А. Артемов - Информационная безопасность. Курс лекций
Представляют интерес угрозы утраты охраняемых сведений в ходе информационных процессов, участники которых представляют противоположные интересы. Анализ этих угроз позволил выявить ряд их характерных признаков. В большинстве случаев активные действия сторон вполне осознанны и целенаправленны. К таким действиям относятся:
– разглашение конфиденциальной информации ее обладателем;
– утечка информации по различным, главным образом техническим, каналам;
– несанкционированный доступ к конфиденциальной информации различными способами.
Разглашение информации – это умышленные или неосторожные действия должностных лиц и граждан, которым в установленном порядке были доверены соответствующие сведения по работе, приведшие к оглашению охраняемых сведений, а также передача таких сведений по открытым техническим каналам. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, при обсуждении, утере и оглашении любыми иными способами конфиденциальной информации лицам и организациям, не имеющим права доступа к охраняемым секретам. Разглашение информации может происходить по многим каналам, в том числе через почтовые отправления, радио, телевидение, печать и т. п. Разглашение возможно в ходе деловых встреч, бесед, при обсуждении совместных работ, в договорах, в письмах и документах, деловых встречах и др. В ходе таких мероприятий партнеры ведут интенсивный обмен информацией. Именно при общении между ними устанавливаются «доверительные» отношения, приводящие к оглашению коммерческих секретов.
Как правило, факторами, способствующими разглашению конфиденциальной информации, являются:
– слабое знание (или незнание) требований по защите конфиденциальной информации;
– ошибочность действий персонала из-за низкой производственной квалификации;
– отсутствие системы контроля за оформлением документов, подготовкой выступлений, рекламы и публикаций;
– злостное, преднамеренное невыполнение требований по защите коммерческой тайны.
Разглашение конфиденциальной информации неизбежно приводит к материальному и моральному ущербу.
Утечку информации в общем виде можно рассматривать как бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена. При этом природа утечки охраняемой информации характеризуется как обстоятельствами происхождения, так и причинами, условиями возникновения утечки.
Неправомерному овладению конфиденциальной информацией вследствие неудовлетворительного управления персоналом со стороны должностных лиц, организаций и ведомств способствует наличие следующих обстоятельств:
– склонность сотрудников организации к излишней разговорчивости – 32 %;
– стремление сотрудников зарабатывать деньги любыми способами и любой ценой – 24 %;
– отсутствие в фирме службы безопасности – 14 %; – привычка сотрудников делится друг с другом информацией о своей служебной деятельности – 12 %;
– бесконтрольное использование в фирме информационных систем – 10 %;
– предпосылки возникновения конфликтных ситуаций в коллективе вследствие отсутствия психологической совместимости сотрудников, случайного подбора кадров, отсутствия работы руководителя по сплочению коллектива и др. – 8 %.
Также утечка охраняемой информации обусловлена наличием соответствующих условий, связанных:
– c появлением конкурента (злоумышленника), который такой информацией интересуется и затрачивает определенные силы и средства для ее приобретения;
– несовершенством норм по сохранению коммерческих секретов, а также нарушением этих норм, отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию;
– разными факторами и обстоятельствами, которые складываются в процессе научной, производственной, рекламной, издательской, информационной и иной деятельности организации и создают предпосылки для утечки сведений, составляющих различные виды тайн.
К таким факторам и обстоятельствам могут, например, относиться:
– недостаточное знание работниками правил защиты соответствующего вида тайны и непонимание необходимости их тщательного соблюдения;
– утрата удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей – 12 %;
– пронос без разрешения работников службы безопасности (СБ) на территорию организации кино-, звуко-, фото– и видеозаписывающей, радиопередающей, принимающей и множительно-копировальной аппаратуры личного пользования; недонесение о фактах возможной утечки секретных сведений руководству подразделения и СБ; вынос с предприятия секретных документов и изделий без разрешения руководителя организации или начальника СБ – 4 %;
– неправильное определение грифа секретности документа (изделия) – 3 %;
– несвоевременное направление документов для приобщения к делу с отметками об исполнении и с резолюцией начальника подразделения; оставление открытыми и неопечатанными после окончания работы помещений (спецхранилищ) – 3 %;
– оставление секретных документов на рабочих столах при выходе из помещения, нарушение установленного порядка ознакомления прикомандированных лиц с секретными документами и изделиями, перевозка секретных документов и изделий личным и общественным транспортом и перемещение с ними в места, не связанные с выполнением заданий, – 2 %;
– неправильное оформление секретных документов в печать; несоблюдение порядка отчетности перед СБ за числящиеся за исполнителем документы и изделия при увольнении, перед уходом в отпуск, выездом в командировки; несвоевременное сообщение в кадровую службу об изменениях анкетных и автобиографических данных; ведение переговоров по секретным вопросам по незащищенным линиям связи; выполнение секретных работ на дому; снятие копий с секретных документов или производство выписок из них без письменного разрешения начальника СБ; передача и взятие без расписки секретных документов и изделий – 1 % по каждому случаю.
Причинами неправомерного овладения конфиденциальной информацией могу быть следующие обстоятельства:
– использование не аттестованных технических средств обработки конфиденциальной информации
– слабый контроль за соблюдением правил защиты информации правовыми организационными и инженерно-техническими мерами
– текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;
– нарушения, не попадающие в поле зрения администрации и СБ, – это могут быть:
• ознакомление лиц с конфиденциальными документами, изделиями, работами, не входящими в круг их служебных обязанностей;
• направление адресатам конфиденциальных документов, к которым они не имеют отношения;
• подготовка конфиденциальных документов на неучтенных носителях;
• нарушение порядка работы с конфиденциальными документами, изделиями, который не допускает обзор их посторонними лицами;
• несвоевременное сообщение в СБ данных о внеслужебных связях с родственниками, проживающими за границей, с родственниками, выезжающими за границу на постоянное место жительства;
• посещение без разрешения руководства организации посольств, консульств, иностранных частных компаний и фирм;
• установление радиосвязи с радиолюбителями иностранных государств;
• использование конфиденциальных сведений в несекретной служебной переписке, технических заданиях, статьях, докладах и выступлениях;
• преждевременная публикация научных и других работ, которые могут расцениваться на уровне изобретений или открытий или опубликование которых запрещено в установленном порядке;
• сообщение устно или письменно кому бы то ни было, в том числе родственникам, конфиденциальных сведений, если это не вызвано служебной необходимостью;
• сообщение каких-либо сведений о проводимых конфиденциальных работах при обращении по личным вопросам с жалобами, просьбами и предложениями в федеральные государственные органы власти, органы власти субъектов РФ и органы местного самоуправления.
Кроме того, утечке информации способствуют стихийные бедствия, катастрофы, неисправности, отказы, аварии технических средств и оборудования.
Способы несанкционированного доступа (НСД) как проблему утечки конфиденциальной информации предлагается рассматривать со следующих позиций. Вопрос обеспечения защиты от НСД связан с проблемой сохранности не только информации как вида интеллектуальной собственности, но физических и юридических лиц, их имущественной собственности и личной безопасности. Известно, что такая деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Как только информация представляет определенную цену, факт ее получения злоумышленником приносит ему определенный доход, ослабляя тем самым возможности конкурента. Отсюда главная цель противоправных действий – получение информации о составе, состоянии и деятельности объекта конфиденциальной информации для удовлетворения своих информационных потребностей в корыстных целях и внесение изменений в состав информации. Такое действие может привести к дезинформации в определенных сферах деятельности и отражаться, в частности, на учетных данных, результатах решения управленческих задач.
