Причины, виды, каналы утечки и искажения информации

Примечательная особенность нынешнего периода — переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие «информационные ресурсы», и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы — отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации — весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.

Особое место отводится информационным ресурсам в условиях рыночной экономики.

Важнейшим фактором рыночной экономики выступает конкуренция. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.

Из определения целей защиты, информационная безопасность — довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.

В реферате рассмотрим такие понятия как конфиденциальная информация, ее основные источники, способы обмена информацией, понятие утечки информации, ее причины, виды и классификация, приведем статистику угроз утечки информации, подробно опишем способы и методы предотвращения утечки информации.

40 стр., 19678 слов

Преступления в сфере компьютерной информации (3)

... В то же время рост числа киберпреступлений привел к необходимости защиты информации. Сообщения об информационных преступлениях отрывочны. Возможно, никто в мире не имеет полного представления о ... существует несколько категорий информации. Закон Российской Федерации от 21 июля 1993 года “О государственной тайне” в ст. 2 определяет, что “государственная тайна — защищаемые государством сведения ...

1. Конфиденциальная информация

Чтобы дать исчерпывающую характеристику реального состояния объекта информационной безопасности в конкретный момент времени, необходимо описать не только сущность, виды и основы формирования угроз его информационной безопасности, но и возможные каналы утечки конфиденциальной информации.

Согласно законодательству, конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Конфиденциальной информацией считается такая информация, разглашение которой может нанести ущерб интересам организации.

Источники конфиденциальной информации (рисунок 1) дают полные сведения о составе, содержании и направлении деятельности предприятия, что весьма интересно для конкурентов. Естественно, что такая информация им крайне необходима, и они приложат все силы, найдут необходимые способы, чтобы получить интересующие их сведения любыми способами.

Рисунок 1 — Источники конфиденциальной информации

Рассмотрим теперь каждый источник подробнее.

[Электронный ресурс]//URL: https://urveda.ru/referat/kraja-informatsii/

1. Персонал предприятия, допущенный к конфиденциальной информации.

В состав данной группы входят сотрудники, обслуживающий персонал, рабочие, продавцы товаров, клиенты, партнеры, поставщики, покупатели и др. Люди как один из источников конфиденциальной информации занимают особое место, являясь активным элементом, способным выступать не только источником, но и субъектом правонарушаемых действий. Люди считаются владельцами и распространителями сведений в рамках своих функциональных обязанностей.

Согласно ст. 2 Закона о государственной тайне допуск к государственной тайне — это процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций — на проведение работ с использованием таких сведений.

Допуск организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны осуществляется путем получения ими лицензий на проведение работ со сведениями соответствующей степени секретности.

Лицензия выдается предприятиям при выполнении ими следующих условий:

  • ѕ выполнение требований нормативных документов по обеспечению защиты сведений, составляющих государственную тайну;
  • ѕ наличие подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны;
  • ѕ наличие сертифицированных средств защиты информации.

Граждане, которым по характеру занимаемой ими должности необходим доступ к государственной тайне, могут быть назначены на эти должности только после оформления допуска по соответствующей форме в установленном порядке. Под доступом к сведениям понимается санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

10 стр., 4691 слов

Бухгалтерский учет и аудит : Защита информации при документировании ...

... документационное обеспечение всех видов конфиденциальной деятельности и защиту информации при работе с конфиденциальными документами; конфиденциальные документы не регистрируются, а ... информацию, необходимую правоохранительным и налоговым государственным органам. Под конфиденциальным документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения, ...

В соответствии со степенями секретности сведений, составляющих государственную тайну, устанавливаются следующие формы допуска:

  • ѕ первая форма — для граждан, допускаемых к сведениям особой важности;
  • ѕ вторая форма — для граждан, допускаемых к совершенно секретным сведениям;
  • ѕ третья форма — для граждан, допускаемых к секретным сведениям.

При этом наличие допуска к сведениям более высокой степени секретности является основанием для доступа к сведениям более низкой степени секретности.

2. Носители конфиденциальной информации (документы, изделия).

Документы — это самая распространенная форма обмена информацией, ее накопления и хранения. Документ отличает то, что его функциональное назначение довольно разнообразно. Важной особенностью документов является то, что он иногда является единственным источником важнейшей информации (например, контракт, долговая расписка и т.п.), а, следовательно, их утеря, хищение или уничтожение может нанести непоправимый ущерб. Совокупность документов предприятия имеет разветвленную структуру и является предметом отдельного рассмотрения, т.к. документ может быть представлен не только различным содержанием, но и различными физическими формами — материальными носителями.

Разнообразие форм и содержания документов по назначению, направленности, характеру движения и использования является весьма заманчивым источником для злоумышленников, что, естественно, привлекает их внимание к возможности получения интересующей информации.

