Методы получения конфиденциальной информации

Методы получения конфиденциальной информации

Методы получения информации частного и коммерческого характера можно классифицировать по возможным каналам утечки:

  1. Акустический контроль помещения, автомобиля, непосредственно человека.
  2. Контроль и прослушивание телефонных каналов связи, перехват факсовой и модемной связи.
  3. Перехват компьютерной информации, в том числе радиоизлучений компьютера, несанкционированное внедрение в базы данных.
  4. Скрытая фото- и видеосъемка, специальная оптика.
  5. Визуальное наблюдение за объектом.
  6. Несанкционированное получение информации о личности путем подкупа или шантажа должностных лиц соответствующих служб.
  7. Путем подкупа или шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.

Наиболее информативными методами получения конфиденциальных сведений из вышеперечисленных являются акустический контроль и перехват переговоров в линиях связи, причем оба метода предусматривают использование специальных технических средств несанкционированного съема информации.

Акустический контроль

Для перехвата и регистрации акустической информации существует огромный штат средств разведки: микрофоны, электронные стетоскопы, акустические закладки, направленные и лазерные микрофоны, аппаратура магнитной записи. Набор средств акустической разведки, используемых для решения конкретной задачи, сильно зависит от возможности доступа агента в контролируемое помещение или к интересующим лицам.

В том случае, если имеется постоянный доступ к объекту контроля, могут быть использованы простейшие миниатюрные микрофоны, соединительные линии которых выводят в соседние помещения для регистрации и дальнейшего прослушивания акустической информации. Такие микрофоны диаметром 2.5 мм могут улавливать нормальный человеческий голос с расстояния до 20 м.

Если агенты не имеют постоянного доступа к объекту, но имеется возможность его кратковременного посещения под различными предлогами, то для акустической разведки используются миниатюрные диктофоны и магнитофоны закамуфлированные под предметы повседневного обихода: книгу письменные приборы, пачку сигарет. Кроме этого, диктофон может находиться у одного из лиц, присутствующих на закрытом совещании. В этом случае часто используют выносной микрофон, спрятанный под одеждой или закамуфлированный под часы, авторучку, пуговицу.

Современные диктофоны обеспечивают непрерывную запись речевой информации от 30 минут до 7-8 часов, они оснащены системами акустопуска (VOX, VAS), автореверса, индикации даты и времени записи, дистанционного управления. Примером такого диктофона может выступать модель OLYMPUS L-400, который оборудован всеми вышеперечисленными системами. В качестве носителя информации кроме магнитной ленты используются цифровые микрочипы и минидиски.

В случае если агентам не удается проникнуть на объект даже на короткое время, но есть доступ в соседние помещения, то для ведения разведки используются электронные стетоскопы, чувствительным элементом которых является пьезоэлемент. Электронные стетоскопы усиливают акустический сигнал, распространяющийся сквозь стены, пол, потолок в 20-30 тысяч раз и способны улавливать шорохи и тиканье часов через бетонные стены толщиной до 1 м.

Наряду с диктофонами для перехвата акустической информации используются акустические закладки, несанкционированно и скрытно устанавливаемые в помещениях, автомашинах. В качестве канала передачи перехваченной информации используются радио и оптический каналы, силовые, слаботочные и обесточенные коммуникации.

Наибольшее распространение получили радиозакладки, которые можно классифицировать по нескольким критериям:

  1. По используемому диапазону частот.
  2. По мощности излучения: маломощные – до 10 мВт, средней мощности – от 10 мВт до 100мВт, большой мощности – свыше 100 мВт.
  3. По виду используемых сигналов: простой сигнал (с AM, FM и WFM), сложный сигнал (ППРЧ, шумоподобные сигналы).
  4. По способу модуляции: с модуляцией несущей, с модуляцией промежуточной частоты.
  5. По способу стабилизации частоты: нестабилизированные, со схемотехнической стабилизацией (мягкий канал), с кварцевой стабилизацией (кварцованные).
  6. По исполнению: в виде отдельного модуля, закамуфлированные под различные предметы (авторучка, калькулятор, электротройник, деревянный брусок).

Срок службы радиозакладки сильно зависит от типа питания. При использовании аккумуляторных батарей время непрерывной работы – от нескольких часов (авторучка – 2 часа) до нескольких суток (калькулятор – 15 суток). Если используется внешнее питание от телефонной линии, электросети, цепей питания бытовой аппаратуры, то срок службы радиозакладок практически не ограничен. Радиозакладки обеспечивают дальность передачи от десятков метров (авторучка – 50 метров) до 1 километра. При использовании ретрансляторов дальность передачи перехваченной информации увеличивается до десятков километров. С целью повышения скрытности работы радиозакладки оборудуются системами аку стопуска, дистанционного управления, пакетной передачи, используются шумоподобные, скремблированные, шифрованные сигналы.

Прием информации от радиозакладок обычно осуществляется на широкополосный приемник – “радиосканер”, например AR-8000 фирмы AOR, Ltd или IC-R10 фирмы

Сетевые закладки, использующие в качестве канала передачи информации электросеть, устанавливаются в электророзетки, удлинители, пилоты, бытовую аппаратуру или непосредственно в силовую сеть. Их недостатком является малая дальность передачи (в пределах одного здания до трансформаторной подстанции). Преимущество сетевой закладки – сложность обнаружения. Приемная часть выполнена в виде спецприемника.

