законным способом;
 +
* конструктивное взаимодействие государственных органов, организаций и граждан при решении задач по обеспечению информационной безопасности;
 +
* соблюдение баланса между потребностью граждан в свободном обмене информацией и ограничениями, связанными с необходимостью обеспечения национальной безопасности, в том числе в информационной сфере;
 +
* достаточность сил и средств обеспечения информационной безопасности, определяемая в том числе посредством постоянного осуществления мониторинга информационных угроз;
 +
* соблюдение общепризнанных принципов и норм международного права, международных договоров Российской Федерации,а также законодательства Российской Федерации.
  
Считается самым старым методом атак, хотя суть его проста и примитивна: большое количество почтовых сообщений делают невозможными работу с почтовыми ящиками, а иногда и с целыми почтовыми серверами. Для этой цели было разработано множество программ, и даже неопытный пользователь мог совершить атаку, указав всего лишь e-mail жертвы, текст сообщения, и количество необходимых сообщений. Многие такие программы позволяли прятать реальный IP-адрес отправителя, используя для рассылки анонимный почтовый сервер. Эту атаку сложно предотвратить, так как даже почтовые фильтры провайдеров не могут определить реального отправителя спама. Провайдер может ограничить количество писем от одного отправителя, но адрес отправителя и тема зачастую генерируются случайным образом.
 
  
=== Переполнение буфера ===
+
|}
  
Пожалуй, один из самых распространённых типов атак в Интернете. Принцип данной атаки построен на использовании программных ошибок, позволяющих вызвать нарушение границ памяти и аварийно завершить приложение или выполнить произвольный бинарный код от имени пользователя, под которым работала уязвимая программа. Если программа работает под учётной записью администратора системы, то данная атака позволит получить полный контроль над компьютером жертвы, поэтому рекомендуется работать под учётной записью рядового пользователя, имеющего ограниченные права на системе, а под учётной записью администратора системы выполнять только операции, требующие административные права.
+
=== Угрозы и принципы информационной безопасности ===
  
=== Вирусы, троянские программы, почтовые черви, снифферы, руткиты и другие специальные программы ===
+
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 +
| style="width: 50%; background-color: #C7F7D7; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
  
Следующий вид атаки представляет собой более изощрённый метод получения доступа к закрытой информации — использование специальных программ для ведения работы на компьютере жертвы, а также дальнейшего распространения (это вирусы и черви). Такие программы предназначены для поиска и передачи своему владельцу секретной информации, либо просто для нанесения вреда системе безопасности и работоспособности компьютера жертвы. Принципы действия этих программ различны.
+
[[Файл:Mendal.png|1000px|thumb|center|[https://www.mindomo.com/mindmap/8af3349ca6ef4380bd353a6c24ecb8d2 Ментальная карта - "Классификация угроз и принципов информационной безопасности"]]]
 +
|}
  
=== Сетевая разведка ===
+
=== Способы защиты информации===
  
В ходе такой атаки крэкер собственно не производит никаких деструктивных действий, но в результате он может получить закрытую информацию о построении и принципах функционирования вычислительной системы жертвы. Полученная информация может быть использована для грамотного построения предстоящей атаки, и обычно производится на подготовительных этапах.
+
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 
+
| style="width: 50%; background-color: #C7F7D7; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
В ходе такой разведки злоумышленник может производить сканирование портов, запросы DNS, эхо-тестирование открытых портов, наличие и защищённость прокси-серверов. В результате можно получить информацию о существующих в системе DNS-адресах, кому они принадлежат, какие сервисы на них доступны, уровень доступа к этим сервисам для внешних и внутренних пользователей.
+
 
+
=== Сниффинг пакетов ===
+
 
+
Также довольно распространённый вид атаки, основанный на работе сетевой карты в режиме promiscuous mode, а также monitor mode для сетей Wi-Fi. В таком режиме все пакеты, полученные сетевой картой, пересылаются на обработку специальному приложению, называемому сниффером. В результате злоумышленник может получить большое количество служебной информации: кто, откуда и куда передавал пакеты, через какие адреса эти пакеты проходили. Самой большой опасностью такой атаки является получение самой информации, например логинов и паролей сотрудников, которые можно использовать для незаконного проникновения в систему под видом обычного сотрудника компании.
+
 