Продукция является особым источником информации, за характеристиками которой весьма активно охотятся конкуренты. Особого внимания заслуживает новая, находящаяся в подготовке к производству продукция. Учитывается, что для продукции существуют определенные этапы «жизненного цикла»: замысел, макет, опытный образец, испытания, серийное производство, эксплуатация, модернизация и снятие с производства. Каждый из этих этапов сопровождается специфической информацией, проявляющейся самыми различными физическими эффектами, которые в виде демаскирующих признаков могут раскрыть охраняемые сведения.

3. Технические средства, предназначенные для хранения и обработки информации (оборудования).

Технические средства как источники конфиденциальной информации являются широкой и емкой в информационном плане группой источников. В группу средств обеспечения производственной деятельности входят самые различные средства, такие, в частности, как телефоны и телефонная связь, телевизоры и промышленные телевизионные установки, радиоприемники, радиотрансляционные системы, системы громкоговорящей связи, усилительные системы, кино системы, охранные и пожарные системы и другие, которые, по своим параметрам, могут являться источниками преобразования акустической информации в электрические и электромагнитные поля, способные образовывать электромагнитные каналы утечки конфиденциальной информации.

4. Средства коммуникации, используемые в целях передачи информации.

Коммуникацию можно рассматривать как форму деятельности, осуществляемую людьми, которая проявляется в обмене информацией, взаимовлиянии, взаимопереживании и взаимопонимании партнеров, сотрудников организации. Она характеризует общение как двухстороннюю деятельность людей, предполагающую взаимосвязь между ними, сопереживания, и обмен эмоциями. Коммуникация может решать разные задачи, но если коммуникацию рассматривать в рамках обмена конфиденциальной информацией о своей организации, то тут всё серьезно.Во многих компаниях к сотруднику, разгласившему секретные сведения, применяют следующие меры: налагают дисциплинарное взыскание, взыскивают убытки в суде. Некоторые работодатели просто увольняют провинившихся, считая, что распространение конфиденциальной информации является серьезным проступком. Действительно, такая возможность есть. Согласно п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем даже в случае однократного разглашения коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.

5. Передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию (телефонные переговоры, почтовые, телеграфные и иные сообщения).

В любой компании существует конфиденциальная информация, которая особенно тщательно оберегается от не имеющих к ней доступа сотрудников, а также конкурентов и поставщиков и которая может передавать по различным каналам связи. Вместе с тем определить степень секретности данных достаточно сложно. В итоге все сведения, связанные с деятельностью организации, начинают считать конфиденциальными. В результате возникают судебные споры, как с работниками, так и с другими компаниями.

Перечень соответствующих данных (таблица 1) приведен в нескольких законодательных актах, однако и компания может самостоятельно ограничить доступ к некоторым сведениям. Вместе с тем основным документом, позволяющим определить, относится ли информация к конфиденциальной, является Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (далее — Закон N 98-ФЗ).

Однако перечень, содержащийся в этом Законе, является неполным, а иные сведения о конфиденциальной информации содержатся в других нормативных правовых актах.

Таблица 1 — Перечень конфиденциальных данных, определенных законодательством

Вид конфиденциальной информации

Перечень сведений

Законодательная норма

Информация, составляющая коммерческую тайну

Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам

Статья 3 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне»

Банковская тайна

Сведения об операциях, о счетах и вкладах организаций — клиентов банков и корреспондентов

Статья 26 Федерального закона от 02.12.1990 N 395-1 «О банках и банковской деятельности»

Адвокатская тайна, нотариальная тайна

Сведения, связанные с оказанием адвокатом юридической помощи своему доверителю; сведения, которые стали известны нотариусу в связи с его профессиональной деятельностью

Основы законодательства Российской Федерации о нотариате (утв. ВС РФ 11.02.1993 N 4462-1); ст. 8 Федерального закона от 31.05.2002 N 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации»

Сведения, связанные с аудитом организации

Любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением:

1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия;

2) сведений о заключении с аудируемым лицом договора о проведении обязательного аудита;

3) сведений о величине оплаты аудиторских услуг

Статья 9 Федерального закона от 30.12.2008 N 307-ФЗ «Об аудиторской деятельности»

Способы обмена конфиденциальной информацией (например, между сотрудниками предприятия) могут носить как непосредственный (личный) характер, так и характер передачи формируемых на основе информации сообщений посредством технических средств и средств коммуникаций (например, радио, СМИ, печать, компьютерные сети).

Выделим из существующих способов обмена конфиденциальной информацией организационные каналы передачи и обмена информацией (рисунок 2) и ниже рассмотрим некоторых из них более подробно.