Для перехвата акустической информации с передачей по телефонной линии используется “телефонное ухо”. После дозвона на абонентский номер по определенной схеме агенту предоставляется возможность прослушивать помещение даже из другого города.

Контроль и прослушивание телефонных переговоров>

Прослушивание телефонных каналов связи объекта в настоящее время является одним из основных способов получения конфиденциальной информации. Съем информации с телефонной линии связи может осуществляться либо непосредственным подключением к линии (в разрыв или параллельно), либо бесконтактно при помощи индуктивного датчика. Факт контактного подключения к линии легко обнаружить, использование же индуктивного подключения не нарушает целостности кабеля и не вносит изменения в параметры телефонной линии.

Сигналы с телефонной линии могут записываться на магнитофон (используется специальный адаптер) или передаваться по радиоканалу.

Выполняются телефонные закладки в виде отдельных модулей (брусок) или камуфлируются под элементы телефонного оборудования: адаптеры, розетки, телефонные и микрофонные капсюли, конденсаторы. Телефонные закладки устанавливаются непосредственно в телефонный аппарат, телефонную трубку, розетку, а также непосредственно на телефонную линию. Передача информации от телефонной закладки начинается в момент поднятия трубки абонентом.

Наряду с телефонными и радиозакладками используются комбинированные закладки, которые при ведении телефонных переговоров осуществляют их перехват, а по окончании – автоматически переключаются на перехват акустической информации.

Локализация задачи. Способы хранения конфиденциальной информации

Локализация задачи

Положение о конфиденциальной информации в электронном виде

Определив, для чего мы защищаем конфиденциальную информацию, хранящуюся в корпоративной информационной сети, важно понять, что конкретно мы собираемся защищать. Прежде всего, в компании необходимо дать определение конфиденциальной информации и установить разрешенные действия с ней для разных групп пользователей. В каждой компании существует (или, по крайней мере, должно существовать) “Положение о конфиденциальной информации”, описывающее порядок работы с такими данными, находящимися в бумажном виде. Необходимо адаптировать его к электронным документам. В реальности эта процедура занимает несколько недель и сводится к регламентации действий с такими отсутствующими в бумажных документах сущностями, как копия документа, часть документа и т.п. Регламенты работы с конфиденциальной информацией в электронном виде также с небольшими изменениями приходят из регламентов обращения с документами в бумажном виде. То есть определяется цикл жизни документа — где он создается, как и кем используется, кто и в каких условиях может вносить в него изменения, сколько он хранится и как уничтожается.

Контентная категоризация

С документами более или менее понятно. По большому счету, нет разницы, электронные они или бумажные. Есть нюансы, касающиеся, например, переписки по электронной почте. Регламенты обращения с электронной почтой, конечно, строго регулируют отправку документов, содержащих конфиденциальную информацию. Однако в процессе адаптации “Положения о конфиденциальной информации” к информации в электронном виде необходимо особо отметить виды информации, которые запрещено отправлять по электронной почте. Почти во всех компаниях есть стандартный набор информации, которую может отправлять с корпоративной почты одно подразделение и не может другое. Так, посылать письма, в которых содержатся упоминания первых лиц компании, может лишь служба связей с общественностью, банковские реквизиты — бухгалтерия, цены на продукцию — служба сбыта, тендерную документацию — отдел закупок и т. д. Конечно, в каждой компании есть свои нюансы. О технических методах реализации этих регламентов поговорим ниже.

Регламенты использования документов, содержащих конфиденциальную информацию, должны включать описание системы хранения документов и организации доступа к ним. Здесь тоже нет ничего принципиально нового — опыт работы с бумажными документами накоплен огромный. Те же нехитрые правила — перед получением доступа к документам для чтения или внесения изменений сотрудник указывает, на каком основании и для чего он собирается обратиться к документу; что собирается с ним делать; когда он закончит работать с документом и т. д. Этот “журнал” работы с документом в случае с электронными данными вести даже проще, так как большая часть операций (например, проверка прав доступа или прав на изменение содержания, учет времени работы и контроль изменений) может идти в автоматическом режиме. Термин ” журналирование ” , обозначающий процесс ведения журнала доступа к документу, встречается в источниках наряду с термином “логирование”.

Также в положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы возможность скрыть следы не подвигла его на неправомерные действия.

Классификация информации по уровню конфиденциальности

После построения документарной базы можно переходить к следующей процедуре: классификации имеющейся информации. Необходимо определить, какие документы являются конфиденциальными, какие сотрудники имеют доступ какого уровня к каким документам. Таким образом, создается так называемый реестр конфиденциальных документов, содержащий, помимо описания документов и прав доступа, еще и правила внесения в него документов и правила их изъятия (уничтожения). Поскольку в каждой компании каждый день создается множество новых документов, часть из них — конфиденциальные, то без создания механизма их автоматической или полуавтоматической классификации реестр уже через несколько месяцев потеряет актуальность.