+
=== IP-спуфинг ===
+
  
Тоже распространённый вид атаки в недостаточно защищённых сетях, когда злоумышленник выдаёт себя за санкционированного пользователя, находясь в самой организации, или за её пределами. Для этого крэкеру необходимо воспользоваться IP-адресом, разрешённым в системе безопасности сети. Такая атака возможна, если система безопасности позволяет идентификацию пользователя только по IP-адресу и не требует дополнительных подтверждений.
+
[[Файл:Ist-18-onlinestena.png|800px|thumb|center|[https://padlet.com/daiquirixy/jcg65smbumbo Online-доска - "Классификация методов обеспечения информационной безопасности"]]]
  
=== Man-in-the-Middle ===
 
  
Вид атаки, когда злоумышленник перехватывает канал связи между двумя системами, и получает доступ ко всей передаваемой информации. При получении доступа на таком уровне, злоумышленник может модифицировать информацию нужным ему образом, чтобы достичь своих целей. Цель такой атаки — незаконное получение, кража или фальсифицирование передаваемой информации, или же получение несанкционированного доступа к ресурсам сети. Такие атаки крайне сложно отследить, так как обычно злоумышленник находится внутри организации.
+
'''Методы обеспечения информационной безопасности РФ в доктрине:'''
  
=== Инъекция кода ===
+
''Правовые методы:''
 +
* Разработка нормативных правовых актов, регламентирующих отношения в сфере ИТ
 +
* разработка нормативных методических документов отвечающим по вопросам информационной безопасности РФ
  
''Семейство атак, объединённых одним общим принципом — в результате атаки данные выполняются как код.''
+
''Организационно-технические методы:''
 +
* создание системы информационной безопасности РФ и её совершенствование
 +
* привлечение лиц к ответственности, совершивших преступления в этой сфере
 +
* создание систем и средств для предотвращения несанкционированного доступа к обрабатываемой информации
 +
* выявление средств и устройств, представляющих опасность для нормального функционирования систем - предотвращение перехвата информации с применением средств криптографической защиты как при передаче информации, так и при её хранении
 +
* контроль за выполнением требований по защите информации
 +
* контроль за действиями персонала, имеющих доступ к информации, подготовка кадров в области обеспечения информационной безопасности РФ
 +
* создание системы мониторинга информационной безопасности РФ
  
'''SQL-инъекция''' — атака, в ходе которой изменяются параметры SQL-запросов к базе данных. В результате запрос приобретает совершенно иной смысл, и в случае недостаточной фильтрации входных данных способен не только произвести вывод конфиденциальной информации, но и изменить/удалить данные. Очень часто такой вид атаки можно наблюдать на примере сайтов, которые используют параметры командной строки (в данном случае — переменные URL) для построения SQL-запросов к базам данных без соответствующей проверки.
+
''Экономические методы:''
 +
* разработка программ обеспечения информационной безопасности и их финансирование
 +
* финансирование работ, связанных с обеспечением информационной безопасности РФ
  
'''PHP-инъекция''' — один из способов взлома веб-сайтов, работающих на PHP. Он заключается в том, чтобы внедрить специально сформированный злонамеренный сценарий в код веб-приложения на серверной стороне сайта, что приводит к выполнению произвольных команд. Известно, что во многих распространённых в интернете бесплатных движках и форумах, работающих на PHP (чаще всего это устаревшие версии) есть непродуманные модули или отдельные конструкции с уязвимостями. Крэкеры анализируют такие уязвимости, как неэкранированные переменные, получающие внешние значения.
+
'''Правила безопасной деятельности в интернете:'''
  
'''Межсайтовый скриптинг или XSS''' (аббр. от англ.  Cross Site Scripting, не путать с CSS (Cascade Style Sheet)) — тип уязвимостей, обычно обнаруживаемых в веб-приложениях, которые позволяют внедрять код злонамеренным пользователям в веб-страницы, просматриваемые другими пользователями. Примерами такого кода являются HTML-код и скрипты, выполняющиеся на стороне клиента, чаще всего JavaScript.
+
#Не переходите по спам-письмах. Под ссылками могут скрываться фишинговые страницы.
 +
#Не вводите данные банковских карт и аккаунтов на подозрительных сайтах.
 +
#На страницах в соц. сетях оставляйте только необходимый минимум персональных данные. Особенно это касается адреса вашего проживания.
 +
#Используйте антивирусы для защиты компьютера от вирусного ПО. Зачастую, пользователь сам устанавливает вирус на свой ПК. Уберечь устройство от ошибки человека может антивирусник с обновленной базой вирусов.
 +
#Пользуйтесь только проверенными источниками для скачивания ПО. Производитель бесплатного ПО в большинстве случаев распространяет его через свой сайт.
  
