Головна
Технології
Витік конфіденційної інформації. Витік та засоби захисту конфіденційної інформації Канали витоку конфіденційної інформації в організації

Витік конфіденційної інформації. Витік та засоби захисту конфіденційної інформації Канали витоку конфіденційної інформації в організації

Інформація джерела завжди поширюється на зовнішнє середовище. Канали поширення інформації носять об'єктивний характер, відрізняються активністю і включають: ділові, управлінські, торгові, наукові, комунікативні регламентовані зв'язки; інформаційні мережі; природні технічні канали

Канал поширення інформації являє собою шлях переміщення цінних відомостей з одного джерела до іншого в санкціонованому режимі (дозволений) або через об'єктивні закономірності або через об'єктивні закономірності (83, с.48).

Термін "відплив конфіденційної інформації", ймовірно, не наймилозвучніший, проте він більш ємно, ніж інші терміни, відображає суть явища. Він давно закріпився у науковій літературі, нормативних документах (99, с.11). Витік конфіденційної інформації є неправомірний, тобто. невирішений вихід такої інформації за межі зони її функціонування або встановленого кола осіб, які мають право працювати з нею, якщо цей вихід призвів до отримання інформації (ознайомлення з нею) особами, які не мають до неї санкціонованого доступу. Витік конфіденційної інформації означає як отримання її особами, які працюють на підприємстві, до витоку призводить і несанкціоноване ознайомлення з конфіденційною інформацією осіб цього підприємства (104, с.75).

Втрата та витік конфіденційної документованої інформації обумовлені вразливістю інформації. Уразливість інформації слід розуміти, як нездатність інформації самостійно протистояти дестабілізуючим впливам, тобто. таким впливам, що порушують її встановлений статус (94, с.89). Порушення статусу будь-якої документованої інформації полягає у порушенні її фізичної безпеки (взагалі або у даного власника в повному або частковому обсязі), логічної структури та змісту, доступності для правочинних користувачів. Порушення статусу конфіденційної документованої інформації додатково включає порушення її конфіденційності (закритість для сторонніх осіб). Вразливість документованої інформації – поняття збірне. Вона немає взагалі, а проявляється у різних формах. До них відносяться: розкрадання носія інформації або відображеної в ньому інформації (крадіжка); втрата носія інформації (втрата); несанкціоноване знищення носія інформації або відображеної інформації (руйнування, спотворення інформації (несанкціонована зміна, несанкціонована модифікація, підробка, фальсифікація); блокування інформації; розголошення інформації (поширення, розкриття).

Термін "руйнування" використовується головним чином стосовно інформації на магнітних носіях. Існуючі варіанти назв: модифікація, підробка, фальсифікація не зовсім адекватні терміну "спотворення", вони мають нюанси, проте суть їх одна і та ж - несанкціонована часткова або повна зміна складу первісної інформації (36, с.59).

Блокування інформації означає блокування доступу до неї правочинних користувачів, а не зловмисників.

Розголошення інформації є формою прояву вразливості лише конфіденційної інформації.

Та чи інша форма вразливості документованої інформації може реалізуватися в результаті навмисного або випадкового дестабілізуючого впливу різними способами на носій інформації або на інформацію з боку джерел впливу. Такими джерелами можуть бути люди, технічні засоби обробки та передачі інформації, засоби зв'язку, стихійні лиха та ін. інформації, виведення (або вихід) з ладу та порушення режиму роботи технічних засобів обробки та передачі інформації, фізичний вплив на інформацію та ін.

Вразливість документованої інформації призводить або може призвести до втрати або витоку інформації. (97, с.12).

До втрати документованої інформації призводять розкрадання та втрата носіїв інформації, несанкціоноване знищення носіїв інформації або лише відображеної в них інформації, спотворення та блокування інформації. Втрата може бути повною або частковою, безповоротною або тимчасовою (при блокуванні інформації), але в будь-якому випадку вона завдає шкоди власнику інформації.

До витоку конфіденційної документованої інформації наводить її розголошення. Як зазначають деякі автори (77, с.94; 94, с.12) у літературі і навіть у нормативних документах термін "відплив конфіденційної інформації" нерідко замінюється або ототожнюється з термінами: "розголошення конфіденційної інформації", "поширення конфіденційної інформації". Такий підхід, з погляду фахівців, є неправомірним. Розголошення або розповсюдження конфіденційної інформації означає несанкціоноване доведення її до споживачів, які не мають права на доступ до неї. При цьому таке доведення має здійснюватись кимось, виходити від когось. Витік відбувається при розголошенні (несанкціонованому поширенні) конфіденційної інформації, але зводиться лише щодо нього. Витік може статися і внаслідок втрати носія конфіденційної документованої інформації, і навіть розкрадання носія інформації чи відображеної у ньому інформації за збереження носія в його власника (власника). Це не означає, що станеться. Втрачений носій може потрапити в чужі руки, а може бути і "прихоплений" сміттєзбиральною машиною та знищений у встановленому для сміття порядку. У разі витоку конфіденційної інформації немає. Викрадення конфіденційної документованої інформації також не завжди пов'язане з отриманням її особами, які не мають доступу до неї. Чимало прикладів, коли розкрадання носіїв конфіденційної інформації здійснювалося у колег по роботі допущеними до цієї інформації особами з метою "підсидки", заподіяння шкоди колезі. Такі носії, як правило, знищувалися особами, які викрали їх. Але в будь-якому разі втрата та розкрадання конфіденційної інформації, якщо і не призводять до її витоку, то завжди створюють загрозу витоку. Тому можна сказати, що до витоку конфіденційної інформації наводить її розголошення і можуть призвести розкрадання та втрата. Складність полягає в тому, що часто неможливо ділити, по-перше, сам факт розголошення або розкрадання конфіденційної інформації при збереженні носія інформації у її власника (власника), по-друге, чи потрапила інформація внаслідок її розкрадання чи втрати стороннім особам.

Власник комерційної таємниці - фізична або юридична особа, яка має на законній підставі інформацію, що становить комерційну таємницю, та відповідні права в повному обсязі (91, с.123).

Інформація, що становить комерційну таємницю, не існує сама собою. Вона відображається у різних носіях, які можуть її зберігати, накопичувати, передавати. З їхньою допомогою здійснюється і використання інформації. (8; 91, с.123)

Носій інформації - фізична особа або матеріальний об'єкт, у тому числі фізичне поле, в яких інформація знаходить своє відображення у вигляді символів, образів, сигналів, технічних рішень та процесів (8; 68, с.37).

З цього визначення випливає, по-перше, що матеріальні об'єкти - це не тільки те, що можна побачити чи торкнутися, а й фізичні поля, а також мозок людини, по-друге, що інформація в носіях відображається не лише символами, тобто . літерами, цифрами, знаками, а й образами як малюнків, креслень, схем, інших знакових моделей, сигналами у фізичних полях, технічними рішеннями у виробах, технічними процесами у технології виготовлення продукції (39, с.65).

Типи матеріальних об'єктів як носіїв інформації є різними. Ними можуть бути магнітні стрічки, магнітні та лазерні диски, фото-, кіно-, відео- та аудіоплівки, різні види промислової продукції, технологічні процеси та ін Але найбільш масовим типом є носії на паперовій основі (46, с.11). Інформація у яких фіксується рукописним, машинописним, електронним, друкарським методами у вигляді тексту, креслення, схеми, малюнка, формули, графіка, карти тощо. У цих носіях інформація відображається у вигляді символів та образів. Така інформація ФЗ "Про інформацію…" (8) віднесена до розряду документованої інформації та є різними видами документів.