Метки документов

Особо следует обратить внимание на организацию процесса пометки конфиденциальных документов. Каждый конфиденциальный документ должен содержать метку , по которой контролирующие программы могли бы определить степень его конфиденциальности и категорию пользователей, которые могут проводить с ним потенциально опасные операции – публикацию в Интернет, копирование на сменные носители, переименование, отправку по электронной почте и т.п. Технические и организационные методы установки меток выбирает заказчик. Если все защищаемые документы хранятся исключительно в формате MS Office , то в качестве метки может использоваться запись “конфиденциально” в соответствующих полях свойств документов. Некоторые производители систем документооборота используют программные метки и специальные форматы файлов. Однако самый распространенный и простой способ присваивания меток – именование файлов по специальной маске. Например, первые 10 символов – тематическая группа, к которой относится документ (название клиента, рабочей группы, подразделения, отрасли и т.д.), затем знак подчеркивания, затем 20 символов для описания документа, снова знак подчеркивания, и 8-значная дата в формате YYYYMMDD .

Читайте также:  Перепайка светодиодов в лампе

Внедрение процедуры именования файлов – не какая-то акция, а постоянная работа по выработке привычек персонала именовать файлы таким образом. Кроме организационных методов – закрепление приказом только такой формы именования, поддержки способа именования всем топ-менеджментом и инструктажа новых сотрудников, можно привлечь на помощь и технические средства. Самый простой технический способ внедрения этой процедуры – разрешать выкладывать на файловый сервер, класть в корпоративное хранилище или публиковать в Интранете файлы, поименованные по заранее утвержденному шаблону. Со временем все файлы, которые прошли через электронную почту, файловые серверы, хранилище данных и Интранет, будут называться правильным образом.

Документ, названный по такой маске, автоматически попадает в поле зрения контролирующих систем и перехватывается при запрещенных с ним действиях пользователя не только контентной фильтрацией, но и мониторами, действующими на основании политик. В отличие от контентной фильтрации этот метод дает 100% гарантию. Это удобно и для визуального контроля — даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же нелишне еще раз напомнить пользователю при открытии файла, что документ конфиденциален.

Хранение информации

После создания реестра конфиденциальных документов можно приступать к реорганизации их хранения. В крупных компаниях организационными и техническими мерами запрещается хранение конфиденциальной информации локально — на рабочих станциях. Обычно такие данные хранятся в специальных клиент-серверных или web-приложениях (корпоративных интранет-порталах, документных хранилищах, бизнес-приложениях, справочно-нормативных базах, системах документооборота, ERP и т.д.), которые разделяют права доступа пользователей и защищают информацию от сохранения в несанкционированном месте. Защита таких данных на сервере является многоуровневой (на уровнях аппаратной платформы, операционной системы, СУБД и приложения). Однако риски утечки этой информации с рабочих станций, тем не менее, существуют.

lib.kreatiffchik.ru

Каталог научных материалов

Особенности методов получения информации у персонала

Тема получения информации у персонала очень актуальна в наше время. Время процветания рыночной экономики и информационных технологий. Требуется организовать комплексную защиту информации на предприятии. Очень важным моментом является подбор и расстановка кадров (персонала). Для должного обеспечения защиты деятельности работников, должна быть проведена специальная подготовка персонала по работе с конфиденциальной информацией и её защите. Чтобы знать, что защищать мы должны определить возможные угрозы, каналы утечки информации, кому и с какой целью нужны защищаемые сведения. Отсюда становятся известными методы получения (добывания) информации у персонала, как основного источника конфиденциальной информации на предприятии.

Информацию принято считать ценной лишь тогда, когда ее можно использовать, причем полезность информации сильно зависит от ее полноты, точности и своевременности. Следует конкретно различать и не путать: факты (данные), мнения (личностные предположения), информацию (аналитически обработанные данные).

Осознав, что вам необходима информация, проясните для себя следующие вопросы:

  1. Что надо узнать?
  2. Где (и в каком виде) может быть желаемая информация?
  3. Кто ее может знать или достать?
  4. Как (и в каком виде) ее можно получить?

Четкие ответы на начальные вопросы обеспечивают понимание последнего, техника решения которого зависит как от существующих внешних условий, так и от ваших знаний, воли, опыта, возможностей и изобретательности.

Главными носителями перспективных материалов всегда являются:

– средства беспроводной и проводной связи (телефоны, телефаксы, радиостанции и т.д.);

– электронные системы обработки информации (компьютеры, электрические пишущие машинки и т.д.);

– разные отслеживаемые факторы (поведение, разговоры, результаты

Выйдя на тот или иной источник информации, требуется четко просчитать:

– его наличные и потенциальные возможности;

– допустимые пределы использования;

– степень его надежности.

Человек является одним из основных источников информации. В качестве используемого объекта может выступать любое перспективное лицо – член враждующей группировки, единичный игрок, контактер, союзник и др., – обладающее любопытной информацией. Знающими лицами, в частности, считаются те, кто бесспорно обладает (или может обладать) нужной информацией

Так как всякий индивид в демонстрируемом поведении направляется определенными побуждениями, понимание таковых дает возможность подобрать к нему ключи и в итоге получить необходимые данные. О мотивах некоего человека узнают путем его изучения, причем следует учитывать и степень выраженности (очень сильно, довольно сильно, слабо) этих побуждений.

Воздействовать на ум и поведение человека можно различными путями, одни из которых требуют лишь специфичной подготовленности специалиста (убеждение, внушение, подкуп и т.д.), а другие – еще и специальной аппаратуры (технотронные приемы, секс-мероприятия, зомбирование…).

