Организация офисной деятельности

Акустический канал может  образовываться также за счет «микрофонного  эффекта», свойственного механическому  воздействию звуковой волны на электродинамики  радио- и телевизионной аппаратуры, динамики радиотрансляции, реле в холодильниках, электрозвонках и других приборах. Например, при подключении к электродинамикам любого типа можно за пределами офиса фирмы (вне контролируемой зоны) прослушивать помещения и вести запись переговоров.

Визуальный, или визуально-оптический, канал связан с наблюдением за зданием, помещениями и персоналом фирмы с помощью оптических приборов, позволяющих, например, читать информацию на дисплее, оценивать действия персонала  охраны, идентифицировать сотрудников, иногда читать документы на их рабочих  столах, знакомиться с системами  хранения документов и т. д. Наблюдение за помещениями фирмы всегда сопровождается фото- и видеозаписью.

Электромагнитные каналы сопровождают работу средств радиосвязи, радиотелефонов, бытовой и производственной видеотехники, компьютеров, диктофонов и других подобных приборов.

Обычным и профессионально  грамотным является творческое сочетание  в действиях злоумышленника каналов  обоих типов, например установление доверительных отношений с сотрудником  фирмы или лицом, проживающим  рядом со зданием фирмы, и перехват с его помощью информации по техническим  каналам. Вариантов и сочетаний  каналов может быть множество. Изобретательность  грамотного злоумышленника не знает  предела, поэтому риск утраты информации всегда достаточно велик. При эффективной  системе защиты информации фирмы  злоумышленник разрушает отдельные  элементы защиты и формирует необходимый  ему канал получения информации.

В целях практической реализации поставленных задач злоумышленник  определяет не только каналы несанкционированного доступа к информации фирмы, но и  совокупность методов получения  этой информации.

Легальные методы входят в  содержание понятий «невинного шпионажа»  и «разведки в бизнесе», отличаются правовой безопасностью и, как правило, предопределяют возникновение интереса к конкурирующей фирме. В соответствии с этим может появиться необходимость  использования каналов несанкционированного доступа к требуемой информации. В основе «невинного шпионажа» лежит  кропотливая аналитическая работа специалистов-экспертов над опубликованными  и общедоступными материалами конкурирующей  фирмы. Одновременно изучаются продукция  фирмы, рекламные издания, сведения, полученные в процессе официальных  и неофициальных бесед и переговоров  с сотрудниками фирмы, материалы  пресс-конференций, презентаций фирмы  и продукции научных симпозиумов  и семинаров, сведения, получаемые из информационных сетей.

При комплексном системном  анализе этих материалов появляется возможность формирования из разрозненных и в отдельности неконфиденциальных сведений достаточно полной картины, отражающей имеющиеся в фирме секреты. Этот процесс аналогичен принципу мозаики, когда из множества сегментов складывается определенная картинка.

Легальные методы дают злоумышленнику основную массу интересующей его  информации и позволяют определить состав отсутствующих защищаемых сведений, которые предстоит добыть нелегальными методами.

Нелегальные методы получения  ценной информации всегда носят незаконный характер и используются в целях  доступа к защищаемой информации, которую невозможно получить легальными способами. В основе нелегального получения  информации лежит поиск злоумышленником  существующих в фирме и наиболее эффективных в конкретных условиях незащищенных организационных и  технических каналов несанкционированного доступа к информации, формирование таких каналов при их отсутствии и реализация плана практического  комплексного использования этих каналов.

Нелегальные методы предполагают: воровство, продуманный обман, подслушивание  разговоров, подделку идентифицирующих документов, взяточничество, инсценирование или организацию экстремальных ситуаций, использование различных криминальных приемов и т. д. В процессе реализации нелегальных методов часто образуется агентурный канал добывания ценной информации, т. е. преступное сотрудничество злоумышленников или злоумышленника и его сообщников. К нелегальным методам относятся также: перехват информации, объективно распространяющейся по техническим каналам (акустическому, электромагнитному и др.), визуальное наблюдение за помещениями фирмы и персоналом, анализ продуктов и объектов, содержащих следы защищаемой информации, анализ архитектурных особенностей объектов защиты, анализ отходов производства, мусора, выносимого из офиса. Незаконный характер перехвата информации по техническим каналам, так же как и изучение общедоступных источников, определяется не процессом, а целью этих действий злоумышленника.

В результате эффективного использования каналов несанкционированного доступа к информации ограниченного  доступа и разнообразных методов  ее добывания злоумышленник получает:

- подлинник или официальную  копию документа (бумажного, машиночитаемого,  электронного), содержащего информацию  ограниченного доступа;

- несанкционированно, нелегально  сделанную копию этого документа  (рукописную или изготовленную  с помощью копировального аппарата, фототехники, компьютера и т.  п.);

- диктофонную, магнитофонную  или видеокассету с записью  текста документа, переговоров,  совещания;

- письменное или устное  изложение за пределами фирмы  содержания документа, ознакомление  с которым осуществлялось санкционированно или тайно;

- устное изложение текста  документа по телефону, мобильной  связи, переговорному устройству, специальной радиосвязи и т.  п.;

- аналог документа, переданного  по факсимильной связи или  электронной почте;

- речевую или визуальную  запись текста документа, выполненную  с помощью технических средств  разведки (радиозакладок, встроенных микрофонов и видеокамер, микрофотоаппаратов, фотографирования с большого расстояния).

Получение ценных документов или информации ограниченного доступа  может быть единичным явлением или  регулярным процессом, протекающим  на протяжении относительно длительного  времени. Длительность этого процесса является наиболее предпочтительной, поэтому каналы несанкционированного доступа всегда носят тайный характер.