Останнім часом відбулися суттєві корективи у форми та засоби отримання конфіденційної інформації неформальними способами. Звичайно, це стосується переважно впливу на людину як носія конфіденційної інформації.

Людина як об'єкт впливу більш схильний до неформальних впливів, ніж технічні засоби та інші носії конфіденційної інформації, в силу певної правової незахищеності в даний момент, індивідуальних людських слабкостей та життєвих обставин (64, с.82).

Така неформальна дія має, як правило, прихований, нелегальний характер і може здійснюватися як індивідуально, так і групою осіб.

На особу, яка є носієм конфіденційної інформації, можливі такі види каналів витоку інформації: мовний канал, фізичний канал та технічний канал.

Мовний канал витоку - інформація передається від того, хто володіє конфіденційною інформацією за допомогою слів особисто об'єкту, зацікавленому в отриманні цієї інформації (29).

Фізичний канал витоку - інформація передається від того, хто володіє конфіденційними відомостями (носія) за допомогою паперових, електронних, магнітних (зашифрованих або відкритих) або інших засобів об'єкту, зацікавленому в отриманні цієї інформації (36, с.62).

Технічний канал витоку - інформація передається у вигляді технічних засобів (29).

Форми впливу на особу, що є носієм відомості, що захищаються, можуть бути відкриті і приховані (33).

Відкритий вплив на власника (носія) конфіденційної інформації для отримання зацікавленим об'єктом передбачає безпосередній контакт (101, с.256).

Прихований вплив на конфіденційної інформації, що володіє (носія), для її отримання зацікавленим об'єктом здійснюється опосередковано (непрямо) (101, с.256).

Засобами неформального впливу конфіденційної інформації, що володіє (носія) для отримання від нього певних відомостей через відкритий мовний канал є - людина або група людей, які взаємодіють за допомогою: обіцянок чогось, прохання, навіювання (107, с.12).

В результаті володар (носій) конфіденційної інформації змушений змінити свою поведінку, свої службові зобов'язання та передати необхідну інформацію (91, с.239).

Прихований вплив за допомогою мовного каналу на конфіденційної інформації, що володіє (носія) здійснюється за допомогою непрямого примусу - шантаж через третю особу, ненавмисне або навмисне прослуховування і т.п.

Згадані засоби впливу привчають володіє (носія) конфіденційної інформації для його толерантності (терпимості) впливів, що надаються на нього (85, с.220).

Форми на володіючого (носія) конфіденційної інформації через фізичний канал витоку можуть бути також відкритими і прихованими.

Відкритий вплив здійснюється за допомогою силового (фізичного) залякування (побоїв) або силове зі смертельним наслідком, після отримання (побоїв) або силове зі смертельним наслідком, після отримання інформації (95, с.78).

Прихований вплив є більш витонченим та широким, з точки зору застосування засобів. Це можна як наступної структури впливу (95, с.79). Зацікавлений об'єкт - інтереси та потреби носія конфіденційної інформації.

Отже, зацікавлений об'єкт впливає потай (опосередковано) на інтереси та потреби людини, яка володіє конфіденційною інформацією.

Такий прихований вплив може ґрунтуватися на: страху, шантажі, маніпулюванні фактами, хабарі, підкупі, інтимі, корупції, переконанні, наданні послуг, запевненні про майбутнє особи, яка є носієм конфіденційної інформації. (94, с.87)

Форма впливу на власника (носія) конфіденційної інформації з технічних каналів також може бути відкритою та прихованою.

Відкриті (прямі) засоби - факсові, телефонні (у тому числі мобільні системи), Інтернет, радіозв'язку, телекомунікацій, ЗМІ.

До прихованих засобів можна віднести: прослуховування з використанням технічних засобів, перегляд з екрана дисплея та інших засобів її відображення, несанкціонований доступ до ПЕОМ та програмно-технічних засобів.

Усі розглянуті засоби впливу незалежно від їх форм, мають неформальний вплив на особу, яка є носієм конфіденційної інформації, та пов'язані з протизаконними та кримінальними способами отримання конфіденційної інформації (72).

Можливість маніпулювання індивідуальними особливостями володаря (носія) конфіденційною інформацією його соціальними потребами з метою її отримання обов'язково необхідно враховувати під час розміщення, підбору кадрів та проведення кадрової політики при організації робіт з конфіденційною інформацією.

Слід пам'ятати, що факт документування інформації (нанесення будь-який матеріальний носій) збільшує ризик загрози витоку інформації. Матеріальний носій завжди легше викрасти, при цьому є високий ступінь того, що потрібна інформація не спотворена, як це буває при розголошенні інформації усним способом.

Загрози безпеки, цілісності та секретності конфіденційності інформації обмеженого доступу практично реалізуються через ризик утворення каналів несанкціонованого отримання (добування) зловмисником цінної інформації та документів. Ці канали є сукупністю незахищених або слабо захищених організацією напрямів можливого витоку інформації, які зловмисник використовує для отримання необхідних відомостей, навмисного незаконного доступу до інформації, що захищається та охороняється.

Кожне конкретне підприємство має власний набір каналів несанкціонованого доступу до інформації, у разі ідеальних фірм немає.

Дане, залежить від безлічі факторів: обсягів інформації, що захищається і охороняється; видів інформації, що захищається і охороняється (що становить державну таємницю, або якусь іншу таємницю - службову, комерційну, банківську і т.д.); професійного рівня персоналу, розташування будівель та приміщень тощо.

Функціонування каналів несанкціонованого доступу до інформації обов'язково тягне за собою витік інформації та зникнення її носія.

Якщо йдеться про витік інформації з вини персоналу, використовується термін "розголошення інформації". Людина може розголошувати інформацію усно, письмово, зняттям інформації з допомогою технічних засобів (копірів, сканерів тощо.), з допомогою жестів, міміки, умовних сигналів. І передавати її особисто, через посередників, каналами зв'язку тощо. (56, с.458).

Витік (розголошення) інформації характеризується двома умовами:

1. Інформація переходить безпосередньо до зацікавленої у ній особі, зловмиснику;

2. Інформація переходить до випадкової, третьої особи.

Під третьою особою в даному випадку розуміється будь-яка стороння особа, яка отримала інформацію в силу обставин, що не залежать від цієї особи, або безвідповідальності персоналу, яка не має права володіння інформацією, і, головне, ця особа не зацікавлена ​​в цій інформації (37, с.5 ). Однак від третьої особи інформація може легко перейти до зловмисника. У цьому випадку третя особа через обставини, підлаштовані зловмисником, виступає як "промокашка" для перехоплення необхідної інформації.

Перехід інформації до третьої особи є досить частим явищем, і його можна назвати ненавмисним, стихійним, хоча при цьому факт розголошення інформації має місце.

Ненавмисний перехід інформації до третьої особи виникає в результаті:

1. Втрата або неправильне знищення документа на якомусь носії, пакеті з документами, справи, конфіденційних записів;

2. Ігнорування або навмисне невиконання працівником вимог щодо захисту документованої інформації;

3. Зайвої балакучості працівників за відсутності зловмисника - з колегами по роботі, родичами, друзями, іншими особами у місцях загального користування: кафе, транспорті тощо. (Останнім часом це стало помітно з поширенням мобільного зв'язку);

4. Роботи з документованою інформацією з обмеженим доступом організації за сторонніх осіб, несанкціонованої передачі її іншому працівникові;

5. Використання інформації з обмеженим доступом у відкритих документах, публікаціях, інтерв'ю, особистих записах, щоденниках тощо;

6. Відсутності грифів секретності (конфіденційності) інформації на документах, нанесення маркування з відповідними грифами на технічних носіях;

7. Наявність у текстах відкритих документів зайвої інформації з обмеженим доступом;

8. Самовільного копіювання (сканування) працівником документів, у тому числі електронних, у службових чи колекційних цілях.