Рисунок 2 -Организационные каналы передачи и обмена информацией

Конфиденциальные, как и открытые документы, находятся в постоянном движении. Перемещение конфиденциальных документов по множеству иерархических уровней управления создает серьезные предпосылки для утраты ценной информации, требует осуществления защитных мер в отношении документопотоков и документооборота в целом.

Документооборот как объект защиты представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации в процессе управленческой и производственной деятельности пользователей (потребителей) этой информации.

При движении конфиденциальных документов по инстанциям увеличивается число источников (сотрудников, баз данных, рабочих материалов), обладающих ценными сведениями, в результате чего расширяются потенциальные возможности утраты конфиденциальной информации, ее разглашения персоналом, утечки по техническим каналам, исчезновения носителя этой информации.

Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в условиях организационного и технологического обеспечения безопасности, как носителя информации, так и самой информации.

Помимо общих для документооборота принципов, защищенный документооборот основывается на ряде следующих дополнительных принципов:

1. ограничения доступа персонала к документам, делам и базам данных деловой, служебной или производственной необходимостью;

2. персональной ответственности должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и документам;

3. персональной ответственности каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;

4. жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала, в т.ч. первых руководителей.

В ходе повседневной деятельности предприятий, связанной с использованием конфиденциальной информации, планируются и проводятся служебные совещания, на которых рассматриваются или обсуждаются вопросы конфиденциального характера. Прелатом обсуждения могут быть сведения, составляющие государственную тайну, вопросы конфиденциального характера, касаются проводимых предприятием научно-исследовательских, опытно-конструкторских и иных работ, предусмотренных его уставом, или коммерческой стороны его деятельности.

На рисунке 3 видно, что совещания могут быть двух видов.

Рисунок 3 — Виды совещаний

Наиболее актуальны с точки зрения защиты информации совещания с участием представителей сторонних организаций (внешние совещания), так как вероятность утечки конфиденциальной информации при их проведении по сравнению с совещаниями, проводимыми в рамках одного предприятия (внутренними совещаниями), значительно выше. Поэтому внешнему совещанию в настоящей главе уделено особое внимание.

Непосредственно перед началом совещания его руководитель или должностное лицо, ответственное за его проведение, обязаны проинформировать участников совещания о степени конфиденциальности обсуждаемых вопросов.

На все время проведения совещания запрещается пронос в служебные помещения, в которых оно проводится, индивидуальных видео- и звукозаписывающих устройств, а также средств связи (в том числе мобильных телефонов и приемников персонального вызова).

В целях обеспечения их сохранности организуется камера хранения личных вещей участников совещания.

Звуко- и видеозапись, а также кино- и видеосъемка хода совещания проводятся с разрешения руководителя предприятия — организатора совещания.

Независимо от степени конфиденциальности рассматриваемых на совещании вопросов, участникам совещания не разрешается: информировать о факте, месте, времени проведения совещания, повестке дня, рассматриваемых вопросах и ходе их обсуждения любых лиц, не принимающих участия в совещании и не имеющих к нему непосредственного отношения; в ходе совещания производить выписки из документов и иных носителей конфиденциальной информации, используемых при обсуждении, на неучтенные в установленном порядке носители (отдельные листы бумаги и т.п.); обсуждать вопросы, вынесенные на совещание, в местах общего пользования во время перерывов в совещании и после его завершения; в ходе проведения совещания расширять объем конфиденциальной информации, используемой в выступлениях, а также при обмене мнениями и обсуждении рассматриваемых вопросов.

Во время перерывов в совещании, а также после завершения обсуждения одного вопроса и перехода к обсуждению следующего, сотрудники службы безопасности (службы охраны) организуют контроль посещения служебных помещений, в которых проводится совещание, его участниками в соответствии с утвержденным списком.

Носители конфиденциальной информации, имеющие соответствующий гриф секретности выдаются службой безопасности участникам совещания под расписку, а после окончания совещания возвращаются. Контроль своевременного возврата этих носителей осуществляют сотрудники указанных подразделений.

Итоговые документы совещания, а также материалы выступлений участников, в том числе и оформленные в электронном виде, в установленном порядке высылаются в организации, направлявшие на совещание своих представителей, а также в вышестоящие органы государственной власти (организации).

Участникам совещания Рассылать документы, содержащие строго конфиденциальную информацию, не разрешается.

По окончании конфиденциального совещания помещение, в котором оно проходило, осматривается сотрудником службы безопасности, запирается, опечатывается и сдается под охрану.

Авторское право представляет собой одну из форм защиты интеллектуальной собственности, совокупность правовых норм, регулируемых отношений по поводу создания и использования произведений науки, культуры и искусства.

Авторское право действует в течение всей жизни автора и 70 лет после его смерти. Право авторства, право на имя, и право на защиту репутации автора охраняется бессрочно.

