Проект "ИТ-Защита"

Изучив предложения на рынке парольных менеджеров, мы рассмотрели следующие варианты программного обеспечения: KeePass, eWallet, LastPass, 1Password, RoboForm.

Кратко расскажем о каждой программе:

KeePass Password Safe - простой и удобный менеджер паролей KeePass (с открытым исходным кодом). Это бесплатная программа, которая свободно распространяется под лицензией GPL v2. На сегодняшний день есть 2 основные версии: 1.x, работающая только под Windows, и 2.x, работающая в том числе и под Monо в OS X и Linux. Для обеих версий есть Portable-вариант. Сама база паролей шифруется AES-256. Файл базы можно синхронизировать любыми удобными способами, будь то Dropbox, USB flash, или что-то еще.

Зачем законопослушному гражданину, казалось бы, знать, такую информацию о методах подбора и взлома паролей? Ну, во-первых, «предупрежден, значит вооружен». Зная, хотя бы в общих чертах, о методах взлома паролей – меньше шансов стать жертвой хакера или злоумышленника. А во-вторых, в бизнесе частенько бывают ситуации, когда получить доступ к запароленному документу или базе данных жизненно необходимо совершенно в «рамках закона». Какие же это ситуации? Приведем примеры.

На крупных предприятиях существуют, как правило, отделы информационной безопасности (ИБ) и отделы автоматизации или информационных технологий (ИТ), которые занимаются проблемами технологии безопасности данных, в том числе разграничения доступа сотрудников к информационным ресурсам, а также парольной защитой (т.е. выделением пароля определенному сотруднику, его сменой и т.д.) В сфере крупного бизнеса проблема парольной защиты информационных ресурсов, решается, путем внедрения различных корпоративных систем безопасности и соблюдением политики безопасности предприятия. Примером такого подхода может служить система одноразовых паролей S/Key, определённая в RFC 1760, которая представляет собой систему генерирования одноразовых паролей на основе стандартов MD4 и MD5. Система S/Key основана на технологии клиент/сервер, где клиентом обычно является персональный компьютер, а сервером – сервер аутентификации, как правило, на основе UNIX-машины. Такая система аутентификации хотя и является весьма надёжной, но вместе с тем достаточно дорогой и поэтому применяется, в основном, при развёртывании крупных корпоративных систем ИТ.

А вот как дела обстоят в сфере малого и среднего бизнеса, у которого тоже уже есть определенные информационные активы (корпоративный веб-сайт или интернет-магазин, система бухгалтерского учета, база данных клиентов и т.д.)? Дела с информационной безопасностью в этой среде обстоят крайне неважно. Для содержания на постоянной основе штатных специалистов по ИБ у малых и средних предпринимателей, как правило, нет на это средств. В лучшем случае есть системный администратор, который занимается всей ИТ и ИБ «кухней». А вот взлому, атакам из сети, а также утечкам служебной информации такие объекты бизнеса подвергаются очень и очень часто. Почему? Потому что они «легкая добыча» для разного рода хакеров и компьютерных злоумышленников. Чаще всего несанкционированный доступ к информационным активам малого предприятия происходит путем «взлома» или незаконной передачи пароля третьему лицу. Поэтому для таких субъектов предпринимательской деятельности будут очень полезны наши рекомендации по правильному выбору и хранению паролей.

Очень часто в Интернете контент сайтов просто копируется или прямо сказать "воруется". Это касается, как и текстовых материалов, так и фотоматериалов. Копируют друг у друга все категории пользователей сети: веб-мастера сайтов, копирайтеры, разработчики некачественных сайтов для продажи ссылок у разработчиков качественных сайтов для пользователей и др. В последнее время до того дошло, что откровенно воровать фотоматериалы стали крупные новостные агентства, порталы, СМИ, причем как друг у друга, так и у рядовых блогеров и небольших частных сайтов или вообще у пользователей социальных сетей. Что же происходит? Журналисты вообще перестали выезжать на места происшествий, а также в зоны боевых действий. Это ведь затратно и накладно, и даже опасно, проще скопировать фотографии с мест боевых действий на некоторых небольших местных блогах, естественно без ссылки на первоисточник и выложить не соответствующий действительности (как говорят в сети, "фейковый материал"), который сделан якобы в "горячей точке". А потом в социальных сетях будут инициированы массовые вбросы «дезинформации» с той или иной враждующей стороны. Вот так ведутся «информационные войны».

Многие известные блогеры и владельцы сайтов уже не раз обсуждали данный вопрос: как защитить свои фотографии при публикации в сети Интернет от несанкционированного копирования и дальнейшей модификации?

Как известно весь мир находится под «колпаком» тотального контроля со стороны специальных служб ряда высокоразвитых стран и прежде всего США. В том числе спец службы этих стран собирают информацию о наиболее широком круге пользователей сети Интернет и хранят ее для использования в собственных целях. Это стало известно благодаря «разоблачениям Э. Сноудена». Хакерские группировки и компьютерные злоумышленники тоже собирают данные о пользователеях сети, с целью получить доступ к информационным и финансовым активам (кредитным картам, системам он-лайн платежей, электронным кошелькам граждан и т.д.). В сфере бизнеса сбор информации о субъекте предпринимательской деятельности ведется специалистами по конкурентной разведке. Как защититься от «тотального контроля» и «слежки» в сети? Как сохранить свою приватность и конфиденциальность информационных активов?

Для того чтобы понять насколько усложняются структуры СУ (SCADA – системы) КВО необходимо уяснить выполнение требований основной триады безопасности ИТ: конфиденциальности, целостности и доступности. Для выполнения этих требований должны быть выполнены следующие условия структурного функционирования АСУ ТП.

Рассматривая в предыдущем разделе нормотворческую деятельность уполномоченных органов (регуляторов) РФ в сфере ИБ АСУ ТП КВО подспудно возникал вопрос оценки этой самой безопасности. Чем руководствоваться разработчику, заказчику или аудитору таких сложных инфраструктур как КВО при оценке безопасности их автоматизированных систем на всех этапах жизненного цикла. Существует два подхода к проблеме оценки ИБ – это использование собственных национальных нормативных правовых методик и рекомендаций и использование мирового опыта на основе международных стандартов.