На відміну від третьої особи зловмисник або його спільник цілеспрямовано добувають конкретну інформацію та навмисно, незаконно встановлюють контакт із джерелом цієї інформації або перетворюють канали її об'єктивного поширення на канали її розголошення чи витоку.

Організаційні канали витоку інформації відрізняються великою різноманітністю видів і засновані на встановленні різноманітних, у тому числі законних, взаємин зловмисника з підприємством або співробітниками підприємства для подальшого несанкціонованого доступу до інформації, що цікавить.

Основними видами організаційних каналів можуть бути:

1. Надходження на роботу зловмисника на підприємство, як правило, на технічну чи допоміжну посаду (оператором на комп'ютері, експедитором, кур'єром, прибиральницею, двірником, охоронцем, шофером тощо);

2. Участь у роботі підприємства як партнера, посередника, клієнта, використання різноманітних шахрайських способів;

3. Пошук зловмисником спільника (ініціативного помічника), який працює в організації, який стає його співучасником;

4. Встановлення зловмисником довірчих взаємовідносин з працівником організації (за спільними інтересами, аж до спільної п'янки та любовних відносин) або постійним відвідувачем, співробітником іншої організації, що володіє інформацією, що цікавить зловмисника;

5. Використання комунікативних зв'язків організації - участь у переговорах, нарадах, виставках, презентаціях, листуванні, включаючи електронну, з організацією чи конкретними її працівниками та ін.;

6. Використання помилкових дій персоналу чи навмисне провокування зловмисником цих дій;

7. Таємне або за фіктивними документами проникнення в будівлі підприємства та приміщення, кримінальний, силовий доступ до інформації, тобто крадіжка документів, дискет, жорстких дисків (вінчестерів) або самих комп'ютерів, шантаж та відміна до співпраці окремих працівників, підкуп та шантаж працівників, створення екстремальних ситуацій тощо;

8. Отримання необхідної інформації від третьої (випадкової) особи.

Організаційні канали відбираються або формуються зловмисником індивідуально відповідно до його професійного вміння, конкретної ситуації, і прогнозувати їх вкрай складно. Виявлення організаційних каналів вимагає проведення серйозної пошукової та аналітичної роботи (75, с.32).

Широкі можливості несанкціонованого отримання з обмеженим доступом створюють технічне забезпечення технологій фінансового документообігу організації. Будь-яка управлінська та фінансова діяльність завжди пов'язана з обговоренням інформації в кабінетах або лініях та каналах зв'язку (проведення відео- та селекторних нарад), проведенням розрахунків та аналізу ситуацій на комп'ютерах, виготовленням, розмноженням документів тощо.

Технічні канали витоку інформації виникають при використанні спеціальних технічних засобів промислового шпигунства, що дозволяють отримувати інформацію без безпосереднього контакту з персоналом організації, документами, справами і базами даних (59, с.58).

Технічний канал є фізичним шляхом витоку інформації від джерела або каналу об'єктивного поширення інформації до зловмисника. Канал виникає при аналізі зловмисником фізичних полів та випромінювань, що з'являються в процесі роботи обчислювальної та іншої офісної техніки, перехоплення інформації, що має звукову, візуальну або іншу форму відображення. Основними технічними каналами є акустичний, візуально-оптичний, електромагнітний та ін. , вони мають стандартний характер і перериваються стандартними засобами протидії. Наприклад, відповідно до ГОСТ РВ 50600-93. "Захист секретної інформації від технічної розвідки. Система документів. Загальні засади" (26).

Звичайним та професійно грамотним є творче поєднання у діях зловмисника каналів обох типів, наприклад встановлення довірчих відносин із працівниками організації та перехоплення інформації з технічних каналів за допомогою цього працівника.

Варіантів та поєднань каналів може бути безліч, тому ризик втрати інформації завжди досить великий. За ефективної системи захисту інформації зловмисник руйнує окремі елементи захисту та формує необхідний йому канал отримання інформації (64, с.80).

З метою реалізації поставлених завдань зловмисник визначає як канали несанкціонованого доступу до інформації організації, а й сукупність методів отримання цієї інформації.

Для того щоб захищати інформацію на належному рівні, необхідно "знати ворога" та методи видобутку інформації, що використовуються.

Легальні методи (61, с.74) входять у зміст понять і " своєї розвідки у бізнесі " , відрізняються правової безпекою і, зазвичай, визначають виникнення інтересу до організації. Відповідно, може виникнути необхідність використання каналів несанкціонованого доступу до необхідної інформації. В основі "своєї розвідки" лежить кропітка аналітична робота зловмисників та конкурентів фахівців-експертів над опублікованими та загальнодоступними матеріалами організації. Одночасно вивчаються діяльність та послуги організації, рекламні видання, інформація, отримана в процесі офіційних та неофіційних бесід та переговорів з працівниками підприємства, матеріали прес-конференцій, презентацій фірми та послуг, наукових симпозіумів та семінарів, відомості, що отримуються з інформаційних мереж, у тому числа з Інтернету. Легальні методи дають зловмиснику основну масу інформації, що його цікавить, і дозволяють визначити склад відсутніх відомостей, які належить видобути нелегальними методами, а деякі вже й не треба видобувати у зв'язку з копітким аналізом відкритої інформації.

Нелегальні методи отримання цінної інформації завжди мають незаконний характер і використовуються з метою доступу до інформації, що захищається, яку неможливо отримати легальними методами. В основі нелегального отримання інформації лежить пошук зловмисником існуючих в організації найефективніших у конкретних умовах незахищених організаційних та технічних каналів несанкціонованого доступу до інформації. Формування таких каналів за їх відсутності та реалізація плану практичного використання цих каналів.

Нелегальні методи припускають: злодійство, продуманий обман, підслуховування розмов, підробку документів, що ідентифікують, хабарництво, підкуп, шантаж, інсценування або організацію екстремальних ситуацій, використання різних кримінальних прийомів і т.д. У реалізації нелегальних методів часто утворюється агентурний канал добування цінної фінансової інформації. До нелегальних методів належать також: перехоплення інформації, що об'єктивно розповсюджується по технічних каналах, візуальне спостереження за будинками та приміщеннями банку та персоналом, аналіз об'єктів, що містять сліди інформації, що захищається, аналіз архітектурних особливостей об'єктів захисту, аналіз паперового сміття, що виноситься та вивозиться з підприємства (50 , С.32).

Таким чином, витік інформації з обмеженим доступом може наступити:

1. За наявності інтересу організацій осіб, конкурентів до конкретної інформації;

2. При виникненні ризику загрози, організованої зловмисником або за обставин, що випадково склалися;

3. За наявності умов, що дозволяють зловмиснику здійснити необхідні дії та оволодіти інформацією. (71, с.47).

Ці умови можуть включати:

1. Відсутність системної аналітичної та контрольної роботи з виявлення та вивчення загроз та каналів витоку інформації, ступеня ризику порушень інформаційної безпеки організації;

2. Неефективну, слабко організовану систему захисту інформації фірми чи відсутність цієї системи;

3. Непрофесійно організовану технологію закритого (конфіденційного) фінансового документообігу, включаючи електронний, та діловодства з документованої інформації з обмеженим доступом;

4. Невпорядкований підбір персоналу та плинність кадрів, складний психологічний клімат у колективі;

5. Відсутність системи навчання працівників правилам роботи з документованою інформацією з обмеженим доступом;

6. Відсутність контролю з боку керівництва підприємства за дотриманням персоналом вимог нормативних документів щодо роботи з документованою інформацією з обмеженим доступом;

7. Безконтрольне відвідування приміщень організації сторонніми особами. (50, с.33).

