Общая характеристика организационного обеспечения защиты информации

Обычно выделяются два вида информации, интеллектуально  ценной для предпринимателя: 

- техническая,  технологическая: методы изготовления  продукции, программное обеспечение, производственные показатели, химические формулы, рецептуры, расчеты, результаты испытаний опытных образцов, данные контроля качества и т. п.; 

- деловая: стоимостные  показатели, результаты исследования  рынка, списки клиентов, экономические  прогнозы, стратегия действий на рынке и т. п. 

Ценная информация охраняется нормами права (патентного, авторского, смежных прав и др.), товарным знаком или защищается включением ее в категорию информации, составляющей тайну фирмы. 

Процесс выявления  и регламентации реального состава ценной информации, в том числе составляющей секреты фирмы, является основополагающей частью системы защиты информации. 

Состав этих сведений фиксируется в специальном  перечне, закрепляющем факт отнесения  их к защищаемой информации и определяющем период (срок) конфиденциальности (т. е. недоступности для всех) этих сведений, уровень (гриф) их конфиденциальности, список сотрудников фирмы, которым дано право использовать эти сведения в работе. В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля. Перечень является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения («изюминки») о каждой работе фирмы. Следует отметить, что нельзя ограничивать доступ к информации, относящейся к новой продукции, но не имеющей интеллектуальной ценности. 
 

Каналы распространения  информации носят объективный характер, отличаются активностью и включают в себя: 

- деловые, управленческие, торговые, научные и другие коммуникативные  регламентированные связи; 

- документопотоки; 

- информационные  сети; 

- естественные  технические каналы излучения,  создания фона. 

Канал распространения  информации представляет собой путь перемещения сведений из одного источника  в другой в санкционированном (разрешенном, законном) режиме или в силу объективных закономерностей. Например: передача документа исполнителю, обсуждение важного вопроса на закрытом совещании, запись на бумаге содержания изобретения, переговоры с потенциальным партнером, работа на ЭВМ и т. д. 

Под конфиденциальным (закрытым, защищаемым) документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица. Конфиденциальные документы не следует называть секретными или ставить на них гриф секретности, так как конфиденциальные и секретные документы отражают различные виды тайны. 

Особенностью  конфиденциального документа является то, что он представляет собой одновременно: 

- массовый носитель  ценной, защищаемой информации;

- основной источник  накопления и объективного распространения  этой информации, а также ее  неправомерного разглашения или  утечки;

- обязательный  объект защиты. 

Все информационные ресурсы фирмы постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации. 

Под угрозой, или  опасностью, утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или  пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. 

Риск угрозы дестабилизирующего воздействия любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: несанкционированное уничтожение документов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др. 

Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников. 

В отличие от объективного распространения утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использования в своих целях. 

Основной угрозой  безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат - овладение информацией и противоправное ее использование или совершение иных дестабилизирующих действий. 

Целями и результатами несанкционированного доступа может  быть не только овладение ценными  сведениями и их использование, но и  их видоизменение, модификация, уничтожение, фальсификация, подмена и т. п. 

Следует всегда помнить, что факт документирования резко увеличивает риск угрозы информации. Великие мастера прошлого никогда не записывали секреты своего искусства, а передавали их устно сыну, ученику. Поэтому тайна изготовления многих уникальных предметов того времени так и не раскрыта до наших дней. 

Следовательно, угрозы конфиденциальной информации всегда реальны, отличаются большим разнообразием  и создают предпосылки для  утраты информации. Источники угрозы информации конкретной фирмы должны быть хорошо известны. В противном  случае нельзя профессионально построить систему защиты информации. 

2.6. Каналы утраты  информации 

Угрозы сохранности, целостности и конфиденциальности информационных ресурсов ограниченного  доступа практически реализуются  через риск образования канала несанкционированного получения (добывания) кем-то ценной информации и документов. Этот канал представляет собой совокупность незащищенных или слабо защищенных фирмой направлений возможной утраты конфиденциальной информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой информации. 

Функционирование  канала несанкционированного доступа  к информации обязательно влечет за собой утрату информации или исчезновение носителя информации. 

В том случае, когда речь идет об утрате информации по вине персонала, используется термин «разглашение (огласка) информации». Человек может разглашать информацию устно, письменно, с помощью жестов, мимики, условных сигналов, лично, через посредников, по каналам связи и т. д. Термин «утечка информации», хотя и используется наиболее широко, однако в большей степени относится, по нашему мнению, к утрате информации за счет ее перехвата с помощью технических средств разведки, по техническим каналам. 