'''XPath-инъекция''' — вид уязвимостей, который заключается во внедрении XPath-выражений в оригинальный запрос к базе данных XML. Как и при остальных видах инъекций, уязвимость возможна ввиду недостаточной проверки входных данных.
+
[[Файл:sposobizashiti.jpeg|800px|thumb|center|Уровни соблюдения режима информационной безопасности]]
  
'''Автозалив''' — веб-инъекция, действующая по принципу троянских программ, основная цель которой заключается во внедрении в аккаунт пользователя в платежной системе, незаметной подмене данных транзакции путём модификации HTML-кода, и переводе средств пользователя на счёт злоумышленника.
+
|}
  
=== Социальная инженерия ===
+
===Результаты опроса===
 
+
'''Социальная инженерия''' (от англ. social engineering) — использование некомпетентности, непрофессионализма или небрежности персонала для получения доступа к информации. Этот метод обычно применяется без компьютера, с использованием обычного телефона или почтовой переписки. Таким образом обычно получается самая разнообразная информация. В ходе такой атаки злоумышленник устанавливает контакт с жертвой, и, вводя её в заблуждение либо войдя в доверие, пытается получить необходимые сведения, которые сложно получить другим путём, либо другие пути являются более рискованными.
+
 
+
=== DOS ===
+
 
+
'''DoS''' (от англ. Denial of Service — Отказ в обслуживании) — атака, имеющая своей целью заставить сервер не отвечать на запросы. Такой вид атаки не подразумевает получение некоторой секретной информации, но иногда бывает подспорьем в инициализации других атак. Например, некоторые программы из-за ошибок в своём коде могут вызывать исключительные ситуации, и при отключении сервисов способны исполнять код, предоставленный злоумышленником или атаки лавинного типа, когда сервер не может обработать огромное количество входящих пакетов.
+
 
+
'''DDoS''' (от англ. Distributed Denial of Service — Распределенная DoS) — подтип DoS атаки, имеющий ту же цель что и DoS, но производимой не с одного компьютера, а с нескольких компьютеров в сети. В данных типах атак используется либо возникновение ошибок, приводящих к отказу сервиса, либо срабатывание защиты, приводящей к блокированию работы сервиса, а в результате также к отказу в обслуживании. DDoS используется там, где обычный DoS неэффективен. Для этого несколько компьютеров объединяются, и каждый производит DoS атаку на систему жертвы. Вместе это называется DDoS-атака.
+
 
+
Любая атака представляет собой не что иное, как попытку использовать несовершенство системы безопасности жертвы либо для получения информации, либо для нанесения вреда системе, поэтому причиной любой удачной атаки является профессионализм крэкера и ценность информации, а также недостаточная компетенция администратора системы безопасности в частности, несовершенство программного обеспечения и недостаточное внимание к вопросам безопасности в компании в целом.
+
 
+
|}
+
  
== '''Результаты анкетирования''' ==
 
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
| style="width: 50%; background-color: #dff2fb; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
+
| style="width: 50%; background-color: #C7F7D7; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
Мы провели анкетирование среди студентов нашей группы.
+
  
Результаты проведенной работы представлены ниже, в виде диаграмм.
+
'''''Был проведён опрос среди одногруппников, итог которого представлен ниже.'''''
  
 
----
 
----
  
[[Файл:Burritos2.png|625px|thumb|left|Абсолютно все опрошенные понимают, что подключение к общественным сетям небезопасно]]
+
[[файл:Ist18vopr1.PNG|600px|thumb|left|Более 75% опрошенных считают, что знают значение понятия "Информационная безопасность".]]
[[Файл:Burritos3.png|625px|thumb|center|Более 85 процентов заподозрили бы неладное при появлении всплывающего окна на проверенном сайте]]
+
<b>
+
  
 +
[[файл:Ist18vopr2.PNG|600px|thumb|center|Большинство опрошенных запоминают пароль и лишь малая часть его записывает, при этом никто не использует специальных ресурсов для хранения паролей в интернете, из этого можно сделать вывод, что абсолютно все не доверяют хранение паролей интернет ресурсам.]]
  
 +
[[файл:Ist18vopr3.PNG|600px|thumb|left|Почти все опрошенные используют средства защиты персональных данных на своих устройствах, что снижает вероятность кражи личных данных пользователей.]]
  
</b>
+
[[файл:Ist18vopr4.PNG|600px|thumb|center|Больше половины опрошенных не хранят своих персональных данных в интернете, что означает невозможность кражи их личных данных злоумышленниками.]]
[[Файл:Burritos4.png|625px|thumb|left|Примерно 70 процентов понимают отличие http от https]]
+
[[Файл:Burritos5.png|625px|thumb|center|Около 30 процентов опрошенных ошибочно считают, что хранение паролей в браузере безопасно]]
+
<b>
+
  
 +
[[файл:Ist18vopr5.PNG|600px|thumb|left|Только 35% опрошенных не пользуются сетями Wi-Fi в общественных местах, что противоречит результатам первого вопроса. Это говорит о том, что некоторые из опрошенных ошибались и на самом деле знакомы с понятием "Информационная безопасность" довольно плохо или вообще не знают его.]]
  
 +
|}
  
</b>
+
==Вывод==
[[Файл:Burritos6.png|625px|thumb|left|Более 90 процентов опрошенных точно знают, что пароли лучше всего менять один раз в три-шесть месяцев]]
+
[[Файл:Burritos7.png|625px|thumb|center|Примерно 45 процентов голосовавших не видят угрозы во Flash-технологиях]]
+
<b>
+
  
 +
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 +
| style="width: 50%; background-color: #FFE4E1; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
  
 +
<span style="font-size: 12pt">Подводя итог нашего исследования можно заключить, что обеспечение информационной безопасности зависит далеко не только от государства, но и от каждого отдельно взятого пользователя, его знаний о возможных угрозах и умения соблюдать ряд правил для безопасной работы в сети. Компьютерно-грамотный человек может максимально снизить риски, но всё же ни один рядовой пользователь не застрахован от опасностей в интернете на все 100%.</span>
  
</b>
+
|}
[[Файл:Burritos9.png|625px|thumb|left|Больше половины опрошенных знают, что cookies - это фрагмент данных компьютера, позволяющий идентифицировать пользователя]]
+
[[Файл:Burritos10.png|625px|thumb|center|В вопросе о признаках фейк-сайта верно ответил только один человек: все указанные признаки говорят о том, что сайт - подделка]]
+
<b>
+
  
 +
==Полезные ресурсы==
  
 +
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 +
| style="width: 50%; background-color: #FFE4E1; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
  
</b>
+
[http://kremlin.ru/acts/bank/41460#sel=4:86:g2W,4:100:hAL Доктрина информационной безопасности Российской Федерации]
[[Файл:Burritos11.png|625px|thumb|left|Нажимать на белую кнопку безопасно, так как она ведет в мессенжер Telegram, установленный на компьютере, правильно считает примерно 70 процентов опрошенных]]
+
[[Файл:Burritos12.png|625px|thumb|center|Расширение Aliexpress Helper ворует кэшбэки, подменяя cookies партнёрской программы на свои]]
+
<b>
+
  
 +
[https://www.mindomo.com Виртуальная ментальная карта]
  
 +
[http://www.youtube.com/watch?v=UsZ8M3LzNTI Видеоурок для создания ментальных карт]
  
</b>
+
[https://ru.padlet.com Виртуальная Online-доска]
[[Файл:Burritos13.png|625px|thumb|left|Чуть более 20 процентов голосовавших правильно ответили, что войти через access_token - специальный ключ доступа в виде строки из латинских букв и цифр]]
+
[[Файл:Burritos15.png|625px|thumb|center|84 процента опрошенных не стали бы переходить по ссылке из-за странного email-адреса, а 61, 5 процент проверили бы сам факт блокировки]]
+
<b>
+
  