Канали несанкціонованого доступу та витоку інформації можуть бути двох типів: організаційні та технічні. Забезпечуються вони легальними та нелегальними методами (63, с.39).

Таким чином, отримання документів або інформації з обмеженим доступом може бути поодиноким явищем або регулярним процесом, що протікає протягом тривалого часу.

Тому будь-які інформаційні ресурси організації є дуже вразливою категорією, і при інтересі, що виник до них з боку зловмисника, небезпека їхнього витоку стає досить реальною.

Бажана попередня оцінка аналітиками підготовлених до публікації матеріалів про фірму, виставкових проспектів, рекламних видань тощо, їх участь у презентаціях, виставках, зборах акціонерів, переговорах, а також співбесідах та тестування кандидатів на посади. Останнє є одним із основних і найважливіших обов'язків інформаційно-аналітичної служби, оскільки саме цьому етапі можна з певною часткою ймовірності перекрити одне із основних організаційних каналів - надходження зловмисника працювати у фірму (84, с.35).

Нині інформація для організацій одна із джерел добробуту. Майже вся інформація, пов'язана з діяльністю організації, є конфіденційною. У зв'язку з цим виникає потреба захисту такої інформації, але не рідко керівники досить безтурботно ставляться до збереження конфіденційності інформації та результатом є її витік. Вжиття заходів щодо охорони конфіденційності інформації – це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.

Недотримання заходів щодо охорони комерційної таємниці або неправильна політика безпеки інформації веде до появи загрози інформаційних ресурсів. Під загрозою інформаційних ресурсів передбачається сукупність впливів факторів зовнішнього та внутрішнього середовища організації, спрямованих на незаконне чи зловмисне перешкоджання чи утруднення її функціонування відповідно до статутних, довгострокових та короткострокових цілей та завдань, а також на відчуження результатів її діяльності.

Кожна загроза, незалежно від її змісту, призводить до порушення конфіденційності інформації, порушення режиму такої інформації, тобто завдає певної шкоди власнику комерційної таємниці. Захист конфіденційної інформації та вжиття заходів щодо усунення загроз вживається для того, щоб усунути загрозу взагалі або хоча б знизити можливу шкоду від таких дій.

Одним із значних видів небезпеки інформаційним ресурсам є витік конфіденційної інформації. Витік конфіденційної інформації є вихід інформації за межі організації або кола осіб, яким вона була відома. Витік інформації може здійснюватися різними технічними каналами. Під каналом витоку інформації прийнято розуміти певний шлях від джерела конфіденційної інформації до певної особи, яка хоче заволодіти такою інформацією. Для утворення каналу витоку інформації необхідні певні просторові, енергетичні та часові умови, а також наявність на стороні зловмисника відповідної апаратури прийому, обробки та фіксації інформації.

Основними каналами витоку інформації є співробітники організації, документи (наприклад, звіти) та технічні канали витоку інформації.

Крім того, витік може відбуватися в процесі спільних робіт з іншими фірмами (наприклад, створення спільних підприємств), консультації фахівців з боку, які отримують доступ до документації та виробничої діяльності фірми, фіктивних запитів щодо можливості укладання угод з організацією та ін.

Під технічними каналами витоку конфіденційної інформації маються на увазі візуально-оптичні канали; акустичні канали; електромагнітні канали; мережі персональних комп'ютерів; телефонні, стільникові та пейджингові канали зв'язку.

В даний час одним із основних шляхів передачі великої кількості конфіденційної інформації є телефонні переговори. Тому, як приклад, розглянемо технічні методи захисту конфіденційної інформації, що передається по телефонних лініях.

Для прослуховування телефонних розмов застосовують всілякі пристрої, що прослуховують, мікрофони, вбудовані в телефонну трубку, мікрофонний підсилювач, електронний комутатор та інші технічні засоби.

Існують активні та пасивні методи та засоби захисту телефонного апарату від витоку інформації по електроакустичному каналу та від перехоплення електронними пристроями. До найпоширеніших пасивних методів захисту відносяться:

Обмеження небезпечних сигналів;

Фільтрування небезпечних сигналів;

Вимкнення джерел небезпечних сигналів.

Найбільш ефективним методом захисту є відключення телефонних апаратів від лінії під час конфіденційних розмов у приміщенні, де вони встановлені. Найпростіший спосіб реалізації цього методу полягає в установці в корпусі телефонного апарату або телефонної лінії спеціального вимикача, при покладеній трубці телефону, що відключає телефонний апарат від лінії або вручну, або автоматично.

Активні методи захисту від витоку інформації по електроакустичному каналу зводяться до застосування низькочастотного маскуючого шумового сигналу. Для захисту інформації від перехоплення електронними пристроями існує ще один метод (метод високочастотної широкосмугової маскирующей перешкоди), який полягає в подачі в телефонну лінію при покладеній трубці, що трубки маскує високочастотного широкосмугового шумового сигналу.

Прослуховування телефонних розмов можливе завдяки електронним пристроям перехоплення мовної інформації, що підключаються до телефонних ліній одним із трьох способів: послідовно (у розрив одного з проводів), паралельно (одночасно до двох проводів) та з використанням індукційного датчика (безконтактне підключення). У перших двох підключень живлення електронних пристроїв перехоплення здійснюється від телефонної лінії, при останньому - від автономного джерела струму. Активізація радіопередаючого пристрою відбувається лише на час телефонної розмови, при цьому може здійснюватися запис отримуваної мовної інформації. Також можливе прослуховування через підключення другого телефону в сусідній кімнаті.

Існує кілька активних методів захисту телефонних розмов, які здійснюють придушення електронних пристроїв перехоплення інформації.

Метод високочастотної маскуючої перешкоди полягає в подачі в лінію під час телефонної розмови широкосмугового маскуючого перешкодового сигналу, частота якого підбирається так, щоб після проходження мікрофонного підсилювача диктофона його рівень виявився достатнім для придушення мовного сигналу, але при цьому не погіршувалося якість телефонних. Ефективність перешкодного сигналу збільшується зі зниженням його частоти, тобто. Чим нижче його частота, тим більше впливає він на корисний (мовленнєвий) сигнал.

Метод «обнулення» полягає в тому, що в момент телефонної розмови до лінії подається постійна напруга, яка зі зворотною полярністю відповідає напрузі в лінії при піднятій трубці. Даний метод застосовується для виведення з ладу електронних пристроїв перехоплення мовної інформації з контактним підключенням до телефонної лінії, що використовують її для живлення. До таких пристроїв можна віднести паралельні телефонні апарати та телефонні радіозакладки.

Компенсаційний метод полягає в тому, що при передачі мовного повідомлення на стороні, що приймає, за допомогою спеціального генератора в телефонну лінію і на один із входів двоканального адаптивного фільтра подається маскувальна перешкода, на інший вхід фільтра надходить адаптивна суміш корисного (мовного) і того ж перешкодного сигналів . Далі адаптивний фільтр виділяє корисний сигнал шляхом компенсації шумової складової та посилає його на телефон або записуючий пристрій. Цей метод є високоефективним для придушення всіх відомих засобів несанкціонованого знімання інформації з телефонної лінії та широко використовується для маскування, а також приховування мовних повідомлень, що передаються абонентом.

Метод «випалювання» полягає у подачі до телефонної лінії високовольтних імпульсів напругою. Телефон у разі використання цього методу від лінії відключається. Імпульси подаються до телефонної лінії двічі. Один раз при розімкнутій телефонній лінії (для "випалювання" паралельно підключених до неї електронних пристроїв), а другий - при закороченій (для "випалювання" послідовно підключених пристроїв). Телефон у разі використання цього методу від лінії відключається.