Авторские права и объекты авторского права делятся по нескольким категориям (рисунок 4).

Рисунок 4 — Категории авторского права

Человек, обладающий исключительными авторскими правами на произведения, имеет единоличное право на его использование и может запрещать подобное использование произведения другими лицами. Исключительными правами обладает автор произведения, если он не передал свои права (не заключил Авторский договор о передаче исключительных прав) третьему лицу.

Лицу, обладающему неисключительными правами на произведение, разрешается использование произведения наравне с обладателем исключительных прав, передавшим такие права, и другим лицам, получившим разрешение на использование этого произведения таким же способом. Права, передаваемые по авторскому договору, считаются неисключительными, если в договоре прямо не предусмотрено иное.

Неимущественные авторские права это так называемые личные права (такие права, c которыми нельзя поступать как с имуществом: продавать, покупать, дарить, передавать, наследовать и т.д.)

Интернет можно назвать самым удобным поставщиком свежей информации из любой точки планеты, в том числе и охраняемых авторским правом изображений, текстов, произведений литературы, музыки, изобразительного искусства, кино и других. Отсюда возникают проблемы. Присвоение авторства на размещенные в Интернете произведения, то есть плагиат. Многие интернет — магазины — с удовольствием используют фотографии и описания товаров, «позаимствованные» у конкурентов. Нельзя думать, что этот контент — «ничей», автор есть в любом случае. В последние годы «пиратство» приобрело массовый характер. Электронные документы копируются, часто модифицируются без согласия автора, иногда их выдают за собственное творчество. В связи с этим надо сказать, что отсутствие на сайте информации об авторах произведения не освобождает от ответственности за несанкционированное использование этих произведений, а также за плагиат. Автор может принять решение об использовании своего произведения анонимно, то есть без указания имени вообще, согласно ст. 15 Закона. И бремя поиска правообладателя для согласования условий авторского договора и размера гонорара становится обязанностью лица, желающего использовать произведения.

Кроме уже существующих способов защиты авторских прав, Интернет изобрел свои специфические способы защиты информации и авторских прав. Например, можно защитить свои права, если на лазерный диск записать информацию со страниц сайтов и разместить на депонент в специализированный архив для объектов интеллектуальной собственности, представленных в электронном виде — веб — депозитарий. Веб — депозитарий — это совокупность технических и юридических процедур, позволяющих подтвердить факт и время публикации в случае возникновения споров, в том числе и в судебном разбирательстве. Для этого необходимо подать заявление с указанием на произведение и дать его описание. При этом оформляется свидетельство о принятии произведения с зафиксированной датой приема, свидетельство хранится у заявителя. Но, естественно, правонарушитель может скопировать чужой сайт в Сети и недобросовестно депонировать его на CD диске.

Можно упомянуть другой способ защиты — водяные метки в электронных копиях фотографий и изображений. Для их нанесения необходимо специальное программное обеспечение, которое наносит скрытый код определенного формата в файлы. Электронный документ при его несанкционированном копировании частично саморазрушается. Потом можно доказать, что файлы содержат дополнительную информацию, указывающую на лицо, ее записавшую. Водяные знаки устойчивы к сжатию, изменению размеров и формата.

2. Утечка информации

Каналы передачи и обмена конфиденциальной информацией в ходе их функционирования могут быть подвергнуты негативному воздействию со стороны злоумышленников, направленному на получение этой информации.

Данное воздействие, в свою очередь, может привести к возникновению каналов утечки конфиденциальной информации и потребовать от руководства предприятия, руководителей структурных подразделений и персонала принятия мер по защите конфиденциальной информации. Каналом утечки информации называется бесконтрольный выход конфиденциальной информации за пределы информационной системы или круга лиц, которым она была доверена по службе или стала известна в процессе работы.

2.1 Причины утечки информации

Причин утечки информации существует большое количество, но основные причины утечки представлены на рисунке 5.

Рисунок 5 — Основные причины утечки информации

Несоблюдение персоналом норм, требований, правил эксплуатации автоматизированных систем может быть как умышленным, так и непреднамеренным. По вине безалаберных сотрудников происходит значительно больше утечек. Главная причина инцидентов — невыполнение должностных инструкций, либо пренебрежение элементарными средствами защиты информации. Например, часто происходят потери ноутбуков с незашифрованными данными, хотя по правилам компании незащищенных мобильных компьютеров быть не должно. Кроме того, случается, что люди сами не знают, что являются инсайдерами и поставляют конфиденциальную информацию недоброжелателям.

Несанкционированный доступ к информации также может происходить во время профилактики или ремонта компьютеров за счет прочтения остаточной информации на носителях, несмотря на ее удаление пользователем обычными методами. Другой способ — прочтение информации с носителя во время его транспортировки без охраны внутри объекта или региона.

Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

  • ѕ запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
  • ѕ нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
  • ѕ заражение компьютера вирусами;
  • ѕ проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации и др.

Причины утечки информации достаточно тесно связаны с видами утечки информации.

утечка конфиденциальный документооборот авторский

Причины утечки информации достаточно тесно связаны с видами утечки информации. В соответствии с ГОСТ Р 50922-96 рассматриваются три вида утечки информации (таблица 2).

Таблица 2 — Виды утечки информации

Вид утечки информации

Понятие

Разглашение

Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.

Несанкционированный доступ к информации

Под несанкционированным доступом понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Получение защищаемой информации разведками (как отечественными, так и иностранными)

Получение защищаемой информации разведками может осуществиться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).

Разглашение информации — несанкционированное собственником доведение защищаемой информации до потребителей, не имеющих права доступа к этой информации. Попросту говоря, один из допущенных к конфиденциальным данным передал эти данные постороннему человеку, или человеку, от кого это скрывалось. Разглашение может быть непреднамеренным и преднамеренным. Рассмотрим более подробный пример. Работник передал конкуренту конфиденциальные бумаги или скачанную на диске информацию. В итоге конкурент вышел на рынок с новым продуктом раньше, а фирма упустила возможность, потеряв потенциальных покупателей (соответственно и прибыль).

Единственное, на что вправе компания претендовать в данном случае это возмещение вынесенной из офиса бумаги или магнитного носителя. Возможность получить с «болтуна» полное возмещение убытков (в том числе упущенную выгоду) все же есть. Однако она появляется только в случае, если сведения были разглашены тогда, когда человек уже не работал на компанию и в срок, в течение которого он обязан не разглашать информацию, еще не истек (если содержалось такое условие).

Здесь применим п.1 ст.15 ГК РФ. Отношения между работником и работодателем после прекращения трудовой деятельности выходят за рамки трудовых отношений и носят уже гражданско-правовой характер.

Под несанкционированным доступом понимается получение защищаемой информации с нарушением прав или правил доступа к подобной информации. Простейший пример — просмотр чужих писем, просмотр «СМСок» на чужом телефоне. Несанкционированный доступ не всегда добровольный, но всегда преднамеренный и осознанный.

Получение защищаемой информации разведками может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).

Не нужно думать, что разведчик будет похож на Штирлица или будет работать на агрессивное иностранное государство, это может быть и ваш близкий друг, получивший за свою работу совсем немного денег. Причем ваш друг и дальше будет считать себя другом, — ведь деньги деньгами, а дружба — святое. Что бы определиться с разведками, нужно сразу сказать — это враг. Он ворует ваши деньги, ваши знания и энергию, заставляет вас работать на себя, он хочет превратить вас в своего раба.

Для определения необходимых мер по защите информации нужно провести классификацию всех возможных каналов утечки информации в зависимости от направлений и специфики деятельности предприятия, видов конфиденциальной информации, особенностей функционирования системы защиты информации и иных факторов.

Организационные каналы утечки конфиденциальной информации, возникающие в процессе деятельности предприятия, подразделены в табл. 2.

Таблица 2 — Классификация каналов утечки

Классификационный признак

Виды организационного канала утечки

внешние и внутренние;

  • Примером внешних угроз являются хакеры и криминальные структуры и недобросовестные партнеры и конкуренты.

Внутренними источниками угрозами на предприятии могут быть менеджеры, сотрудники и др.

По видам конфиденциальной информации или тайн

государственные, коммерческие,

служебные или иные тайны; персональные данные сотрудников предприятия

персонал, носители информации, технические средства хранения и обработки информации, средства коммуникации, передаваемые или принимаемые сообщения и т.п.;

— Наиболее опасным источником угроз является человек. Он может производить широкий спектр различных негативных воздействий на информацию как преднамеренных, так и непреднамеренных (случайных).

В том числе, наиболее распространенной причиной реализации угроз информационной безопасности российских работодателей является безответственность их персонала. Она проявляется в нарушении сотрудниками действующих на предприятии требований по обеспечению информационной безопасности, что приводит к утечке конфиденциальных сведений в самых различных формах.

По способам или средствам доступа к защищаемой информации

применение технических средств, непосредственная и целенаправленная работа с персоналом предприятия, осуществление непосредственного доступа к информации, получение доступа к защищаемой информации агентурным путем;

— Средства обработки, передачи и хранения информации могут представлять для нее угрозу в случае выхода их из строя или появления сбоев в работе. Кроме того, при обработке информации с помощью ЭВМ необходимо организовать защиту от возникающих в процессе Работы побочных электромагнитных излучений и наводок.

Стихийные бедствия и природные явления могут создавать аварийные ситуации, при которых средства вычислительной техники выходят из строя или временно находятся в нерабочем состоянии.