 +
[https://ru.wikibooks.org/wiki/Вики Вики-учебник]
  
 +
[https://docs.google.com/forms Google-Опросник]
  
</b>
+
[https://www.anti-malware.ru/threats/information-security-threats Статья на тему: "Угрозы информационной безопасности" на сайте "Управления рисками кибербезопасности"]
[[Файл:Burritos16.png|625px|thumb|left|Примерно половина голосовавших знакома и прокси и положительно относится к этой технологии Про принцип работы Tor знает более 60 процентов отвечавших]]
+
[[Файл:Burritos17.png|625px|thumb|center|К сожалению, только 7 процентов опрошенных запоминают пароль через ассоциацию, при этом ни один человек не пользуется менеджером паролей, что является вторым по значимости способом хранения паролей]]
+
  
<b>
+
[https://www.anti-malware.ru/threats/malware Статья на тему: "Вредоносные программы" на сайте "Управления рисками кибербезопасности"]
  
 +
[https://vms.drweb.ru/malware/ Статья "Вредоносные программы" на сайте антивируса Dr.Web]
  
 +
С. И. Макаренко "Информационная Безопасность", Ставрополь, СФ МГПУ им. М. А. Шолохова, 2009 г.
  
</b>
+
[https://products.office.com/ru-ru/business/articles/lock-down-cyber-security-threats-from-inside-your-business Статья "Устранение угроз информационной безопасности изнутри бизнеса" на сайте Microsoft]
|}
+
  
== '''Рекомендации''' ==
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 
| style="width: 50%; background-color: #dff2fb; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
 
[[Файл:9785234592634.jpg|1270x768px|thumb|center|[https://padlet.com/bardanovk/566pgl0pzeb2 Интеллектуальная карта(кликабельно)]]]
 
 
|}
 
|}
  
== Вывод ==
+
== Другие документы ==
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
+
| style="width: 50%; background-color: #dff2fb; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
+
''Можно сказать, что голосовавшие далеко не новички в вопросах интернет-безопасности, но некоторые аспекты им всё же придётся выучить.''
+
  
''Люди 21 века тесно связаны с новыми технологиями, а особенно, интернет-технологиями. Чтобы правильно ими пользоваться и не попадать в трудные ситуации, важно знать хотя бы азы информационной безопасности. Мы надеемся, что наш проект подведет незнающих людей ближе к вопросу понимания современных компьютерных угроз и поможет ему защититься от них при необходимости.''
 
|}
 
 
==Полезные ресурсы==
 
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
 
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: inherit; margin-left: auto;margin-right: auto"
| style="width: 50%; background-color: #dff2fb; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
+
| style="width: 50%; background-color: #FFE4E1; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"|
[http://kremlin.ru/acts/bank/41460#sel=4:86:g2W,4:100:hAL Доктрина информационной безопасности Российской Федерации]
+
  
[https://ru.padlet.com Виртуальная Online-доска]
+
[[Учебный проект На пути к информационному обществу]]
  
[https://docs.google.com/forms/d/1viDBZd6vS7hRyU9cd6hn7_aMVJ2clrzxHl-qc49LS_g/edit#responses Анкета "Обеспечение безопасности в интернете"]
+
[https://docs.google.com/forms/d/e/1FAIpQLSesyklK5z5m5PrujzkT3huynAH-yCexPy4YFfuMhsXRuwwGig/viewform Опрос на тему "Информационная безопасность общества и личности"]
 
+
[https://ru.wikibooks.org/wiki/Вики Вики-учебник]
+
 
|}
 
|}
 
|}
 
|}
 +
[[Категория:Проекты]]

Текущая версия на 12:42, 20 октября 2018

«When there are no physical attacks, then physical protection is not needed, but informational security is always needed.»

Steve Jobs
AnonTasf.jpg


Авторы и участники проекта

Тема исследования группы

Обеспечение информационной безопасности личности.

Проблемный вопрос (вопрос для исследования)

Как обеспечить информационную безопасность?

Гипотеза исследования

Мы считаем, что Обеспечение информационной безопасности личности зависит от соблюдения конституционных прав и свобод человека в области получения информации и пользования ею. Важно так же развивать законодательную базу с расчётом на будущее развитие информационных систем и технологий.

