Служебная тайна и конфиденциальность информации

           Перечень сведений составляющих  государственную тайну формирует государство в лице его институтов и учреждений. Эти сведения являются обязательной тайной для отдельных, нижестоящих по рангу, юридических и физических лиц страны.

           Перечень сведений определяющих  коммерческую тайну, формирует  коммерческое предприятие. Оно же обеспечивает их сохранность и защиту.

           Личную тайну определяет физическое  лицо. Естественно, что сохранность  и защита этих сведений – его забота, хотя правовая защита за государством.

           Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.

     Действия, приводящие к незаконному овладению конфиденциальной информацией:

• Разглашение,
• Утечка,
• Несанкционированный доступ.

       Разглашение — это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.

           Разглашение выражается в сообщении,  передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с конфиденциальной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации.

           К формальным коммуникациям относятся  деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.).

           Неформальные коммуникации включают  личное общение, выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.).

            Как правило, причиной разглашения  конфиденциальной информации является  недостаточное знание сотрудниками  правил защиты секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов.

           Следует отметить информационные  особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства.

       Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она доверена по техническим каналам утечки информации.

     Утечка  информации осуществляется по различным  техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая (звук), либо электромагнитное излучение, либо лист бумаги и др.

     С учетом этого можно утверждать, что  по физической природе возможны следующие пути переноса информации световые лучи, звуковые волны, электромагнитные волны, материалы и вещества.

     Соответственно  этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям.

     Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне  злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

       Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

     Для реализации этих действий злоумышленнику приходится проникать на объект защиты, используя различные технические средства. С развитием компьютерных технологий стал доступен дистанционный несанкционированный доступ к охраняемой информации или, иначе говоря - компьютерный взлом.

     С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией:

• Разглашение (излишняя болтливость сотрудников) - 32%;
• Несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;
• Отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;
• Традиционный обмен производственным опытом - 12%;
• Бесконтрольное использование информационных систем - 10%;
• Наличие предпосылок возникновения среди сотрудников конфликтов - 8%.

3.3. Направления защиты информации

     В литературе предлагается следующая  классификация средств защиты информации.

• Средства защиты от несанкционированного доступа (НСД):
• Средства авторизации;
• Мандатное управление доступом;
• Избирательное управление доступом;
• Управление доступом на основе ролей;
• Журналирование (так же называется Аудит).
• Системы анализа и моделирования информационных потоков (CASE-системы).
• Системы мониторинга сетей:
• Системы обнаружения и предотвращения вторжений (IDS/IPS).
• Анализаторы протоколов.
• Антивирусные средства.
• Межсетевые экраны.
• Криптографические средства:
• Шифрование;
• Цифровая подпись.
• Системы резервного копирования.
• Системы бесперебойного питания:
• Источники бесперебойного питания;
• Резервирование нагрузки;
• Генераторы напряжения.
• Системы аутентификации:
• Пароль;
• Сертификат;
• Биометрия.
• Средства предотвращения взлома корпусов и краж оборудования.
• Средства контроля доступа в помещения.
• Инструментальные средства анализа систем защиты:
• Мониторинговый программный продукт.

     С учетом сложившейся практики обеспечения  информационной безопасности выделяют следующие направления защиты информации:

     1. Правовая защита - это специальные  законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

     2. Организационная защита - это регламентация  деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

     3. Инженерно-техническая защита - это  совокупность специальных органов,  технических средств и мероприятий  по их использованию в интересах  защиты конфиденциальной информации.

     Для реализации защиты информации создается система безопасности.

     Под Системой безопасности будем понимать организационную совокупность специальных  органов, служб, средств, методов и  мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз.

     В рамках системы безопасности присутствует система защиты информации.

     Система защиты информации (СЗИ) – это организованная совокупность специальных органов средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

     Организационное и инженерно-техническое  обеспечение информационной безопасности.

     Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявления внутренних и внешних угроз.

     Организационная защита обеспечивает:

• организацию охраны, режима, работу с кадрами, с документами;
• использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз безопасности.

     Организационные мероприятия играют существенную роль в создании надежного механизма  защиты информации, так как возможности  несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или по крайней мере сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

     Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся в основном, к  регламентации доступа и использования  технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.

     К основным организационным мероприятиям можно отнести:

• организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей;
• создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;
• контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы;
• организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
• организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
• организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
• организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
• организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
• организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

     В каждом конкретном случае организационные  мероприятия носят специфическую  для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

• определение границ охраняемой зоны (территории);
• определение технических средств, используемых для обработки конфиденциальной        информации в пределах контролируемой территории;
• определение «опасных», с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;
• выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;
• реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.