Парольные программы

Политика информационной безопасности

Наибольшая сохранность будет обеспечена той информации, для защиты которой используется комплексный подход. Уважающая себя организация, да и просто активист занимающийся, правами человека да и в том числе защитой общественных интересов, имеет политику информационной безопасности.

Если вы действительно заботитесь об информации и о компьютерах, вы должны решить для себя или вам нужно договориться между собой — в своей организации — как вы будете её защищать. А для этого сначала нужно оценить риски. Сделать это можно посредством ответа на несколько вопросов:

Кто вам, в принципе, может угрожать?

• Злонамеренные хакеры
• Воры
• Правительство.
• Технические проблемы (вроде сбоев в электросети).
• Собственная небрежность.

Важно представлять источник угрозы, и как можно заметить, источники разные. Значит, и меры против них должны приниматься разные. Решетка на окне способна помешать вору. Но она не поможет, если, к примеру, кто-то из ваших сотрудников, уходя домой, забудет запереть дверь. Пойдем дальше.

Какую информацию вы хотели бы защитить?

• Адресные книги.
• Почтовые сообщения.
• Документы по определенным направлениям работы (по важным делам).
• Пароли, ключи, коды доступа.
• Финансовую отчетность и прочие финансовые документы.
• Архив фотографий и т.д.

— Всякая защита чего-то стоит, например денег, времени. Глупо тратить свои и без того скромные ресурсы на защиту файлов, если они не интересны никому из тех, кого мы перечислили выше. Выделите ту информацию, которая действительно нуждается в защите.

Пример: персональные данные ВИЧ-инфицированных. Люди доверяют нам очень личную информацию. Многие боятся, что об их состоянии станет известно, скажем, на работе или среди соседей — и тогда их жизнь превратится в кошмар. Нельзя и мысли допустить, что база данных окажется в чьих-то руках.

. Подумайте: может быть, есть другие носители информации, которые нуждаются в защите?

• Компьютеры в офисе.
• Компьютеры дома.
• Рабочие USB-флешки.
• Архивные CD и DVD.
• Бумажная документация (хранится в офисе а кто то хранит и дома).

- Итак, дело не ограничивается компьютерами. Нужно подумать и о других носителях информации, - обратите внимание, как вы используете эту информацию и носители. Как передаете, друг другу, где храните. Вспомните, какие меры обеспечения информационной безопасности принимаете сейчас. Оцените их эффективность и решите, что следует изменить.

Пример: Наша с вами рабочая флешка,- каких только материалов на ней нет, и то что вы на неё сбрасывали что бы «по-быстрому» распечатать с другого компьютера, то что вам «перебрасывал» коллега для вас, там могут быть фотографии, документы и все что угодно. А теперь подумайте, насколько эта информация согласуется с принципами безопасности. Например, с практикой резервного копирования данных, или какую реальную защиту информации обеспечивает программа которой вы пользуетесь на флешке. А может у вас такой программы не вообще? Как часто вы убираете с флешки всю «ненужную» информацию? И если убираете то каким образом, какова вероятность её восстановить?

- То, что мы сейчас с вами проделали (в упрощенном виде), специалисты называют "аудит информационной безопасности". Проведите его до конца, и вы сможете написать краткие, но емкие правила – политику информационной безопасности.

Физическая защита

Как мы с вами могли убедиться из написанного выше, вопросы физической защиты информации не менее актуальны чем вопросы защиты информации при помощи специальных программ. Да и в целом об эффективной защите мы можем говорить только тогда, когда разноплановые мероприятия выполняются в комплексе.

Вот ряд советов по физической защите информации:

· Постарайтесь защитить двери и окна. Как минимум, поставьте приличный замок, оконные решетки. Есть смысл подумать о сигнализации или даже о видеокамере, которая следила бы за входом. Если у дверей здания дежурит вахтер: каковы его возможности? Способен ли он помочь вам задержать злоумышленника или сидит "для декорации"?

· Разузнайте побольше о соседях. Кто занимает офисные помещения справа и слева, напротив, этажами выше и ниже? Если в ваше отсутствие в офис начнет ломиться незнакомец, объясняя, что "забыл ключ", можно ли рассчитывать, что сосед снимет трубку и наберет ваш номер? Или соседу все равно? Или он сам - возможная угроза?