Цели исследования

  1. Ознакомиться с доктриной информационной безопасности Российской Федерации.
  2. Рассмотреть возможные угрозы для данных.Провести их классификацию.
  3. Провести анкетирование по поводу обеспечения безопасной работы в Интернете.
  4. Сформулировать принципы защиты информации.

Результаты проведённого исследования

Доктрина информационной безопасности Российской Федерации

Доктрина информационной безопасности Российской Федерации — это система официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере.

Утверждена Указом Президента Российской Федерации от 05.12.2016 г.

Doctrin.jpeg

Основные понятия Доктрины информационной безопасности Российской Федерации

  • национальные интересы Российской Федерации в информационной

сфере - объективно значимые потребности личности, общества и государства в обеспечении их защищенности и устойчивого развития в части, касающейся информационной сферы;

  • угроза информационной безопасности Российской Федерации - совокупность действий и факторов,

создающих опасность нанесения ущерба национальным интересам в информационной сфере;

  • информационная безопасность Российской Федерации - состояние защищенности личности,

общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства;

  • обеспечение информационной безопасности - осуществление

взаимоувязанных правовых, организационных, оперативно-розыскных, разведывательных, контрразведывательных, научно-технических, информационно-аналитических, кадровых, экономических и иных мер по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления;

  • силы обеспечения информационной безопасности -

государственные органы, а также подразделения и должностные лица государственных органов, органов местного самоуправления и организаций, уполномоченные на решение в соответствии с законодательством Российской Федерации задач по обеспечению информационной безопасности;

  • средства обеспечения информационной безопасности -

правовые, организационные, технические и другие средства, используемые силами обеспечения информационной безопасности;

  • система обеспечения информационной безопасности -

совокупность сил обеспечения информационной безопасности, осуществляющих скоординированную и спланированную деятельность, и используемых ими средств обеспечения информационной безопасности;

  • информационная инфраструктура Российской Федерации - совокупность объектов

информатизации, информационных систем, сайтов в сети "Интернет" и сетей связи, расположенных на территории Российской Федерации, а также на территориях, находящихся под юрисдикцией Российской Федерации или используемых на основании международных договоров Российской Федерации.

Составляющие национальных интересов Российской Федерации в информационной сфере в доктрине

  • Обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею.
  • Информационное обеспечение государственной политики РФ(доведение до граждан РФ и международной общественности о государственной политике РФ, официальной позиции по значимым событиям в России и в мире) с доступом граждан к открытым государственным ресурсам.
  • Развитие современных IT отечественной индустрии (средств информатизации, телекоммуникации и связи). Обеспечение IT внутреннего рынка России и выход на мировые рынки.
  • Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Виды угроз информационной безопасности РФ в доктрине

  • Угрозы, направленные на конституционные права и свободы человека в области информационной деятельности.
  • Угрозы информационному обеспечению государственной политики РФ.
  • Угроза развитию современных ИТ отечественной индустрии, а также выходу на внутренний и мировой рынок.
  • Угрозы безопасности информационных и телекоммуникационных средств и систем.


Деятельность государственных органов по обеспечению информационной безопасности основывается на следующих принципах:

  • законность общественных отношений в информационной сфере и правовое равенство всех участников таких отношений, основанные на конституционном праве граждан свободно искать, получать, передавать, производить и распространять информацию любым законным способом;
  • конструктивное взаимодействие государственных органов, организаций и граждан при решении задач по обеспечению информационной безопасности;
  • соблюдение баланса между потребностью граждан в свободном обмене информацией и ограничениями, связанными с необходимостью обеспечения национальной безопасности, в том числе в информационной сфере;
  • достаточность сил и средств обеспечения информационной безопасности, определяемая в том числе посредством постоянного осуществления мониторинга информационных угроз;
  • соблюдение общепризнанных принципов и норм международного права, международных договоров Российской Федерации,а также законодательства Российской Федерации.