Следовательно, любые информационные ресурсы фирмы являются весьма уязвимой категорией, и при интересе, возникшем  к ним со стороны злоумышленника, опасность их утраты становится достаточно реальной. Безопасность информации в  современных условиях компьютеризации  информационных процессов имеет  принципиальное значение для предотвращения незаконного и часто преступного  использования ценных сведений.

Выводы по разделу

Безопасность информационных ресурсов (информации) - защищенность информации во времени и пространстве от любых  объективных и субъективных угроз (опасностей), возникающих в обычных  условиях функционирования фирмы и  условиях экстремальных ситуаций: стихийных  бедствий, других неуправляемых событий, пассивных и активных попыток  злоумышленника создать потенциальную  или реальную угрозу несанкционированного доступа к документам, делам, базам  данных.

Политика (концепция, программа) информационной безопасности фирмы  практически реализуется комплексом направлений и методов защиты информации, обеспечивающим ее безопасность.

Информационная безопасность, безопасность информации и защита информации связаны единой целью, решаемыми  задачами и последовательной реализацией  их в условиях необходимости обеспечения  экономической безопасности предприятия.

Информационные ресурсы (информация) являются объектами отношений  физических и юридических лиц  между собой и с государством, составляют в совокупности информационные ресурсы России и охраняются законом  наряду с другими видами ресурсов.

Документированная информация является комплексным понятием, основанным на ее двуединстве: с одной стороны, это информация (факты, данные, сведения), а с другой - материальный носитель. В процессе документирования информация (результат творческой работы человека) овеществляется, становится документом. Подобный подход к документированной информации представляется существенным при решении задач обеспечения безопасности информации и сохранности ее носителя.

Документ может быть не только и даже не столько управленческим (деловым), имеющим в большинстве  случаев текстовую, табличную или  анкетную форму. Значительно большие объемы наиболее ценных документов представлены в изобразительной форме: конструкторские документы, картографические, научно-технические, документы на фотографических, магнитных и иных носителях.

По принадлежности к тому или иному виду собственности  информационные ресурсы могут быть государственными или негосударственными и как элемент состава имущества  находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских  структур. Защите, охране подлежит любая  ценная документированная информация, неправомерное обращение с которой  может нанести ущерб ее собственнику, владельцу, пользователю или иному  лицу.

Ценная информация охраняется нормами права (патентного, авторского, смежных прав и др.), товарным знаком или защищается включением ее в категорию  информации, составляющей тайну фирмы.

Документированная информация ограниченного доступа всегда принадлежит  к одному из видов тайны - государственной  или негосударственной. В соответствии с этим документы делятся на секретные и несекретные.

Обязательным признаком (критерием принадлежности) секретного документа является наличие в  нем сведений, составляющих в соответствии с законодательством государственную  тайну. Несекретные документы, включающие сведения, относимые к негосударственной  тайне (служебной, коммерческой или  предпринимательской, банковской, профессиональной, производственной и др.) или содержащие персональные данные граждан, именуются конфиденциальными.

Конфиденциальный (закрытый, защищаемый) документ- необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица.

Конфиденциальность документов всегда имеет значительный разброс  по срокам ограничения свободного доступа  к ним персонала фирмы (от нескольких часов до значительного числа  лет).

Угроза утраты информации - единичное или комплексное, реальное или потенциальное, активное или  пассивное проявление неблагоприятных  возможностей внешних или внутренних источников угрозы создавать критические  ситуации, события, оказывать дестабилизирующее  воздействие на защищаемую информацию, документы и базы данных.

Каждая конкретная фирма  обладает своим набором каналов  несанкционированного доступа к  информации, что зависит от множества  моментов - профиля деятельности, объемов  защищаемой информации, профессионального  уровня персонала, местоположения здания и т. п.

Утрата информации характеризуется  двумя условиями, а именно информация переходит: а) непосредственно к  заинтересованному лицу - конкуренту, злоумышленнику или б) к случайному, третьему лицу.

3 ОРГАНИЗАЦИЯ  ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

3.1. Общие положения  по инженерно-технической защите  информации в организациях

Рассмотренные ранее вопросы  создают теоретическую базу для  построения, модификации и эксплуатации системы защиты информации.

Любая система создается  под заданные требования с учетом существующих ограничений. Факторы, влияющие на структуру и функционирование системы, называются системообразующими. К ним относятся:

- перечни защищаемых сведений, составляющих государственную (по  тематике государственного заказа, если он выполняется организацией) и коммерческую тайну;

- требуемые уровни безопасности  информации, обеспечение которых  не приведет к превышению ущерба  над затратами на защиту информации;

- угрозы безопасности  информации:

- ограничения, которые  надо учитывать при создании  или модернизации системы защиты  информации;

- показатели, по которым  будет оцениваться эффективность  системы защиты.

Структура и алгоритм функционирования системы защиты организации определяются в руководящих, нормативных и  методических документах. К руководящим  документам относятся:

- руководство (инструкция) по защите информации в организации;

- положение о подразделении  организации, на которое возлагаются  задачи по обеспечению безопасности  информации;

- инструкции по работе  с грифованными документами;

- инструкции по защите  информации о конкретных изделиях: В различных организациях эти  документы могут иметь разные  наименования, отличающиеся от указанных. Но сущность этих документов остается неизменной, так как необходимость в них объективна.

Порядок защиты информации в организации определяется соответствующим  руководством (инструкцией). Оно может  содержать следующие разделы: