скачать книгу бесплатно
Рассмотренные источники и методы не является исчерпывающими, однако они позволяют сгруппировать все вероятные источники утечки информации следующим образом:
– персонал, имеющий доступ к конфиденциальной информации;
– документы, содержащие эту информацию; – технические средства и системы обработки информации, в том числе линии связи, по которым она передается.
Анализ зарубежных публикаций по источникам утечки информации в коммерческих фирмах позволил выявить, что, несмотря на высокий процент каналов, связанных с использованием для добывания сведений технических средств разведки и различных технологических приемов, персонал остается одним из главных причин и одним из источников утечки конфиденциальной информации, что подтверждается примерными следующих процентных соотношений по каналам утечки информации:
– подкуп, шантаж, переманивание служащих, внедрение агентов – 43;
– подслушивание телефонных переговоров – 5;
– кража документов – 10;
– проникновение в ПЭВМ – 18;
– съем информации с каналов "в темную» – 24.
Для раскрытия характеристик правонарушений, совершаемых в информационной сфере, существенное значение имеют характеристики вероятных каналов утечки информации, которые определяются наличием соответствующих источников конфиденциальной информации. Такую классификацию целесообразно рассматривать с учетом того, что обработка конфиденциальной информации осуществляется в организациях, представляющих собой сложные системы организационно-технического типа, функционирующие в условиях внешних воздействий и внутренних изменений состояния. При этом независимо от рассматриваемых воздействий на конфиденциальную информации и систему ее обработки возникающие каналы утечки информации проявляются через такие правонарушения. Эти каналы можно сгруппировать в рамках рассмотренных трех основных групп вероятных источников утечки информации. Так, первая группа – персонал, имеющий доступ к конфиденциальной информации, – представляет собой людские потоки и является важнейшей группой возможных каналов утечки информации. По распространенности возможные каналы утечки информации этой группы характеризуются следующими примерными показателями:
– приема и увольнения работников предприятия – 32 %;
– посещения предприятия командированными лицами – 28 %;
– проведения совещаний по секретным вопросам – 15 %;
– ведения секретных работ в рабочих помещениях – 15 %;
– допуска, доступа и обращения с секретной (конфиденциальной) информацией – 14 %;
– выезда специалистов за границу – 10 %;
– организации пропускного и внутриобъектового режима – 8 %;
– прохождения практики студентами – 7 %;
– посещения международных выставок – 7 %;
– обучения на курсах повышения квалификации – 5 %;
– подготовки постановлений и решений, приказов и других документов – 4 %.
Типовые нарушения при приеме и увольнении персонала:
– прием на работу лиц без оформления допуска в установленном порядке;
– доступ персонала к конфиденциальной информации в нарушение установленных требований;
– несвоевременное и неполное ознакомление персонала с требованиями нормативных правовых актов по обеспечению ИБ;
– неудовлетворительные знания нормативных правовых актов;
– увольнение персонала, являющегося носителем конфиденциальной информации.
Характерные нарушения при посещении предприятий командированными лицами:
– допуск командированных лиц с ведома руководителей подразделений к конфиденциальным работам и документам без соответствующего оформления разрешения;
– невыполнение требований инструкций для внутренних объектов по сопровождению прибывших в подразделения командированных лиц;
– отсутствие в предписаниях отметок о действительно выданной информации представителям других предприятий;
– прием командированных лиц с предписаниями, в которых отсутствуют основания командирования (номер и дата хозяйственного договора, ТЗ совместного плана НИОКР и др.);
– не определена степень конфиденциальности материалов, к которым допускается командированное лицо.
Нарушения, связанные с проведением служебных совещаний:
– проведение совещаний без соответствующего разрешения руководителя предприятия или его заместителей;
– допуск на совещание лиц, не имеющих отношения к обсуждаемым вопросам и участие которых не вызывается служебной необходимостью;
– несоблюдение очередности рассмотрения вопросов конфиденциального характера;
– несоблюдение требований режима внутреннего объекта при проведении совещаний;
– фотографирование, демонстрация конфиденциальных изделий, фильмов без согласования с СБ;
– звукозапись выступлений участников совещания на носителе, не учтенном в СБ;
– направление тетрадей (записей) секретного характера в учреждения, которых эти сведения непосредственно не касаются;
– недостаточное знание работниками, участвующими в приеме командированных лиц, требований инструкции о порядке приема командированных лиц (об этом заявили около 45 % опрошенных лиц).
Нарушения при ведении конфиденциальных работ в рабочих помещениях заключаются в отсутствии обеспечения:
– специальных средств защиты конфиденциальной информации, связи, звукозаписи, звукоусиления, переговорных и телевизионных устройств;
– средств изготовления и размножения документов;
– средств пожарной и охранной сигнализации;
– систем электронной часофикации, электрооборудования и других дополнительных технических средств защиты, исключающих утечку информации за счет побочных электромагнитных излучений и наводок.
Такие каналы утечки, как доступ и обращение с конфиденциальной информацией, образуются за счет расширения круга лиц, имеющих допуск к документам, изделиям, техническим заданиям.
Нарушения в организации пропускного и внутриобъектового режима включают:
– утрату удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (шкафов), личных печатей – 12 %;
– пронос без разрешения СБ на территорию предприятия кино– и фотоаппаратуры, радиопередающей и принимающей, а также множительно-копировальной аппаратуры личного пользования;
– вынос из предприятия секретных документов и изделий без разрешения;
– оставление незакрытыми и не опечатанными после работы помещений (хранилищ).