Угрозы и принципы информационной безопасности

Ментальная карта - "Классификация угроз и принципов информационной безопасности"

Способы защиты информации

Online-доска - "Классификация методов обеспечения информационной безопасности"


Методы обеспечения информационной безопасности РФ в доктрине:

Правовые методы:

  • Разработка нормативных правовых актов, регламентирующих отношения в сфере ИТ
  • разработка нормативных методических документов отвечающим по вопросам информационной безопасности РФ

Организационно-технические методы:

  • создание системы информационной безопасности РФ и её совершенствование
  • привлечение лиц к ответственности, совершивших преступления в этой сфере
  • создание систем и средств для предотвращения несанкционированного доступа к обрабатываемой информации
  • выявление средств и устройств, представляющих опасность для нормального функционирования систем - предотвращение перехвата информации с применением средств криптографической защиты как при передаче информации, так и при её хранении
  • контроль за выполнением требований по защите информации
  • контроль за действиями персонала, имеющих доступ к информации, подготовка кадров в области обеспечения информационной безопасности РФ
  • создание системы мониторинга информационной безопасности РФ

Экономические методы:

  • разработка программ обеспечения информационной безопасности и их финансирование
  • финансирование работ, связанных с обеспечением информационной безопасности РФ

Правила безопасной деятельности в интернете:

  1. Не переходите по спам-письмах. Под ссылками могут скрываться фишинговые страницы.
  2. Не вводите данные банковских карт и аккаунтов на подозрительных сайтах.
  3. На страницах в соц. сетях оставляйте только необходимый минимум персональных данные. Особенно это касается адреса вашего проживания.
  4. Используйте антивирусы для защиты компьютера от вирусного ПО. Зачастую, пользователь сам устанавливает вирус на свой ПК. Уберечь устройство от ошибки человека может антивирусник с обновленной базой вирусов.
  5. Пользуйтесь только проверенными источниками для скачивания ПО. Производитель бесплатного ПО в большинстве случаев распространяет его через свой сайт.
Уровни соблюдения режима информационной безопасности

Результаты опроса

Был проведён опрос среди одногруппников, итог которого представлен ниже.

Более 75% опрошенных считают, что знают значение понятия "Информационная безопасность".
Большинство опрошенных запоминают пароль и лишь малая часть его записывает, при этом никто не использует специальных ресурсов для хранения паролей в интернете, из этого можно сделать вывод, что абсолютно все не доверяют хранение паролей интернет ресурсам.
Почти все опрошенные используют средства защиты персональных данных на своих устройствах, что снижает вероятность кражи личных данных пользователей.
Больше половины опрошенных не хранят своих персональных данных в интернете, что означает невозможность кражи их личных данных злоумышленниками.
Только 35% опрошенных не пользуются сетями Wi-Fi в общественных местах, что противоречит результатам первого вопроса. Это говорит о том, что некоторые из опрошенных ошибались и на самом деле знакомы с понятием "Информационная безопасность" довольно плохо или вообще не знают его.

Вывод

Подводя итог нашего исследования можно заключить, что обеспечение информационной безопасности зависит далеко не только от государства, но и от каждого отдельно взятого пользователя, его знаний о возможных угрозах и умения соблюдать ряд правил для безопасной работы в сети. Компьютерно-грамотный человек может максимально снизить риски, но всё же ни один рядовой пользователь не застрахован от опасностей в интернете на все 100%.

Полезные ресурсы

Доктрина информационной безопасности Российской Федерации

Виртуальная ментальная карта

Видеоурок для создания ментальных карт

Виртуальная Online-доска

Вики-учебник

Google-Опросник

Статья на тему: "Угрозы информационной безопасности" на сайте "Управления рисками кибербезопасности"

Статья на тему: "Вредоносные программы" на сайте "Управления рисками кибербезопасности"

Статья "Вредоносные программы" на сайте антивируса Dr.Web

С. И. Макаренко "Информационная Безопасность", Ставрополь, СФ МГПУ им. М. А. Шолохова, 2009 г.

Статья "Устранение угроз информационной безопасности изнутри бизнеса" на сайте Microsoft

Другие документы

Учебный проект На пути к информационному обществу

Опрос на тему "Информационная безопасность общества и личности"

Источник — «https://wiki.mininuniver.ru/index.php?title=Результаты_исследования_группы_Информационная_безопасность_общества_и_личности/ИСТ-18&oldid=233615»