Методы прицельного влияния могут быть щадящими (внушение и т.д.) и агрессивными (шантаж), простенькими (запугивание…) и изощренными (зомбирование и т.д.), трудно уловимыми (нейролингвистическое программирование и т.д.) и дополняющими (фармакоуправление и т.д.).

Выбор применяемой методики зависит от:

– реальной уязвимости объекта (черт его характера, эпизодов биографии, наличной ситуации и т.д.);

– цели намечаемого воздействия (изменение мышления, привлечение к сотрудничеству, получение информации, одноразовое содействие, воспитывающее наказание и т.д.);

– собственных возможностей (обладание временем, умением, знанием, те- хаппаратурой, должными химпрепаратами, компетентными помощниками и т.д.);

– персональных установок исполнителя (его уровня моральной допустимости…).

Особенность методов добывания информации заключается в правильном анализе информационного объекта. Чтобы управлять личностью, нужно определить каким именно способом нужно и можно на неё воздействовать. Существуют различные способы воздействия:

Естественно, чтобы воздействовать на человека, нужно также изучить его личностные психологические качества, чтобы провести результативное общение (получить нужные сведения). Следует обращать внимание на:

  • мимику лица;
  • взгляд и глаза;
  • позу и ее детали;
  • жесты и телодвижения;
  • интонацию голоса;
  • особенности лексики;
  • непроизвольные реакции;
  • фоновое настроение;
  • микроколебания настроения.

Разобравшись в психологии зондируемого объекта и отметив управляющие им мотивы, можно выйти на конкретные приемы и методики, способные «расколоть» определенного человека. Никогда не торопитесь получить от объекта максимальный объем информации в минимальный срок (конечно, все зависит от ситуации и самого объекта). Это может «спугнуть», в итоге вы потеряете возможный источник информации. Тщательно подходите к изучению личности, физического и эмоционального состояния личности.

Методы получения конфиденциальной информации

Библиографическая ссылка на статью:
Петрова Е.П., Невская А.И. Требования, предъявляемые к претендентам на работу с конфиденциальной информацией и к претендентам на должность в службу информационной безопасности // Современные научные исследования и инновации. 2016. № 12 [Электронный ресурс]. URL: http://web.snauka.ru/issues/2016/12/75792 (дата обращения: 02.02.2020).

Для стабильной и прибыльной деятельности предприятия, для защиты предпринимательской деятельности от различного вида угроз необходима постоянная работа с работниками предприятия, которые имеют доступ к конфиденциальной информации и могут стать как объектом, так и субъектом таких угроз. Это является одним из наиболее важных направлений в деятельности руководства предприятия. Работа с кадрами предполагает проведение профилактических и текущих мер, направленных на сохранение конфиденциальности информации, которой обладают сотрудники предприятия. Актуальность данной работы с персоналом и её важность определены ещё и тем, что в случае, если сотрудника готов разгласить сведения (по корыстным или каким-либо другим причинам), которые являются конфиденциальной информацией, помешать этому не смогут даже самые современные и самые дорогостоящие технические средства защиты. По исследованиям западных специалистов по обеспечению экономической безопасности сохранность конфиденциальности информации не менее чем на 80% определяется правильным подбором, расстановкой и воспитанием персонала.Работники предприятия, постоянно работающие со сведениями конфиденциального характера являются основным субъектом правоотношений в сфере защиты конфиденциальности информации. От того насколько персонал профессионально подготовлен в области защиты информации, какие он имеет психологические и морально-деловые качества, в полной мере зависит его способность противостоять потенциальным попыткам получения конкурентами или какими-либо другими злоумышленниками информации, которая данным предприятием отнесена к категории конфиденциальной. [1]

В Федеральном законе от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» четко и однозначно прописаны основные понятия, касающиеся безопасности информации:

Коммерческая тайна конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

Информация, составляющая коммерческую тайну – это научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны;

Обладатель информации, составляющей коммерческую тайну – лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.

Предоставление информации, составляющей коммерческую тайну – передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.

Разглашение информации, составляющей коммерческую тайну – действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. [2]

В связи с широким развитием цифровых технологий встаёт вопрос о сохранении конфиденциальности информации в сетях. Это создает обширный круг проблем. Для благополучия деятельности не только бизнеса, но и государственных структур, да и государства в целом информационная безопасность имеет основополагающее значение. Задачи, которые должна решать информационная безопасность:

Обеспечение целостности данных. Учитывая, что в современном мире вся коммерческая информация, бухгалтерские данные, финансовая отчетность, базы клиентов, договора, какие-либо новаторские идеи и разработки сотрудников предприятия, планы и стратегия развития этого предприятия хранятся в локальной компьютерной сети и зачастую не дублируются на бумажных носителях, велика вероятность безвозвратной утери этих данных. В данном случаев задачи информационной безопасности входит обеспечение надежную защиту серверов и рабочих станций от сбоев и поломок, ведущих к уничтожению информации или её частичной потере. Таким образом, информационная безопасность должна базироваться на профессиональном сопровождении всей IT- инфраструктуры фирмы, что предусматривает серьёзный подход к подбору технического персонала, профессиональные качества, которого позволят снизить технические риски возможной потери информации. [3]

Читайте также:  Светодиод инфракрасного спектра излучения

Защита коммерческой тайны напрямую влияет на устойчивость предприятия на рынке и её конкурентоспособность. В данном случае информационная безопасность как с внешними, так и с внутренними преднамеренными угрозами, которые направлены на хищение важных данных. У всех на устах недавний скандал, когда хакеры, взломавшие базу данных Всемирного антидопингового агентства (ВАДА), опубликовали конфиденциальные данные, указывающие на применение запрещенных препаратов известными спортсменами из США, в том числе на Олимпиаде в Рио-де-Жанейро. Но не столько хакеры и промышленный шпионаж, сколько утечка информации по вине собственных сотрудников представляет наибольшую угрозу.