· Отделите приемную, куда приходят люди, от рабочих помещений. Исключите ситуацию, когда посетитель пробирается к вам мимо рабочих мест, заваленных важными документами.

· Установите, кто может брать ключи от офиса, а кто не может. Уладьте вопросы с уборщицей, если она приходит по вечерам после работы.

· Избегайте ставить оборудование вблизи проходов, где его могут случайно задеть. Компьютерные провода не должны путаться под ногами или свисать гирляндами со столов. Лучше всего убрать провод в специальный короб.

· Выясните, есть ли в розетках заземление. Если оно есть, используйте его (вилки с тремя контактами вместо двух).

· Проводка и в особенности розетки должны быть качественными. При необходимости замените их. Нет ничего более жалкого и опасного, чем вывалившаяся из стены, повисшая на проводах, искрящая розетка.

· Подключите компьютеры к электрической сети не напрямую, а через источники бесперебойного питания (ИБП). Тогда броски напряжения в сети не приведут к выключению и порче компьютеров. ИБП стоят денег, но если у вас электрическая сеть плохого качества, вы быстро убедитесь, что эти затраты окупаются. Если сейчас вы никак не можете себе позволить приобрести ИБП, используйте простые и недорогие сетевые фильтры. В отличие от ИБП, они не помогут вам при «вылетании» пробок, но сумеют погасить высокочастотные всплески, что уже неплохо.

· Если в организации используется беспроводная связь с интернетом, убедитесь, что для нее обеспечен соответствующий уровень защиты. Злоумышленник или просто любитель "халявы" не должен иметь возможность подключиться к вашей сети.

· Ставьте компьютер так, чтобы информация на экране не бросалась в глаза людям, проходящим мимо.

· Не забывайте про вентиляцию. В жару компьютер может перегреться. Не придвигайте корпус задней стороной вплотную к стене, не устанавливайте его под прямыми солнечными лучами или у батареи отопления.

· Если у вас есть ноутбук... используйте специальный замок Kensington Lock. Это запирающее устройство с металлическим тросиком, напоминает защиту от угона велосипедов. Ведь ноутбук относительно несложно украсть, воспользовавшись шумной, напряженной офисной обстановкой.

· Отлучаясь ненадолго, не оставляйте на экране компьютера важную информацию. Как минимум, запускайте "заставку Windows" под паролем.

· Не выпускайте из виду мобильные устройства, в частности, ноутбук и мобильные телефоны, особенно во время поездок и остановок в гостиницах. Старайтесь не демонстрировать такие устройства на публике, чтобы ненароком не привлечь внимание вора.

· Где бы вы ни были, не забывайте флешки в USB-разъемах компьютеров. Как только работа с флешкой закончена, вытащите ее из гнезда и уберите в надежное место.

· Проведите инвентаризацию оборудования. Если что-то пропадет, не придется спорить, было такое устройство у вас в офисе или нет. Не забудьте про технику, принадлежащую организации, которая находится "на домах" у сотрудников.

· Упорядочите процедуру создания резервных копий самых важных данных: кто, как и когда этим занимается, где хранятся архивы CD и DVD.

· Установите пароль для доступа к компьютеру в BIOS (пароль при загрузке компьютера). Это не станет преградой для изощренного вора, но помешает кому-либо "быстренько" получить доступ к содержимому диска, перезагрузив компьютер.

· Используйте шифрование для защиты информации не только на настольных компьютерах, но и на мобильных носителях и устройствах.

Помните !!! — все технические способы защиты работают только "в связке" с административными. Мало установить на дверь надежный замок. Важно, чтобы копии ключей не валялись неизвестно где, а, например, выдавались под расписку тем, кто несет ответственность.

Информационная безопасность в планировании и осуществлении деятельности. (Как создавать и хранить надежные пароли).

Люди привыкли защищать важную информацию с помощью ключей. Ключ от квартиры, ключ зажигания в автомобиле, PIN-код банковской карточки, пароль к электронному почтовому ящику, и так далее. Есть ключ - есть доступ. Можно построить сложную систему запоров, задвижек, замков, сейфов, но если все это открывается единственным универсальным ключом, который висит на крючке у входной двери, грош цена такой системе безопасности.