По продолжительности или времени действия

каналы утечки постоянного, кратковременного, а также периодического или эпизодического действия;

— В постоянном канале утечка информации носит достаточно регулярный характер. Например, наличие в кабинете источника опасного сигнала может привести к передаче из кабинета речевой информации до момента обнаружения этого источника. Периодический канал утечки может возникнуть при условии, например, размещения во дворе не укрытой продукции, демаскирующие признаки о которой составляют тайну, во время пролетов разведывательных космических аппаратов. К эпизодическим каналам относятся каналы, утечка информации в которых имеет разовый случайный характер.

По направлениям деятельности предприятия

каналы утечки, возникающие в обычных условиях или при повседневной деятельности предприятия, при выполнении совместных работ, осуществлении международного сотрудничества, проведении совещаний, выезде персонала за границу, в ходе рекламной и публикаторской или издательской деятельности, при проведении научных исследований или командировании сотрудников предприятия

По причинам возникновения каналов утечки информации

действия злоумышленников, ошибки персонала, разглашение конфиденциальной информации, случайные обстоятельства

По каналам коммуникации, используемым для передачи, приема или обработки конфиденциальной информации

каналы утечки, возникающие при хранении, приеме-передаче, обработке или преобразовании информации, а также в канале связи, по которому передается информация

По месту возникновения каналов утечки информации

каналы утечки, возникающие за пределами территории предприятия или на территории предприятия — в служебных помещениях, на объектах информатизации, объектах связи и в других местах

По используемым способам и методам защиты информации

каналы утечки, возникающие при нарушении установленных требований по порядку отнесения информации к категории конфиденциальной, обращения с носителями информации, ограничения круга допускаемых к информации лиц, непосредственного доступа к информации персонала предприятия или командированных лиц, а также по причине нарушения требований пропускного или внутриобъектового режимов

Помимо выше предложенной классификации предлагается другая классификация, где все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые каналы соответственно требуют доступа к аппаратному обеспечению и данным информационной системы.

Примеры косвенных каналов утечки:

  • ѕ Кража или утеря носителей информации, исследование не уничтоженного мусора;
  • ѕ Дистанционное фотографирование, прослушивание;
  • ѕ Перехват электромагнитных излучений.

Примеры прямых каналов утечки:

  • ѕ Инсайдеры (человеческий фактор).

    Утечка информации вследствие несоблюдения коммерческой тайны;

  • ѕ Прямое копирование.

3. Угрозы утечки конфиденциальной информации

Деятельность современных организаций требует хранения и использования все больших объемов информации, чему способствует снижение стоимости вычислительной мощности, пропускной способности сетей и систем хранения.

Вместе с этим растут риски (угрозы) утечки информации, давление со стороны регулирующих органов и ожидания заинтересованных лиц в отношении защищенности информации.

Разглашение конфиденциальной информации может привести к убыткам, повлечь за собой предусмотренную законодательством ответственность, а также повредить репутации за счет публикаций в СМИ и широкой общественной огласки. Угроза — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath), представленные на рисунке 6.

Рисунок 6 — Угрозы информационной безопасности в России

Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное программное обеспечение.

Вредоносное ПО — это любая нежелательная программа, которая устанавливается на компьютере без нашего ведома. Вирусы, черви и троянские кони — это примеры вредоносных программ, которые часто совокупно называются вредоносным ПО.

Хакерская атака в узком смысле слова — в настоящее время под словосочетанием понимается «Покушение на систему безопасности».

Спам (англ. spam) — рассылка коммерческой и иной рекламы или иных видов сообщений (информации) лицам, не выражавшим желания их получать.

Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение.

Риск утечки информации складывается из ценности этой информации для организации и вероятности утечки.

4. Способы и методы предотвращения утечки информации

Интерес к вопросам безопасности информации не случаен. Корпоративные системы электронного документооборота, бухгалтерского учета и управления базами данных получили широкое распространение в развитых странах уже в первой половине 70-х гг. С развитием компьютерных технологий, по мере снижения их стоимости, роста возможностей и доступности компьютеров, все больше компаний переходят на автоматизированные системы учета. В результате увеличиваются как объем информации, хранящейся на различных электронных носителях, так и ее ценность (которая, в первую очередь, определяется суммой возможных убытков при потере данных или их попадании к конкуренту).

И тут-то выясняется, что электронные средства хранения даже более уязвимы, чем бумажные; размещаемые на них данные можно и уничтожить, и скопировать, и незаметно видоизменить. Последнее, кстати, представляет наибольшую опасность для компаний. Рассмотрим построение корпоративной сети и ее защиты.