Управление персоналом начинается не с приема нового сотрудника на работу, а раньше – с составления штатного расписания и описания должностных обязанностей. И уже на данном этапе желательно подключить к работе специалиста по информационной безопасности для определения доступности уровня информации, необходимого для нормальной деятельности сотрудника в данной должности. Принято выделять два общих принципа, которые следует иметь в виду: Принцип разделения обязанностей предписывает порядок распределения роли и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс. Таким образом, снижается вероятность ошибок. Принцип минимизации привилегий предписывает для уменьшения ущерба от случайных или умышленных некорректных действий выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Предварительное составление описания должностных обязанностей позволяет спланировать и процедуру проверки и отбора кандидатов. Нельзя отказываться от предварительной проверки, чтобы случайно не принять на работу человека с психическим заболеванием, уголовным прошлым или просто нечистого на руку.

Когда кандидатура соискателя на должность определена, ему, возможно, необходимо будет пройти обучение. Также следует подробно ознакомить кандидата со служебными обязанностями и, конечно же, с нормами и процедурами информационной безопасности. Необходимо, чтобы меры безопасности были им усвоены до вступления в должность и до получения доступа к конфиденциальной информации. [4]

Так как большая часть информации в настоящее время является цифровой, то попробуем выделить вопросы по безопасности информации в работе персонала именно в информационном поле. В процессе деятельности сотрудника в своей должности постепенно изменяется его окружение, его служебные обязанности и т.п. Все это требует соответствующего изменения привилегий и уровня доступа пользователя. Временные перемещения пользователя, выполнение им обязанностей сотрудника, заболевшего или ушедшего в отпуск, и иные обстоятельства, когда новый уровень полномочий нужно сначала предоставить, а через некоторое время отменить. В такие периоды интенсивность и направление активности пользователя может резко меняться, что, возможно, создаст сложности при обнаружении подозрительных ситуаций, которые могут грозить утечкой информации. Также тщательность следует соблюдать и при выдаче новых постоянных полномочий, не забывая отменить или уничтожить старые права доступа. Ликвидация системного счета пользователя, определенный должностными обязанностями уровень привилегий, особенно в случае конфликта между сотрудником и организацией, или его увольнении должны производиться максимально оперативно (в идеале – одновременно с извещением о наказании или увольнении). Мне, допустим, известны случаи, когда уволенные из предприятия водители продолжали пользоваться заправочными картами, т.к. они не были заблокированы. Во избежание утечки информации возможно и физическое ограничение доступа сотрудника к рабочему месту.

К области управления сотрудниками относится также и контроль лиц, работающих по контракту (к примеру, специалистов фирмы-поставщика, осуществляющих шеф-монтаж оборудования, помогающих запустить новую систему, аудиторов и т.д.). Принимая во внимание принцип минимизации привилегий, контрактникам необходимо выделять ровно столько прав, сколько нужно для выполнения своих обязанностей, и изымать эти права сразу по выполнении оговоренных контрактом работ. И основная проблема в этой ситуации в том, что на начальном этапе осуществления своей контрактной деятельности “внешние” сотрудники будут администрировать “местных”, а не наоборот. И здесь опять на первый план выходит квалификация персонала организации, его способность к быстрому обучению и применению полученных навыков в своей работе. А на администрации предприятия лежит оперативное проведение учебных курсов. Важен также и принцип выбора деловых партнеров.

Иногда внешние организации берут на обслуживание и администрирование, ответственные компоненты компьютерной системы, например, сетевое оборудование, сервера, где хранится информация, которая не подлежит разглашению. Очень часто администрирование выполняется в удаленном режиме. И всё это создает в системе хранения информации уязвимые места, которые необходимо нужно более тщательно контролировать средствами удаленного доступа или, опять же, обучением собственных сотрудников. [5]

Мы видим, что проблема обучения – одна из ключевых с точки зрения сохранения конфиденциальной безопасности. Если персонал не знаком с политикой безопасности своей организации, он не может добиваться сформулированных в ней целей и задач. Не имея понятия о мерах информационной безопасности, он не может их соблюдать. И, напротив, если сотрудник знает, что его действия контролируются и фиксируются, он, возможно, воздержится от нарушений. Незнание и несоблюдение техники безопасности может нанести вред работнику, незнание и несоблюдение мер информационной безопасности может нанести гораздо больший вред в корпоративном, отраслевом и даже в национальном масштабе.

Процессу приема сотрудника на работу, связанную с владением конфиденциальной информацией, как уже говорилось, должен предшествовать ряд подготовительных этапов, позволяющих составить точное представление о том, какой специалист и какой квалификации нужен для данной должности, какими он должен обладать моральными, личными и деловыми качествами.