Каким должен быть хороший пароль:

• Достаточно длинным. Хотя бы 8-10 символов. Иногда компьютерные программы используют целые парольные фразы.
• Неочевидным. Грубую ошибку совершает тот, кто выбирает в качестве пароля личную информацию, например, номер телефона или кличку любимой собаки. Эти данные могут быть известны другим людям, а значит, им несложно подобрать пароль.

Пример: В фильме "Идеальное преступление" весь план главного героя в исполнении Майкла Дугласа развалился в один момент из-за того, что он выбрал для своего личного сейфа ужасный пароль — дату собственной свадьбы.

• Уникальным. Не используйте один и тот же пароль снова и снова. В противном случае удачный подбор -и все ваши сайты, дневники, сообщения на форумах достанутся злоумышленнику.

Общее правило: каждому ресурсу — свой пароль.

• Обновляемым. Пароль — не надпись на памятнике. Меняйте его время от времени. Случается, что человек так привыкает к паролю, что не хочет с ним расставаться. Пароль не меняется месяцы, а то и годы. Чем дольше хранится пароль, тем выше вероятность, что его в конце концов узнают те, кому не следовало.
• Приватным. Некоторые наклеивают листочки с паролями на монитор. Наверное, у вас нет этой вредной привычки. Но если пароль все-таки стал известен другим людям (скомпрометирован), смените его как можно скорее. Не стоит хранить пароли в открытых текстовых файлах, документах Word, словом, в таких "контейнерах", которые с легкостью откроет и прочтет всякий.

Примеры:

· Меняйте регистр. Как вам, например, такой пароль: " сЕмнадцать мгнОвений вЕсны"? (Каждая первая гласная в слове дана в верхнем регистре).

· Используйте не только буквы и цифры, но и другие значки, например, точки, дефисы. Иногда можно удачно заменить букву цифрой, скажем, так: " 30л0тые ябл0ки с0лнца ". Здесь буквы "О" заменены нулями (а буква "З", кстати, цифрой "З").

· Попробуйте мнемонические выражения вот такое, к примеру, "КПЧУУРЗЯСФО"? Кажется, что бессмыслица, а на самом деле — начальные буквы слов стихотворения "Ворон" Эдгара По (предлоги опущены): " Как-то в полночь в час угрюмый, утомившись от раздумий, задремал я над страницей фолианта одного ".

Даже если вы забудете свои записи, такой пароль вы без большого труда сможете восстановить по памяти (если, конечно, помните первую строчку "Ворона", а если нет, кто мешает использовать строчку из вашего любимого произведения?).

quot;Парольные" программы

Пара-тройка сайтов, любимый форум, почтовый клиент — везде нужны пароли. Если вы активно работаете на компьютере, счет идет на десятки. Запомнить все пароли невозможно!

Некоторые записывают пароли в текстовый файл, а затем шифруют его с помощью криптографической программы. Но можно, использовать специальную программу для создания и хранения паролей. Одна из таких программ - KeePass. Пароли хранятся в защищенной базе данных. По сути дела, вам нужно запомнить единственный пароль, который дает вход в саму программу KeePass (пароль, конечно, должен быть надежным). Программа помогает создавать пароли, упорядочивать их (так, что ими становится удобно пользоваться). KeePass может работать с USB-флешки, ее удобно носить с собой.

И конечно сразу может возникнуть вопрос: В связи с тем, что эта программа позволяет хранить кучу паролей внутри себя. В одном месте. Для доступа к ней нужен всего один пароль, и если злоумышленник заполучит этот пароль, скажем, подберет или угадает? Он получит доступ ко всем остальным паролям?

Во-первых, если злоумышленник подберет пароль, что он с ним станет делать? Ему придется вдобавок украсть у тебя базу данных KeePass, а это может быть непросто. Так как она будет храниться у вас отдельно в зашифрованном контейнере.

Во-вторых, для того мы и говорили о правилах и хитростях составления хороших паролей, чтобы вы применили их для защиты (в первую очередь) этого "главного" пароля.

В-третьих, его тоже нужно менять время от времени.