В даний час для захисту телефонних ліній використовуються не тільки прості пристрої, що реалізують один із методів захисту, але й складні, які забезпечують комплексний захист ліній шляхом комбінації декількох методів, що включають захист інформації від витоку електроакустичного каналу.

Захист інформації від витоку акустичним каналом – це комплекс заходів, що виключають або зменшують можливість виходу конфіденційної інформації за межі контрольованої зони за рахунок акустичних полів.


ВИСНОВОК

Отже, ми розглянули в лекції поняття «комерційна таємниця» та «режим комерційної таємниці», а також основні положення Федерального закону РФ «Про комерційну таємницю». Крім цього, у лекції розкрито питання пов'язані з каналами витоку конфіденційної інформації та методами її захисту.

ЛІТЕРАТУРА

1. Степанов А.Г., Шерстньова О.О. Захист комерційної таємниці. - М.: Видавництво "Альфа-Прес", 2006. - 180 с.

Джерела конфіденційної інформації (канали витоку інформації), загрози безпеці конфіденційної інформації, джерела загроз, цілі та способи реалізації загроз

Конфіденційна інформація, що циркулює для підприємства, відіграє у його функціонуванні. Під конфіденційною інформацією розуміють документовану інформацію, доступ якої обмежений законодавством Російської Федерації. Відповідно ці дані можуть стати об'єктом інтересу зловмисників. Тому необхідно створювати умови, за яких можливість витоку конфіденційної інформації буде мінімізовано.

Витік - це безконтрольний вихід конфіденційної інформації за межі організації або кола осіб, яким вона була довірена. Витік інформації може здійснюватися різними каналами. Каналом витоку інформації називають канал комунікації, що дозволяє процесу передавати інформацію шляхом, що порушує безпеку системи. Витік інформації може відбуватися у трьох формах:

  • розголошення інформації;
  • витік технічних каналів;
  • несанкціонований доступ до інформації.

Всі канали проникнення в систему та канали витоку інформації поділяють на прямі та непрямі. Під непрямими каналами розуміють такі канали, використання яких вимагає проникнення у приміщення, де розташовані компоненти системи (наприклад, втрата носіїв інформації, дистанційне прослуховування, перехоплення ПЕМІ). Для використання прямих каналів потрібне проникнення (це можуть бути дії інсайдерів, несанкціоноване копіювання тощо).

Витік конфіденційної інформації може статися за наявності інтересу до неї в організації-конкурента, а також за умов, що дозволяють зловмиснику оволодіти інформацією.

Виникнення таких умов можливе як за випадкового збігу обставин, і при навмисних діях противника. Основними джерелами конфіденційної інформації є:

  • персонал підприємства, допущений до конфіденційної інформації;
  • матеріальні носії конфіденційної інформації (документи, вироби);
  • технічні засоби, що здійснюють зберігання та обробку конфіденційної інформації;
  • засоби комунікації, що використовуються з метою передачі конфіденційної інформації;
  • повідомлення, що передаються каналами зв'язку, що містять конфіденційну інформацію.

Отже, конфіденційна інформація може стати доступною третім особам у результаті:

  • втрати чи неправильного знищення документа на якомусь носії, пакеті з документами, конфіденційних записів;
  • невиконання працівником вимог щодо захисту конфіденційної інформації;
  • зайвої балакучості персоналу у місцях загального користування;
  • робіт із конфіденційною інформацією у присутності сторонніх осіб;
  • несанкціонованої передачі конфіденційної інформації іншому працівникові;
  • відсутності грифів таємності на документах, нанесення маркування на носіях.

В умовах жорсткої конкуренції велику увагу організацій-конкурентів, звичайно, привертає конфіденційна інформація. Адже чим більше інформації є, тим більше шансів знайти вразливості суперника. Тому канали передачі та обміну конфіденційної інформації в процесі їх функціонування можуть бути атаковані з боку зловмисників, що, у свою чергу, може призвести до виникнення каналів витоку конфіденційної інформації.

В даний час активно використовується мережа Інтернет. Безумовно, Інтернет надає великі можливості та зручності, але він стає ще однією причиною виникнення витоку конфіденційної інформації. У більшості випадків витік відбувається при необережному поводженні з конфіденційною інформацією під час її передачі або публікації на сайтах. Більшість інцидентів припадає на електронну пошту. Наступним через небезпеку каналом витоку конфіденційної інформації є системи спілкування (в основному IM-клієнти та Skype). Також зараз особливої ​​популярності набули соціальні мережі, в яких стало можливо не тільки обмінюватися повідомленнями, а й публікувати файли, які після цього можуть стати надбанням великої кількості користувачів. І звичайно, інтернет-канал може бути підданий хакерській атаці, що також становить велику небезпеку.

Існують спеціальні технічні засоби, які дають змогу отримати інформацію без безпосереднього контакту з персоналом, документами, базами даних. При їх використанні з'являються технічні канали витоку інформації. Під технічним каналом витоку інформації прийнято розуміти фізичний шлях від джерела конфіденційної інформації до зловмисника, за допомогою якого останній може отримати доступ до відомостей, що охороняються. Для утворення технічного каналу витоку інформації необхідні певні просторові, енергетичні та часові умови, а також наявність на стороні зловмисника відповідної апаратури прийому, обробки та фіксації інформації. Основними технічними каналами витоку інформації є електромагнітний, електричний, акустичний, візуально-оптичний та ін. Такі канали прогнозовані та перериваються стандартними засобами протидії.

До основних загроз конфіденційній інформації належать розголошення, витік, несанкціонований доступ. Під загрозою безпеці конфіденційної інформації розуміють сукупність умов та факторів, що створюють потенційну або реально існуючу небезпеку, пов'язану з витіканням інформації та (або) несанкціонованими та (або) ненавмисними впливами на неї.

Результатом протиправних дій може стати порушення конфіденційності, достовірності, повноти інформації, що, своєю чергою, може завдати матеріальних збитків організації.

Усі загрози конфіденційної інформації щодо об'єкта можна поділити на внутрішні та зовнішні. Внутрішніми порушниками можуть стати адміністрація, співробітники підприємства, які мають доступ до інформаційної системи, персонал, який обслуговує будівлю. Джерелами зовнішніх загроз є клієнти, відвідувачі, представники конкурентних організацій, особи, які порушили пропускний режим підприємства, а також будь-які особи, які перебувають поза контрольованою територією.

Статистика показує, більшість загроз відбувається власними співробітниками організації, тоді як частка зовнішніх загроз порівняно мала (рис. 3.26).

Мал. 3.26. Статистика загроз інформаційній безпеці

Найчастішими та найнебезпечнішими за розмірами збитків є ненавмисні помилки користувачів інформаційних систем. Особливу небезпеку становлять «ображені співробітники», дії яких пов'язані з бажанням завдати шкоди організації. Такими можуть бути як нинішні, і колишні співробітники. Тому необхідно стежити, щоб при звільненні співробітника його доступ до інформаційних ресурсів припинився.

Стихійні джерела загроз дуже різноманітні та непередбачувані. Виникнення подібних джерел складно передбачити і важко протидіяти. До них належать пожежі, землетруси, урагани, повені та інші природні катаклізми. Наступ таких подій може призвести до порушення функціонування підприємства і, відповідно, порушення безпеки інформації в організації.