Какими мы видим эти этапы:

Во-первых, работодатель должен заранее сформулировать, какие функции должен выполнять сотрудник на данной должности, каков круг его ответственности и какие качества, знания, умения и какой уровень квалификации необходимо иметь претенденту; Во-вторых, необходимо составить перечень конфиденциальных сведений, к которым будет иметь доступ специалист; Также необходим перечень вариантов стимулирования и поощрения, бонусов, которые может получать сотрудник; У работодателя должен быть конкретный перечень и других вопросов, которые необходимо будет решать специалисту, перечни требуемых личных качеств, возрастных, профессиональных и иных характеристик. Выполнение вышеуказанных этапов облегчит процедуру подбора кандидатов и сделает отбор их более объективным и обоснованным. Кандидаты должны предварительно ознакомиться с указанными выше документами. Это делает собеседование с ними более конкретным и целенаправленным. Также возможно, что кандидат может отказаться от предлагаемой должности после ознакомления с документами. Необходимо также обратить внимание, что при подборе кандидатов для назначения на должности, которые связаны с конфиденциальной информацией, обязательно нужно учитывать уровень каждой конкретной должности с точки зрения принятия и реализации решений, исполнения организаторских функций и вопросов повседневной деятельности организации. Принимая во внимание названные критерии, такие должности следует подразделять на следующие группы: руководители организации; заместители руководителя; руководители структурных подразделений; руководители служб безопасности и их заместителей; сотрудники служб безопасности предприятия; сотрудники предприятия, осуществляющие на постоянной основе работу с конфиденциальной информацией в соответствующих структурных подразделениях.

Комплексная проверка претендентов на работу предоставит возможность работодателям существенно уменьшить риск нанесения ущерба деятельности компании, а безупречность личных и деловых качеств сотрудников является наилучшей гарантией внутренней ее безопасности. [6]

Источники конфиденциальной информации (каналы утечки информации), угрозы безопасности конфиденциальной информации, источники угроз, цели и способы реализации угроз

Конфиденциальная информация, циркулирующая на предприятии, играет важную роль в его функционировании. Под конфиденциальной информацией понимают документированную информацию, доступ к которой ограничен законодательством Российской Федерации. Соответственно, эти данные могут стать объектом интереса злоумышленников. Поэтому необходимо создавать условия, при которых возможность утечки конфиденциальной информации будет минимизирована.

Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации может осуществляться по различным каналам. Каналом утечки информации называют канал коммуникации, позволяющий процессу передавать информацию путем, нарушающим безопасность системы. Утечка информации может происходить в трех формах:

  • • разглашение информации;
  • • утечка по техническим каналам;
  • • несанкционированный доступ к информации.

Все каналы проникновения в систему и каналы утечки информации подразделяют на прямые и косвенные. Под косвенными каналами понимают такие каналы, использование которых не требует проникновения в помещения, где расположены компоненты системы (например, утеря носителей информации, дистанционное прослушивание, перехват ПЭМИ). Для использования прямых каналов необходимо проникновение (это могут быть действия инсайдеров, несанкционированное копирование и т.д.).

Утечка конфиденциальной информации может произойти при наличии интереса к ней у организации-конкурента, а также при наличии условий, позволяющих злоумышленнику овладеть информацией.

Возникновение таких условий возможно как при случайном стечении обстоятельств, так и при умышленных действиях противника. Основными источниками конфиденциальной информации являются:

  • • персонал предприятия, допущенный к конфиденциальной информации;
  • • материальные носители конфиденциальной информации (документы, изделия);
  • • технические средства, осуществляющие хранение и обработку конфиденциальной информации;
  • • средства коммуникации, используемые в целях передачи конфиденциальной информации;
  • • передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию.

Следовательно, конфиденциальная информация может стать доступна третьим лицам в результате:

  • • утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, конфиденциальных записей;
  • • невыполнения работником требований по защите конфиденциальной информации;
  • • излишней разговорчивости персонала в местах общего пользования;
  • • работ с конфиденциальной информацией в присутствии посторонних лиц;
  • • несанкционированной передачи конфиденциальной информации другому работнику;
  • • отсутствия грифов секретности на документах, нанесения маркировки на носителях.

В условиях жесткой конкуренции большое внимание организа- ций-конкурентов, конечно же, привлекает конфиденциальная информация. Ведь чем больше информации доступно, тем больше шансов найти уязвимости соперника. Поэтому каналы передачи и обмена конфиденциальной информации в процессе их функционирования могут быть подвергнуты атакам со стороны злоумышленников, что, в свою очередь, может привести к возникновению каналов утечки конфиденциальной информации.

В настоящее время активно используется сеть Интернет. Безусловно, Интернет предоставляет большие возможности и удобства, но он становится еще одной причиной возникновения утечки конфиденциальной информации. В большинстве случаев утечка происходит при неосторожном обращении с конфиденциальной информацией при ее передаче или публикации на сайтах. Большая часть инцидентов приходится на электронную почту. Следующим по опасности каналом утечки конфиденциальной информации являются системы общения (в основном IM-клиенты и Skype). Также сейчас особую популярность приобрели социальные сети, в которых стало возможно не только обмениваться сообщениями, но и публиковать файлы, которые после этого могут стать достоянием большого количества пользователей. И конечно, интернет-канал может быть подвергнут хакерской атаке, что также представляет большую опасность.

Читайте также:  Как рассчитать время зарядки батареек?