Корпоративная VPN — это «наложенная» (виртуальная) на сеть общего пользования сетевая инфраструктура, ограниченная рамками корпорации. Подобную инфраструктуру в общем случае составляют локальные вычислительные средства, объединяемые в корпоративную локальную сеть, которые в свою очередь объединяются в единое коммуникационное пространство, к которому подключаются удаленные и мобильные пользователи. Хранение и обработка корпоративной информации в рамках виртуальной сети требует ее защиты, состоящей в реализации разграничительной политики доступа к корпоративным ресурсам и в криптографической защите виртуальных каналов связи.

Сформулируем общие требования к корпоративной VPN:

1. Все задачи администрирования должны решаться непосредственно администратором безопасности централизованно (в состав VPN должен входить АРМ администратора безопасности);

2. Пользователь должен быть исключен из схемы администрирования — должен работать в корпоративной сети «под принуждением» администратора — должен общаться только с теми пользователями/компьютерами, с которыми ему разрешено администратором, при этом должен обмениваться с ними данными только в том виде (открытыми, либо зашифрованными), в котором ему разрешено администратором. Как следствие, шифрование виртуальных каналов должно осуществляться автоматически «прозрачно» для пользователя, ключ шифрования пользователя (предоставляемый ему администратором) не должен позволять нарушить пользователю конфиденциальность данных при их хищении.

4.1 Подходы к построению корпоративной сети, реализованной в ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003»

При построении корпоративной VPN должны быть решены две ключевые задачи — реализация разграничительной политики доступа к корпоративным ресурсам и криптографическая защита виртуальных («наложенных» на существующее телекоммуникационное оборудование) каналов связи корпоративной сети.

4.1.1 Реализация разграничительной политики доступа к корпоративным ресурсам

Когда речь заходит о реализации разграничительной политики доступа к ресурсам, в первую очередь, необходимо определиться с тем, что же является субъектом и объектом доступа. Это позволит определить способ их идентификации. В общем случае, как объектом, так и субъектом доступа (как правило, в VPN субъект одновременно является и объектом доступа — он может обращаться и к нему могут обращаться) может выступать либо компьютер, при этом доступ разграничивается между компьютерами, либо пользователь, соответственно доступ разграничивается между пользователями. Универсальность корпоративной VPN достигается в том случае, когда в качестве субъекта и объекта может выступать как компьютер в составе корпоративной сети, так и пользователь — сотрудник предприятия. Это, а также сложность идентификации компьютеров в сети по адресам (требуются специальные устройства — координаторы сети, а это дополнительные затраты и дополнительная сложность администрирования) обусловливает целесообразность включения специальной сущности «Идентификатор», никак не связанной ни с адресом компьютера, ни с учетной записью пользователя, используемой для идентификации субъектов и объектов VPN. В зависимости от способа хранения идентификатора субъекта/объекта (на компьютере, например, в файле, либо на внешнем носителе; предоставляемом пользователю, например, на электронном ключе, либо на смарт-карте), и его принадлежности (принадлежит компьютеру или пользователю), может быть реализована разграничительная политика доступа к ресурсам VPN для компьютеров или же для пользователей.

По разным причинам, пользователи могут обладать различной степенью доверия, либо решать различные функциональные задачи. Поэтому пользователей целесообразно подразделять на пользователей с высоким и низким уровнями доверия. Пользователю с низким уровнем доверия целесообразно разрешить передачу информации только в рамках корпоративной сети, трафик в которой должен шифроваться. Пользователю с высоким уровнем доверия может потребоваться разрешить взаимодействие, как с компьютерами VPN (по защищенному каналу связи), так и с компьютерами внешней сети (здесь информация передается в открытом виде).

Процедуру идентификации должен осуществлять сервер VPN (который по понятным причинам должен резервироваться с автоматической репликацией базы настроек на резервный сервер).

На компьютеры в составе VPN устанавливаются клиентские части, основу которых составляет сетевой драйвер. Клиентская часть блокирует какой-либо доступ в сеть до тех пор, пока не будет проведена идентификация (компьютера или пользователя, соответственно, идентификатор располагается либо на компьютере, либо на внешнем носителе у пользователя) на сервере. При идентификации компьютера процедура осуществляется автоматически, для идентификация пользователя — ему необходимо ввести в компьютер идентификатор (например, вставить смарт-карту с идентификатором).

После идентификации на сервере, в зависимости от уровня доверия, соответствующего идентификатору, клиентская часть позволит взаимодействие (компьютера или пользователя) либо только с компьютерами в составе, либо с внешними VPN компьютерами. Принадлежность компьютера к VPN определяется взаимодействием клиентских частей по защищенному протоколу.