Злоумышленник или его сообщник целенаправленно стремятся овладеть конкретной информацией и преднамеренно, противоправно устанавливают контакт с источником этой информации или преобразуют канал ее объективного распространения в канал ее разглашения или утечки. Каналы утраты информации в условиях хорошо построенной системы защиты информации формируются злоумышленником. При плохо построенной системе выбираются им из множества возможных каналов. В любом случае такие каналы всегда являются тайной злоумышленника. 

Техническое обеспечение  офисных технологий создает широкие возможности несанкционированного получения ценных сведений. Любая управленческая деятельность всегда связана с обсуждением ценной информации в кабинетах или по линиям связи, проведением расчетов и анализа ситуаций на ЭВМ, изготовлением, размножением документов и т. п. 

Технические каналы утечки информации возникают при  использовании злоумышленником  специальных технических средств  промышленного шпионажа, позволяющих  получать защищаемую информацию без  непосредственного контакта с персоналом фирмы, документами, делами и базами данных. Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику. 

Канал возникает  при анализе злоумышленником  физических полей и излучений, появляющихся в процессе работы вычислительной и другой офисной техники, при перехвате информации, имеющей звуковую, визуальную или иную форму отображения. Основными техническими каналами являются: акустический, визуально-оптический, электромагнитный и др. Это каналы прогнозируемые, носят стандартный характер и перекрываются стандартными средствами противодействия. 

При построении системы защиты информации фирмы  часто не учитывают опасность  этих каналов или пренебрегают ими, так как стоимость средств перекрытия этих каналов требует больших затрат. 

Акустический  канал возникает за счет образования  звуковой волны в кабинетах руководителей  при ведении переговоров, залах  заседаний в процессе совещаний, в рабочих помещениях при диктовке документов и в других подобных случаях. В процессе разговора, даже негромкого, мы «сотрясаем воздух», и это сотрясение передается окружающим нас предметам. Звуковая волна заставляет вибрировать стекла в окнах, стеновые панели, элементы отопительных систем, вентиляционные пространства и другие предметы. Звук распространяется всегда по множеству путей. Возникшие колебания можно сканировать с помощью специальной техники с этих предметов и на достаточно большом расстоянии преобразовывать в слышимый звук. 

Акустический канал может образовываться также за счет «микрофонного эффекта», свойственного механическому воздействию звуковой волны на электродинамики радио- и телевизионной аппаратуры, динамики радиотрансляции, реле в холодильниках, электрозвонках и других приборах. Например, при подключении к электродинамикам любого типа можно за пределами офиса фирмы (вне контролируемой зоны) прослушивать помещения и вести запись переговоров. 

Визуальный, или  визуально-оптический, канал связан с наблюдением за зданием, помещениями и персоналом фирмы с помощью оптических приборов, позволяющих, например, читать информацию на дисплее, оценивать действия персонала охраны, идентифицировать сотрудников, иногда читать документы на их рабочих столах, знакомиться с системами хранения документов и т. д. Наблюдение за помещениями фирмы всегда сопровождается фото- и видеозаписью. 

Электромагнитные  каналы сопровождают работу средств  радиосвязи, радиотелефонов, бытовой  и производственной видеотехники, компьютеров, диктофонов и других подобных приборов. 

Обычным и профессионально  грамотным является творческое сочетание  в действиях злоумышленника каналов  обоих типов, например установление доверительных отношений с сотрудником  фирмы или лицом, проживающим  рядом со зданием фирмы, и перехват с его помощью информации по техническим каналам. Вариантов и сочетаний каналов может быть множество. Изобретательность грамотного злоумышленника не знает предела, поэтому риск утраты информации всегда достаточно велик. При эффективной системе защиты информации фирмы злоумышленник разрушает отдельные элементы защиты и формирует необходимый ему канал получения информации. 

В целях практической реализации поставленных задач злоумышленник  определяет не только каналы несанкционированного доступа к информации фирмы, но и совокупность методов получения этой информации. 

Легальные методы входят в содержание понятий «невинного шпионажа» и «разведки в бизнесе», отличаются правовой безопасностью и, как правило, предопределяют возникновение интереса к конкурирующей фирме. В соответствии с этим может появиться необходимость использования каналов несанкционированного доступа к требуемой информации. В основе «невинного шпионажа» лежит кропотливая аналитическая работа специалистов-экспертов над опубликованными и общедоступными материалами конкурирующей фирмы. Одновременно изучаются продукция фирмы, рекламные издания, сведения, полученные в процессе официальных и неофициальных бесед и переговоров с сотрудниками фирмы, материалы пресс-конференций, презентаций фирмы и продукции научных симпозиумов и семинаров, сведения, получаемые из информационных сетей.