Существуют специальные технические средства, которые позволяют получить информацию без непосредственного контакта с персоналом, документами, базами данных. При их использовании возникают технические каналы утечки информации. Под техническим каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования технического канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации. Основными техническими каналами утечки информации являются электромагнитный, электрический, акустический, визуально-оптический и др. Такие каналы прогнозируемы и прерываются стандартными средствами противодействия.

К основным угрозам конфиденциальной информации относятся разглашение, утечка, несанкционированный доступ. Под угрозой безопасности конфиденциальной информации понимают совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее.

Результатом противоправных действий может стать нарушение конфиденциальности, достоверности, полноты информации, что, в свою очередь, может нанести материальный ущерб организации.

Все угрозы конфиденциальной информации по отношению к объекту можно разделить на внутренние и внешние. Внутренними нарушителями могут стать администрация, сотрудники предприятия, имеющие доступ к информационной системе, персонал, обслуживающий здание. Источниками внешних угроз являются клиенты, посетители, представители конкурентных организаций, лица, нарушившие пропускной режим предприятия, а также любые лица, находящиеся за пределами контролируемой территории.

Статистика показывает, что большинство угроз совершается собственными сотрудниками организации, в то время как доля внешних угроз сравнительно мала (рис. 3.26).

Рис. 3.26. Статистика угроз информационной безопасности

Самыми частыми и опасными по размерам ущерба являются непреднамеренные ошибки пользователей информационных систем. Особую опасность представляют «обиженные сотрудники», действия которых связаны с желанием нанести вред организации. Таковыми могут оказаться как нынешние, так и бывшие сотрудники. Поэтому необходимо следить за тем, чтобы при увольнении сотрудника его доступ к информационным ресурсам прекратился.

Стихийные источники угроз весьма разнообразны и непредсказуемы. Возникновение подобных источников сложно предусмотреть и им тяжело противодействовать. К ним относятся пожары, землетрясения, ураганы, наводнения и другие природные катаклизмы. Наступление таких событий может привести к нарушению функционирования предприятия и, соответственно, к нарушению обеспечения безопасности информации в организации.

Для защиты информации, хранимой в компьютере, необходимо использовать программные и аппаратные средства защиты. Рекомендуется использовать такие типы программных средств защиты персонального компьютера:

  • • средства, обеспечивающие защиту от несанкционированного доступа в компьютер;
  • • средства защиты диска от несанкционированных записей и чтения;
  • • средства контроля за обращениями к диску;
  • • средства удаления остатков секретной информации.

Основными мерами по предотвращению НСД к ПК являются

физическая защита ПК и носителей информации, аутентификация пользователей, разграничение доступа к защищаемой информации, криптографическая защита, регистрация обращений к защищаемой информации. Так как существует вероятность заражения компьютера вирусами, не стоит забывать оснастить каждый ПК специальными противовирусными программами.

При обработке конфиденциальной информации в информационных системах предприятий возникает вероятность ее утечки. Утечка конфиденциальной информации может нанести серьезный материальный ущерб. Поэтому необходимо принимать меры по ее предотвращению. Для этого следует проанализировать все возможные источники и угрозы и в соответствии с этим принимать решение о комплексном применении средств защиты информации.

Способы несанкционированного доступа

В отечественной и зарубежной литературе имеет место различное толкование как понятия способа несанкционированного доступа, так и его содержания. Под способом вообще понимается порядок и приемы действий, приводящие к достижению какой-либо цели. Энциклопедическое понимание способа производства – исторически обусловленная форма производства материальных благ. Известно также определение способов военных действий как порядок и приемы применения сил и средств для решения задач в операции (бою). С учетом рассмотренного можно так определить способ несанкционированного доступа: это совокупность приемов, позволяющих злоумышленнику получить охраняемые сведения конфиденциального характера.

Основными способами несанкционированного доступа являются:

1. Инициативное сотрудничество.

2. Склонение к сотрудничеству.

3. Выведывание, выпытывание.

8. Подделка (модификация).

10. Незаконное подключение.

12. Негласное ознакомление.

14. Сбор и аналитическая обработка информации.

Инициативное сотрудничество проявляется в определенных действиях лиц, чем-то неудовлетворенных или остро нуждающихся в средствах к существованию, из числа работающих на предприятии или просто алчных и жадных, готовых ради наживы на любые противоправные действия. Известно достаточно примеров инициативного сотрудничества по политическим, моральным или финансовым соображениям, да и просто по различным причинам и побуждениям. Финансовые затруднения, политическое или научное инакомыслие, недовольство продвижением по службе, обиды от начальства и властей, недовольство своим статусом и многое другое толкают обладателей конфиденциальной информации на сотрудничество с преступными группировками и иностранными разведками. Наличие такого человека в сфере производства и управления предприятия позволяет злоумышленникам получать необходимые сведения о деятельности фирмы и очень для них выгодно, т.к. осведомитель экономит время и расходы на внедрение своего агента, представляет свежую и достоверную информацию, которую обычным путем было бы сложно получить.