Для захисту інформації, що зберігається на комп'ютері, необхідно використовувати програмні та апаратні засоби захисту. Рекомендується використовувати такі типи програмних засобів захисту персонального комп'ютера:

  • засоби, що забезпечують захист від несанкціонованого доступу до комп'ютера;
  • засоби захисту диска від несанкціонованих записів та читання;
  • засоби контролю над зверненнями до диска;
  • засоби видалення залишків секретної інформації

Основними заходами щодо запобігання НСД до ПК є

фізичний захист ПК та носіїв інформації, автентифікація користувачів, розмежування доступу до інформації, що захищається, криптографічний захист, реєстрація звернень до інформації, що захищається. Так як існує можливість зараження комп'ютера вірусами, не варто забувати оснастити кожен ПК спеціальними противірусними програмами.

При обробці конфіденційної інформації в інформаційних системах підприємств виникає можливість її витоку. Витік конфіденційної інформації може завдати серйозних матеріальних збитків. Тому необхідно вживати заходів щодо її запобігання. Для цього слід проаналізувати всі можливі джерела та загрози та відповідно приймати рішення про комплексне застосування засобів захисту інформації.

Витік інформації - неправомірний вихід конфіденційної інформації за межі зони її функціонування або встановленого кола осіб, що захищається, результатом якого є отримання інформації особами, які не мають до неї санкціонованого доступу.

Відповідно до Положення про порядок поводження зі службовою інформацією обмеженого поширення (Затверджено Постановою Ради Міністрів Республіки Білорусь від 15.02.1999 №237) , необхідність дотримання режиму конфіденційності інформації може стосуватися тих відомостей, поширення яких відповідно до чинних законодавчих актів організації забезпечення своєї діяльності.

Витік конфіденційної інформації може виражатися в втраті конкурентних переваг, втраченої комерційної вигоди, санкціях з боку регулюючих органів, адміністративної та кримінальної відповідальності за розкриття персональних даних, погіршення морального клімату в колективі внаслідок розкриття інформації про заробітну плату працівників, заплановані кадрові перестановки тощо. Незважаючи на те, що несанкціоноване розкриття інформації є у ​​багатьох випадках адміністративно та кримінально караним діянням, в умовах, коли інформаційне законодавство Республіки Білорусь ще повністю не сформоване, а процеси законотворчості сильно відстають від рівня розвитку інформаційних технологій, виникають суттєві труднощі у забезпеченні юридичного захисту інтересів власників конфіденційної інформації.

Слід зазначити, що для організацій державної та недержавної форм власності способи захисту конфіденційних відомостей можуть відрізнятися не тільки через діловодну практику, що існує в них, але й через те, що інформація, що захищається, може потрапляти під дію законодавчих актів, що мають різну силу для організацій і підприємств. державного та недержавного профілю. Наприклад, Положення про поводження з службовою інформацією обмеженого поширення (Затверджено Постановою Ради Міністрів Республіки Білорусь у від 15.02.1999 №237) стосується лише документації державних організацій. Правила захисту конфіденційних відомостей у комерційних організаціях встановлюються в більшості випадків їх власником (власником) і ґрунтуються на інших нормативних правових актах, таких як, наприклад, Положення про комерційну таємницю.

Кількість потенційних каналів витоку інформації досить велика. Найбільш поширені з них належать до категорії ненавмисного розкриття інформації співробітниками через непоінформованість або недисциплінованість. Відсутність уявлень про правила роботи з конфіденційними документами, невміння визначити, які документи є конфіденційними, і просто звичайні розмови між співробітниками - це може призвести до розсекречення даних.

Умисне «зливання» інформації зустрічається значно рідше, зате здійснюється цілеспрямовано і з найбільш небезпечними наслідками для організації.

З урахуванням множинності категорій і каналів витоку інформації стає очевидним, що в більшості випадків проблему витоку не можна вирішити будь-яким простим способом, тим більше позбутися її остаточно. Крім того, реалізація будь-яких заходів щодо обмеження доступу до інформації або її поширення потенційно знижує ефективність основних бізнес-процесів організації. Це означає, що потрібна система організаційно-технічних заходів, що дозволяють перекрити основні канали витоку інформації з певним ступенем надійності та мінімізувати існуючі ризики без значного зниження ефективності бізнес-процесів. Без такої системи права на юридичний захист інтересів організації як власника інформації не реалізуються.

Система запобігання витоку конфіденційної інформації включає три основні складові: роботу з персоналом, політику безпеки, сервіси безпеки.

Основним джерелом витоку інформації з організації є її персонал. Людський фактор здатний «звести нанівець» будь-які найвитонченіші механізми безпеки. Це підтверджується численними статистичними даними, які свідчать, що переважна більшість інцидентів безпеки пов'язані з діяльністю співробітників організації. Не дивно, що робота з персоналом – головний механізм захисту.

Ключові принципи та правила управління персоналом з урахуванням вимог інформаційної безпеки визначені у міжнародному стандарті ISO/IEC 17799:2000 та зводяться до необхідності виконання певних вимог безпеки, підвищення обізнаності працівників та застосування запобіжних заходів до порушників.

При роботі з персоналом необхідно дотримуватися таких вимог безпеки:

  • 1. Відповідальність за інформаційну безпеку має бути включена до посадових обов'язків співробітників, включаючи відповідальність за виконання вимог політики безпеки, за ресурси, процеси та заходи щодо забезпечення безпеки.
  • 2. Повинні проводитися відповідні перевірки працівників при прийомі на роботу, включаючи характеристики та рекомендації, повноту та точність резюме, освіту та кваліфікацію, а також документи, що засвідчують особу.
  • 3. Підписання угоди про нерозголошення конфіденційної інформації кандидатом має бути обов'язковою умовою прийому на роботу.
  • 4. Вимоги інформаційної безпеки, що пред'являються до співробітника, повинні бути відображені у трудових угодах. Там же має бути прописана відповідальність за порушення безпеки.

У деяких організаціях існують відділи роботи з конфіденційною документацією. Для начальника такого відділу розробляється спеціальна посадова інструкція. (Додаток 3)

Також в організації має бути розроблений відповідний дисциплінарний процес, який проводиться щодо порушників безпеки та передбачає розслідування, ліквідацію наслідків інцидентів та адекватні заходи впливу.

При визначенні запобіжних заходів слід орієнтуватися на положення чинного законодавства.

Іноді “ображені” колишні працівники з метою помститися роботодавцю розміщують цінну інформацію підприємства в Інтернеті чи ЗМІ, роблять її загальнодоступною іншими способами. До речі, особиста ворожість (у разі застосування до працівника дисциплінарних стягнень чи бажання особи помститися за будь-що) та економічна вигода працівника та/або конкурента - найбільш типові мотиви витоку інформації. Трапляються випадки, коли працівник вільно розпоряджається цінною інформацією, вважаючи, що саме він, а не його роботодавець має на неї права.

Цінну інформацію необхідно охороняти (вживати юридичних, організаційних, технічних заходів), причому, починаючи з моменту її розуміння, оскільки в силу ст. 140 Цивільного кодексу Республіки Білорусь у цінну інформацію можна захистити лише тоді, коли до неї немає вільного доступу на законній підставі і власник інформації вживає заходів до охорони її конфіденційності.

Конкретного переліку відомостей, які можуть бути захищені за допомогою норм законодавства про нерозкриту інформацію, не встановлено. Відповідно до статті 140 ЦК Республіки Білорусь, захищатися може інформація, яка має дійсну чи потенційну комерційну цінність через невідомість її третім особам, до якої немає вільного доступу на законній підставі та власник якої вживає заходів до охорони її конфіденційності. У статті 1010 ЦК Республіки Білорусь говориться, що технічна, організаційна або комерційна інформація, у тому числі секрети виробництва (ноу-хау), може захищатися від незаконного використання, якщо вона невідома третім особам і якщо дотримані умови, встановлені пунктом 1 статті 140 ЦК Республіки Білорусь.