Таким образом, собственно виртуальная сеть (VPN) формируется из состава компьютеров, на которых установлена клиентская часть. Для подключения к VPN необходима идентификация компьютера, либо пользователя на сервере VPN. Настройка же разграничительной политики доступа внутри VPN (разграничение доступа между сущностями «Идентификатор», которые могут присваиваться как компьютерам — разграничение между компьютерами, так и пользователя — разграничение между пользователями) осуществляется администратором на сервере (о том, как это делается, чуть ниже).

Настройка и эксплуатация VPN заметно упрощаются. Например, для подключения к VPN мобильного пользователя в любой точке земного шара, достаточно наличия у него компьютера, подключенного к сети, на котором должна быть установлена клиентская часть VPN, и идентификатора, который ему выдаст администратор. Администратор же, создавая идентификатор, может соответствующим образом назначить уровень доверия и определить те идентификаторы (компьютеры или пользователей) с которыми в рамках VPN по защищенному протоколу сможет «общаться» мобильный пользователь. Никаких координаторов для этого не требуется, т.к. адрес (который может быть различным при каждом удаленном подключении компьютера к сети) не используется в качестве идентифицирующей сущности. Он фиксируется на сервере VPN средствами аудита, но это уже иной вопрос.

4.1.2 Реализация криптографической защиты виртуальных каналов связи корпоративной сети

Выше мы говорили, что основными требованиями к реализации криптографической защиты виртуальных каналов корпоративной сети являются: «прозрачное» автоматическое (принудительное для пользователя) шифрование виртуальных каналов корпоративной сети, централизованное генерирование ключей шифрования администратором (пользователь должен быть исключен из схемы администрирования и управления VPN), отсутствие ключа шифрования виртуальных каналов связи у пользователя и соответственно, невозможность доступа пользователя к ключам шифрования.

Важным условием эффективности защиты является необходимость частой смены ключей шифрования виртуальных каналов.

Итак, подход к реализации ключевой политики, реализованный в ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003», состоит в следующем.

Каждый субъект/объект VPN характеризуется парой признаков: идентификатор и ключ шифрования взаимодействия с сервером VPN. Данная пара генерируется администратором при создании субъекта/объекта. Если субъектом/объектом VPN выступает компьютер, то идентификатор и ключ шифрования взаимодействия с сервером VPN заносятся на компьютер (в файл, либо в реестр) администратором при установке клиентской части (в процессе эксплуатации по усмотрению администратора данные параметры могут быть изменены), если же субъектом/объектом VPN выступает пользователь, то идентификатор и ключ шифрования взаимодействия с сервером VPN, выдаются пользователю на внешнем носителе (Flash-устройство, электронный ключ, смарт-карта).

До момента идентификации субъекта/объекта клиентской частью VPN на сервере, на компьютере не хранится какой-либо информации о ключах шифрования виртуальных каналов. Ключи шифрования виртуальных каналов генерируются сервером при идентификации субъектов/объектов VPN автоматически, т.е. даже администратор безопасности не обладает ключевой информацией. Осуществляется это следующим образом. При идентификации субъекта/объекта VPN на сервере, для идентифицируемого субъекта/объекта сервером автоматически генерируются ключи шифрования (каждая пара взаимодействующих субъектов/объектов VPN имеет свой ключ шифрования) с другими субъектами/объектами VPN. Данная информация (ключи шифрования данного компьютера с другими активными компьютерами в составе VPN) сервером в зашифрованном виде передается на идентифицированный компьютер (идентифицированному пользователю), где хранится в оперативной памяти — эта информация не доступна пользователю. Одновременно на все остальные активные (идентифицированные ранее) компьютеры из состава VPN сервером выдаются сгенерированные ключи шифрования для взаимодействия с вновь идентифицированным субъектом/объектом. Таким образом, в каждый момент времени в оперативной памяти идентифицированного компьютера в составе VPN хранится таблица с ключами шифрования трафика с другими активными (идентифицированными) компьютерами в составе VPN (для каждой пары этот ключ свой).

Данная таблица пополняется после идентификации каждого последующего субъекта/объекта. Смена ключа шифрования осуществляется сервером автоматически при каждой последующей идентификации субъекта/объекта.

Таким образом, вся процедура генерации ключевых пар полностью автоматизирована, не требует участия администратора безопасности, ключи шифрования виртуальных каналов VPN не доступны не только пользователям корпоративной сети, но и администратору.

Разграничение же доступа между субъектами/объектами в составе VPN (о чем упоминалось ранее) реализуется тем, что при идентификации субъекта/объекта ему передаются ключи шифрования виртуальных каналов только с теми активными субъектами/объектами, с которыми администратором разрешено взаимодействие данному субъекту/объекту. Клиентская же часть VPN, установленная на компьютере в составе VPN, позволит осуществлять с него взаимодействие только с теми активными субъектами/объектами, для взаимодействия с которыми получены соответствующие ключи шифрования с сервера VPN.