Склонение к сотрудничеству – это, как правило, насильственное действие со стороны злоумышленников.Склонение,или вербовка, может осуществляться путем подкупа, запугивания, шантажа.Склонение к сотрудничеству реализуется в виде реальных угроз, преследования и других действий, выражающихся в преследовании, оскорблении, надругательстве и др. Шантаж с целью получения средств к существованию, льгот, политических выгод в борьбе за власть практикуется с легкостью и завидным постоянством. Некоторые конкуренты не гнушатся и рэкетом. По интенсивности насилия это один из наиболее агрессивных видов деятельности, где за внешне мирными визитами и переговорами кроется готовность действовать намеренно жестоко с целью устрашения. Весьма близко к склонению лежит и переманивание специалистов фирмы конкурента на свою фирму с целью последующего обладания его знаниями.

Выведывание, выпытывание – это стремление под видом наивных вопросов получить определенные сведения. Выпытывать информацию можно и ложным трудоустройством, и созданием ложных фирм и другими действиями.

Подслушивание – способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, информаторами, специальными постами подслушивания. В интересах подслушивания злоумышленники идут на самые различные ухищрения, используют для этого специальных людей, сотрудников, современную технику, различные приемы ее применения. Подслушивание может осуществляться непосредственным восприятием акустических колебаний лицом при прямом восприятии речевой информации либо с помощью технических средств.

Наблюдение– способ ведения разведки о состоянии и деятельности противника. Ведется визуально и с помощью оптических приборов.

Процесс наблюдения довольно сложен, так как требует значительных затрат сил и средств. Поэтому наблюдение, как правило, ведется целенаправленно, в определенное время и в нужном месте специально подготовленными людьми, ведется скрытно. К техническим средствам относятся оптические приборы (бинокли, трубы, перископы), телевизионные системы (для обычной освещенности и низкоуровневые), приборы наблюдения ночью и при ограниченной видимости.

Хищение –умышленное противоправное завладение чужим имуществом, средствами, документами, материалами, информацией. Похищают все, что плохо лежит, включая документы, продукцию, дискеты, ключи, коды, пароли и шифры и др.

Копирование.В практике криминальных действий копируют документы, содержащие интересующие злоумышленника сведения; информацию, обрабатываемую в АСОД (автоматизированные системы обработки данных); продукцию.

Подделка (модификация, фальсификация) в условиях беззастенчивой конкуренции приобрела большие масштабы. Подделывают доверительные документы, позволяющие получить определенную информацию, письма, счета, бухгалтерскую и финансовую документацию, ключи, пропуска, пароли и др.

Уничтожение. В части информации особую опасность представляет ее уничтожение в АСОД, в которой накапливаются на технических носителях огромные объемы сведений различного характера, причем многие из них весьма трудно изготовить в виде немашинных аналогов. Уничтожаются и люди, и документы, и средства обработки информации, и продукция.

Незаконное подключение.Под незаконным подключением понимается контактное или бесконтактное подключение к различным линиям и проводам с целью несанкционированного доступа к информации.Незаконное подключение как способ тайного получения информации известен давно. Подключение возможно как к проводным линиям телефонной и телеграфной связи, так и к линиям связи иного информационного назначения: линиям передачи данных, соединительным линиям периферийных устройств больших и малых ЭВМ, линиям диспетчерской связи, конференцсвязи, питания, заземления и др.

Перехват. В практике радиоэлектронной разведки под перехватом понимают получение разведывательной информации за счет приема сигналов электромагнитной энергии пассивными средствами приема, расположенными, как правило, на достаточном расстоянии от источника конфиденциальной информации. Перехвату подвержены переговоры любых систем радиосвязи; переговоры, ведущиеся с подвижных средств телефонной связи (радиотелефон), переговоры внутри помещения посредством бесшнуровых систем учрежденческой связи и др.

Негласное ознакомление – способ получения информации, к которой субъект не допущен, но при определенных условиях он может получить возможность кое-что узнать (открытый документ на столе во время беседы с посетителем, наблюдение экрана ПЭВМ со значительного расстояния в момент работы с закрытой информацией и др.). К негласному ознакомлению относится и перлюстрация почтовых отправлений, учрежденческой и личной переписки.

Фотографирование – способ получения видимого изображения объектов криминальных интересов на фотоматериале. Особенность способа – документальность, позволяющая при дешифрировании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения.

Сбор и аналитическая обработка являются завершающим этапом изучения и обобщения добытой информации с целью получения достоверных и всеобъемлющих сведений по интересующему злоумышленника аспекту деятельности объекта его интересов. Полный объем сведений о деятельности конкурента не может быть получен каким-нибудь одним способом. Чем большими информационными возможностями обладает злоумышленник, тем больших успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет необходимую информацию, переработает ее и примет правильное решение.

В общем плане мероприятия по противодействию несанкционированному доступу к источникам конфиденциальной информации с помощью технических средств можно свести к следующим основным направлениям:

– защита от наблюдения и фотографирования;

– защита от подслушивания;

– защита от незаконного подключения;

– защита от перехвата.

На наш взгляд, такой перечень является независимым и непересекаемым на выбранном уровне абстракции, что позволяет рассмотреть определенное множество способов с увязкой с множеством источников конфиденциальной информации. Даже беглый обзор позволяет заключить, что к определенным источникам применимы и определенные способы. Не вдаваясь в сущность каждого способа несанкционированного доступа (СНСД), на общем уровне видно, что они могут быть сгруппированы с учетом физической природы реализации в определенные группы или направления части решения задач противодействия им (табл. 8).

Обобщенная модель способов несанкционированного доступа к источникам конфиденциальной информации

Рейтинг
( Пока оценок нет )
Загрузка ...
Adblock
detector