З цих норм видно, що досить широкий спектр відомостей може охоронятися законодавством. При віднесенні тієї чи іншої інформації до доцільно виходити з її властивості бути корисною. Водночас необхідно враховувати, що згідно з п. 3 ст. 1010 ЦК Республіки Білорусь, правила про захист нерозкритої інформації не застосовуються щодо відомостей, які, відповідно до законодавства, не можуть становити службову або комерційну таємницю (відомості про юридичних осіб, права на майно та угоди з ним, що підлягають держреєстрації, та ін.). ).

У пункті 4 ст. 1010 ЦК Республіки Білорусь встановлено, що право на захист нерозкритої інформації діє доти, доки інформація матиме дійсну чи потенційну комерційну цінність через невідомість її третім особам, до неї не буде вільного доступу на законній підставі та власник інформації вживатиме заходів до охорони її конфіденційності.

Щодо останньої умови, то має бути вжито комплекс юридичних та фактичних заходів. До перших належить, передусім, створення системи локальних нормативних актів, у яких конкретизується сама конфіденційна інформація чи ознаки віднесення інформації до конфіденційної, хто вправі нею користуватися, тощо. Можливе визначення відповідних умов та у цивільно-правовому договорі.

Можливість вживання юридичних заходів випливає безпосередньо з трудового та цивільного законодавства. Відповідно до п. 10 ст. 53 Трудового кодексу Республіки Білорусь у, працівник зобов'язаний “зберігати державну та службову таємницю, не розголошувати без відповідного дозволу комерційну таємницю наймача”. Відповідно до частини 2 пункту 2 ст. 140 ЦК Білорусі, особи, які незаконними методами отримали інформацію, що становить службову або комерційну таємницю, зобов'язані відшкодувати заподіяні збитки.

Такий самий обов'язок покладається на працівників, які розголосили службову або комерційну таємницю всупереч трудовому договору, у тому числі контракту, і на контрагентів, які зробили це всупереч цивільно-правовому договору.

Необхідно зазначити, що недостатньо поставити на документі штамп "конфіденційно" або "не для копіювання", оскільки фактично ознайомитися з його змістом за бажанням може будь-який співробітник. Зрозуміло, що в даному випадку фактичних заходів до охорони інформації не вжито. Таким чином, виникає необхідність створення на підприємстві так званого "конфіденційного діловодства" та системи технічних заходів, за допомогою яких можна було б контролювати доступ до цінної інформації.

Можливість застосування заходів відповідальності за розголошення або незаконне використання нерозкритої інформації передбачена ч. 2 ст. 53 Трудового кодексу Білорусі та п. 2 ст. 140 ст. 1011 ЦК Республіки Білорусь, ст. 167-9 Кодексу про адміністративні правопорушення Республіки Білорусь, ч. 2-3 ст. 201, статтями 254, 255, 375 Кримінального кодексу Білорусі.

Найчастіше мова може йти про відшкодування збитків чи стягнення неустойки (якщо вона передбачена договором), у разі скоєння адміністративного правопорушення чи злочину -- про штрафи чи позбавлення волі.

Можливості по доведенню фактів неправомірного розголошення або використання інформації, що охороняється, заподіяння збитків, а також причинно-наслідкового зв'язку між ними такі ж, як і в будь-якому іншому правовому делікті - свідчення свідків, пояснення сторін, висновки експертів і т.д.

Цікавим є законодавство деяких країн у цій сфері. Наприклад, у низці держав наймач має право встановити для своїх співробітників заборону на роботу у фірмах, які прямо конкурують з їх компанією (причому можуть бути перераховані конкретні фірми) протягом певного терміну після звільнення працівника, а також заборона надання певної інформації даним фірмам (наприклад , Список клієнтів, партнерів).

Як уже було сказано, в організації має бути розроблено положення щодо захисту конфіденційної інформації та відповідні інструкції. Ці документи повинні визначати правила та критерії для категорування інформаційних ресурсів за ступенем конфіденційності (наприклад, відкрита інформація, конфіденційна, суворо конфіденційна), правила маркування конфіденційних документів та правила поводження з конфіденційною інформацією, включаючи режими зберігання, способи звернення, обмеження щодо використання та передачі третьої стороні та між підрозділами організації.

Особливу увагу слід приділити захисту конфіденційної електронної інформації. Для електронних документів загроза втрати конфіденційної інформації є особливо небезпечною, оскільки факт крадіжки інформації практично важко виявити. Втрата конфіденційної інформації, що обробляється та зберігається в комп'ютерах, може бути викликана наступними факторами:

  • · Ненавмисні помилки користувачів, операторів, референтів, керуючих справами, працівників служби конфіденційної документації (далі - служби КД), системних адміністраторів та інших осіб, які обслуговують інформаційні системи (найчастіша і найбільша небезпека);
  • · Крадіжки та підробки інформації;
  • · Погрози, що виходять від стихійних ситуацій зовнішнього середовища;
  • · Погрози зараження вірусами.

В даний час у Білорусі та за кордоном ведуться великі роботи зі створення автоматизованих систем обробки даних із застосуванням машиночитаних документів (МЧД), одним із різновидів яких є документи зі штриховими кодами. До машиночитаних належать товаросупровідні документи, ярлики та пакування товарів, чекові книжки та пластикові картки для оплати послуг, магнітні носії. У зв'язку з цим з'явилися терміни "електронні відомості", "електронні гроші" та ін.

Найбільшого поширення набувають графічні шрифти призначені для кодування та реєстрації інформації в оптичному діапазоні. Тут є три види: графічні позначки, стилізовані шрифти, шрифти кодування (штрихові коди).

Штриховий код є чергуванням темних і світлих смуг різної ширини. Інформацію несуть відносні ширини світлих і темних смуг та їх поєднання, причому ширина цих смуг строго визначена. Темні смуги називають штрихами, а світлі пробілами (проміжками).

Штрихові коди зчитуються спеціальними оптичними зчитувачами (пристроями, що читають) різних типів, включаючи лазерні, які, сприймаючи штрихи, прогалини та їх поєднання, декодують штриховий код за допомогою мікропроцесорних пристроїв, здійснюють закладені в кодах методи контролю і видають на табло, в ЕОМ або інші значення цих кодів у певному алфавіті (цифровому, алфавітно-цифровому та ін.).

В даний час штрихові коди широко використовуються у виробництві та торгівлі товарами, у багатьох галузях промислового виробництва для ідентифікації заготовок, виробів, упаковок, позначення місць зберігання, у поштових відомствах, транспорті та ін.

Для захисту електронної інформації мають бути визначені правила надання доступу до інформаційних ресурсів, запроваджено відповідні процедури та механізми контролю, у тому числі авторизація та аудит доступу.

Відповідальність за інформаційну безпеку організації несе її керівник, який делегує цю відповідальність одному з менеджерів.

Рішення про надання доступу до конкретних інформаційних ресурсів повинні приймати власники цих ресурсів, які призначаються з числа керівників підрозділів, які формують та використовують ці ресурси. Крім того, питання надання доступу конкретним співробітникам мають бути узгоджені з їхніми безпосередніми керівниками.

Підбиваючи підсумки, можна зробити такі висновки:

  • - основним джерелом витоку інформації з організації є її персонал;
  • - за цілеспрямоване розголошення конфіденційної інформації працівника може бути притягнуто до адміністративної чи кримінальної ответственности;
  • - Відповідальність за інформаційну безпеку в організації покладає він керівник.

Михайло Башликов,керівник напряму інформаційної безпеки компанії КРОК

На сучасному розвитку суспільства інформація є таким самим активом компанії, як її продукти та послуги, технології та процеси, фінансові та трудові ресурси. У багатьох компаніях більша частина інформації зберігається та обробляється в електронному вигляді. Звичайно, це в рази підвищує зручність роботи та швидкість взаємодії, а також дозволяє автоматизувати бізнес-процеси тощо. Однак ризики, пов'язані з порушенням встановленого статусу інформації (конфіденційність, цілісність, доступність), зростають пропорційно до користі.