Каналы утечки конфиденциальных сведений за счет неправильной организации прохождения технологической и преддипломной практики студентов проявляются в следующем: студенты и учащиеся вузов и средних специальных учебных заведений после прохождения практики не зачисляются на постоянную работу, где они проходили практику и познакомились со сведениями, составляющими государственную или коммерческую тайну, и другие причины.
Характерные нарушения при решении задач отраслевого и межотраслевого характера:
– включение конфиденциальных сведений в открытые документы с целью упрощения порядка доставки и согласования документов;
– ведение секретных записей в личных блокнотах, записных книжках;
– ознакомление с конфиденциальными работами и сведениями лиц, в круг служебных обязанностей которых они не входят;
– направление адресатам конфиденциальных документов, к которым они не имеют отношения.
Таким образом, проведенный анализ угроз информации позволяет уточнить ее свойства, подлежащие правовой защите. При этом содержание этих свойств будет рассматриваться с учетом положений действующих нормативных актов.
Лекция 2
Основные направления обеспечения безопасности информационных ресурсов
Учебные вопросы:
1. Информационные ресурсы и конфиденциальность информации.
2. Угрозы конфиденциальной информации организации.
3. Система защиты конфиденциальной информации.
Вопрос 1. Информационные ресурсы и конфиденциальность информации
В соответствии с действующим Федеральным законом «Об информации, информатизации и защите информации» информационные ресурсы предприятия, организации, учреждения, банка, компании и других государственных и негосударственных предпринимательских структур (далее по тексту – фирмы) включают в себя отдельные документы и отдельные массивы документов (дела), документы и комплексы документов в информационных системах (библиотеках, архивах, фондах, банках данных компьютеров и других информационных системах) на любых носителях, в том числе обеспечивающих работу вычислительной и организационной техники.
Информационные ресурсы (информация) являются объектами отношений физических и юридических лиц между собой и с государством. В совокупности они составляют информационные ресурсы России и защищаются законом наряду с другими видами ресурсов. Документирование информации (создание официального документа) является обязательным условием включения информации в информационные ресурсы. Следует учитывать, что документ может быть не только и даже не столько управленческим (деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму. Значительно большие объемы наиболее ценных документов представлены в изобразительной форме:
1) конструкторские документы,
2) картографические документы,
3) научно-технические документы,
4) документы на фотографических, магнитных и иных носителях.
По принадлежности к тому или иному виду собственности информационные ресурсы могут быть государственными или негосударственными и как элемент состава имущества находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур.
В соответствии с интересами обеспечения национальной безопасности и степенью ценности для государства, а также правовыми, экономическими и другими интересами предпринимательских структур информационные ресурсы могут быть: а) открытыми, т. е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях и интервью; б) ограниченного доступа и использования, т. е. содержащими сведения, составляющие тот или иной вид тайны и подлежащие защите, охране, наблюдению и контролю.
Запрещается относить к информации ограниченного доступа:
• законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
• документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
• документы, содержащие информацию о деятельности органов государственной власти, исполнительных органов и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;
• документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Накопители информационных ресурсов называются источниками (обладателями) информации. Они представляют собой пассивные концентраторы этой информации и включают в себя:
• публикации о фирме и ее разработках;
• рекламные издания, выставочные материалы, документацию;
• персонал фирмы и окружающих фирму людей;
• физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи.
Источники содержат информацию как открытого, так и ограниченного доступа. Причем информация того и другого рода находится в едином информационном пространстве и разделить ее без тщательного содержательного анализа часто не представляется возможным. Например, систематизированная совокупность открытой информации может в комплексе содержать сведения ограниченного доступа.
Документация как источник информации ограниченного доступа включает:
• документацию, содержащую ценные сведения, ноу-хау;
• комплексы обычной деловой и научно-технической документации, содержащей общеизвестные сведения, организационно-правовые и распорядительные документы;
• рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по производственным вопросам;
• личные архивы сотрудников фирмы. В каждой из указанных групп могут быть:
• документы на традиционных бумажных носителях (листах бумаги, ватмане, фотобумаге и т. п.);
• документы на технических носителях (магнитных, фотопленочных и т. п.);
• электронные документы, банки электронных документов, изображения документов на экране дисплея (видеограммы).
При выполнении управленческих и производственных действий любая информация источника всегда распространяется во внешней среде. Тем самым увеличивается число опасных источников разглашения или утечки информации ограниченного доступа, источников, подлежащих учету и контролю.
Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:
• деловые, управленческие, торговые, научные и другие коммуникативные регламентированные связи;
• информационные сети;
• естественные технические каналы излучения, создания фона. Канал распространения информации представляет собой путь перемещения сведений из одного источника в другой в санкционированном (разрешенном, законном) режиме или в силу объективных закономерностей. Например: обсуждение важного вопроса на закрытом совещании, запись на бумаге содержания изобретения, переговоры с потенциальным партнером, работа на ЭВМ и т. д.
Следовательно,информационные ресурсы фирмы представляют собой динамичную категорию, что проявляется прежде всего в процессе документирования информации, объективном возникновении и расширении состава источников и каналов ее распространения.