ПОПЕРЕДЖЕННЯвитоку інформації за своєю суттю є забезпеченням однієї з невід'ємних її властивостей - конфіденційності. Розголошення конфіденційної інформації призводить до прямих матеріальних збитків, втрати інтелектуальної власності, зниження репутації організації та рівня довіри клієнтів та партнерів. Крім того, збільшується ризик фінансової відповідальності компанії за порушення правових норм, що регулюють процеси обробки конфіденційних даних. У більшості випадків запобігти витоку та скоротити ризики порушення конфіденційності лише технічними засобами або лише організаційними методами неможливо – необхідний комплексний підхід. Кожен власник інформації повинен вміти відповісти на такі питання: де зберігаються конфіденційні дані, хто має до них доступ, ким і як вони використовуються, куди переміщуються?

Підходи до вибору рішення та технологій захисту

Найкращим технічним варіантом для запобігання витоку даних є застосування систем класу DLP (Data Loss/Leakage Prevention). Вони контролюють усі найімовірніші канали витоку (електронна пошта, Інтернет, знімні носії, друк, миттєвий обмін повідомленнями (IM) та ін.), дозволяють ідентифікувати інформацію найсучаснішими способами, що забезпечує найменшу кількість хибних спрацьовувань.

Також для забезпечення конфіденційності інформації використовуються системи класу IRM (Information Right Management). У цьому випадку захист здійснюється на рівні контенту, тобто захищається сама інформація, наприклад, усередині електронного листа або документа, і стає доступною лише тим співробітникам, яким доступ дозволений політикою безпеки.

Крім перерахованих, існують точкові рішення щодо захисту від витоку (наприклад, контроль лише знімних носіїв або мобільних пристроїв). Вони можуть виправдати себе, якщо в компанії гостро стоїть проблема одного-двох певних каналів витоку. Дані рішення, як правило, не здійснюють аналіз самої інформації, захист йде виключно на рівні розмежування доступу до певних пристроїв та портів, що не так зручно та гнучко. І в майбутньому, у разі появи потреби в комплексному захисті від витоку, витрати, пов'язані з інтеграцією раніше впроваджених рішень щодо контролю окремих каналів, неприємно здивують.

Однак не варто забувати про інші методи, які використовуються інсайдерами для розголошення конфіденційної інформації, таких як фотографування екрана монітора, переписування на паперовий носій та ін. корпоративної культури інформаційної безпеки тощо.

Системи класу DLP

Зупинимося докладніше на системах DLP. Поняття DLP (Data Loss/Leakage Prevention - запобігання витоку інформації) з'явилося досить давно і характеризує системи такого класу. Спочатку це маркетингова назва, яку вигадали виробники подібних систем. Тому є деяка плутанина в термінології: наприклад, система шифрування жорстких дисків також забезпечує конфіденційність інформації, що зберігається, тобто запобігає витоку цієї інформації, але ніхто не називає системи шифрування системами DLP. Або, наприклад, якщо поштовий сервер просто вміє фільтрувати вихідні листи і залежно від наявності в них ключових слів приймає рішення про надсилання листа назовні, чи можна назвати таке рішення системою DLP? Думаю ні.

Сучасна система класу DLP є технічним рішенням, яке в сукупності з організаційними методами (регламенти, керівництва, політики, звітність, навчання співробітників) забезпечує комплексний захист від витоку інформації. Система має наступні основні характеристики:

  • контролює практично всі технічні канали витоку з інформаційної системи;
  • має можливість пошуку інформації в інформаційній системі (файлові сховища, бази даних, системи документообігу тощо);
  • має єдиний інтерфейс управління з можливостями рольового розмежування доступу;
  • може в режимі реального часу реагувати на інциденти, що виникають, і застосовувати автоматизовані правила (заблокувати, перенести в карантин, повідомити офіцера ІБ тощо);
  • володіє потужними та гнучкими засобами побудови та подання звітності за виникаючими інцидентами;
  • вміє розпізнавати інформацію кількома способами (ключові слова, цифрові відбитки, типи файлів тощо).

На даний момент на російському ринку представлена ​​достатня кількість виробників систем DLP, ринок відносно молодий і, незважаючи на кризу, продовжує зростати. При побудові рішення щодо захисту від витоку інформації ми використовуємо продукти лідерів - Symantec, Websense, RSA, які добре зарекомендували себе і мають багатий досвід інсталяцій по всьому світу. Дані виробники мають чіткий план розвитку продуктів, розуміють потреби та специфіку ринку. Вибір продукту на стадії проектування насамперед залежить від потреб замовника та особливостей існуючої в нього інфраструктури.

Реалізація системи DLP. Досвід та підхід КРОК

Побудова системи запобігання витоку є комплексним проектом, в якому можуть бути задіяні як технічні фахівці та аудитори, так і представники бізнес-підрозділів замовника. Загалом етапи проекту можна розбити на дві складові: організаційну частину та технічну.

До організаційної частини можна віднести такі основні етапи:

  • аудит поточного стану інформаційної системи та інформаційних потоків, ймовірних каналів витоку;
  • визначення та класифікація інформаційних активів;
  • виділення найбільш критичних із них з точки зору забезпечення конфіденційності (комерційна таємниця, персональні дані, інтелектуальна власність тощо), визначення ролі та місця даних активів у бізнес-процесах компанії, а також можливих наслідків їх розголошення;
  • розробка політик обробки інформаційних активів, що захищаються;
  • розробка методів реагування на інциденти;
  • розробка програми навчання співробітників технологіям роботи із системою та правилам роботи з конфіденційною інформацією.

Основні етапи технічної частини:

  • вибір продукту, основі якого буде реалізовано рішення;
  • проектування системи, розробка посібників, інструкцій та регламентів;
  • реалізація системи, інтеграція з існуючою IT-інфраструктурою;
  • реалізація розроблених правил та політик.

На основі досвіду компанії КРОК із впровадження DLP-систем можу відзначити, що успіх проекту та ефективна віддача від впровадження системи багато в чому залежать від наступних факторів:

  • зацікавленість обох сторін у якісному результаті, постійна взаємодія та злагодженість роботи проектної команди з представниками замовника;
  • поетапне впровадження системи, починаючи з роботи в пасивному режимі (тільки аудит інцидентів) з подальшим переходом на блокування заборонених дій (такий підхід не дозволить різко порушити звичні процеси обробки інформації, навіть якщо вони неправильні);
  • досвід проектної команди з впровадження інфраструктурних рішень (корпоративна пошта, доступ до Інтернету та ін.), без якого просто неможлива інтеграція системи DLP;
  • досвід проведення аудиту інформаційної системи, розробки супровідної та звітної документації;
  • досвід ефективного навчання співробітників, які експлуатують систему, а також навчання користувачів роботі з конфіденційною інформацією.

Насамкінець хотілося б додати, що саме собою впровадження системи DLP не є панацеєю і миттєвим захистом від усіх внутрішніх загроз, пов'язаних з порушенням конфіденційності. Діюча система дозволяє виключити практично всі можливості випадкового витоку інформації (наприклад, інформація лежить у відкритому доступі на файловому сервері, співробітник не знав, що конфіденційна інформація і намагався відправити її знайомому). А разом із такими методами захисту, як шифрування інформації, розмежування доступу, аудит та моніторинг подій ІБ, організаційно-правовими методами вона суттєво ускладнить здійснення навмисного крадіжки конфіденційної інформації.

Технології

Вам також може сподобатися