Причины, виды и каналы утечки информации

Основными причинами утечки информации являются:

· несоблюдение персоналом норм, требований в работе с носителями конфиденциальной информацией, организационных требований и правил эксплуатации систем защиты (как умышленные, так и непреднамеренные);

· ошибки в проектировании систем защиты;

· ведение противостоящей стороной технической и агентурной разведок.

Существуют три вида утечки информации:

· несанкционированный доступ к информации;

· получение конфиденциальной информацией разведками.

Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих право доступа к защищаемой информации. То есть для того, чтобы разглашение информации состоялось, необходимо выполнение следующих условий: информация должна быть конфиденциальной; доведена до конкретного потребителя; последний не имеет к ней право доступа; доведение информации произошло без наличия соответствующего разрешения ее владельца.

Под несанкционированным доступом понимается получение защищаемой информации заинтересованными субъектами с нарушением установленных правовыми документами или владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть государство, юридические и физические лица. Отличие несанкционированного доступа от разглашения состоит в том, что НСД к информации происходит в результате преднамеренных действий заинтересованного субъекта, а разглашение может носить, как преднамеренный, так и случайный характер.

Получение защищаемой информацииразведками может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).

Канал утечки информации – совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя.

По виду носителя конфиденциальной информации канал утечки может создаваться через: людей; документы; изделия (образцы товаров или продукции); процессы.

Все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые соответственно требуют доступа к аппаратному обеспечению и данным информационной системы.

Примеры косвенных каналов утечки:

— кража или утеря носителей информации, исследование не уничтоженного мусора;

— дистанционное фотографирование, прослушивание;

— перехват электромагнитных излучений.

Примеры прямых каналов утечки:

— инсайдеры (человеческий фактор). Утечка информации вследствие несоблюдения персоналом режимных требований;

Применительно к практике с учетом физической природы образования каналы утечки информации можно квалифицировать на следующие группы:

— акустические (включая и акустико-преобразовательные);

— электромагнитные (включая магнитные и электрические);

Основные положения «Закона об информации, информационных технологиях и защите информации

Основными задачами системы защиты информации, нашедшими отражение в Законе «Об информации, информатизации и защите информации», являются:

· предотвращение утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т. п., вмешательства в информацию и информационные системы;

· сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки данных, установленных собственником или уполномоченным им лицом;

· сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации;

· обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных;

· сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами;

· соблюдение прав авторов программно-информационной продукции, используемой в информационных системах.

В соответствии с законом:

· информационные ресурсы делятся на государственные и негосударственные (ст. 6, ч. 1);

· государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа (ст. 10, ч. 1);

· документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (ст. 10, ч. 2).

· Закон определяет пять категорий государственных информационных ресурсов:

· открытая общедоступная информация во всех областях знаний и деятельности;

· информация с ограниченным доступом:;

· информация, отнесенная к государственной тайне;

· персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом).

Статья 22 Закона «Об информации, информатизации и защите информации» определяет права и обязанности субъектов в области защиты информации. В частности, пункты 2 и 5 обязывают владельца информационной системы обеспечивать необходимый уровень защиты конфиденциальной информации и оповещать собственников информационных ресурсов о фактах нарушения режима защиты информации.

Дата добавления: 2020-04-25 ; просмотров: 730 ; Мы поможем в написании вашей работы!

Источник

Источники утечки информации

Найти источник утечки
с помощью DLP-системы

И нформация хранится на разных физических носителях, которые являются не только ее формами, но и источниками утечки в случае доступа к данным. Основные формы сохранения и передачи информации: документальные; акустические и телекоммуникационные.

Источниками утечки информации могут оказаться документы предприятия. Документация содержится в нескольких видах: бумажном, электронном, магнитном, графическом. Большинство документов компании должно храниться в письменной форме. Но небрежное отношение к документации может стать причиной доступа и утери несанкционированной информации. После попадания источника информации в руки к шпиону может происходить тиражирование документации и использование информации в корыстных целях.

Акустические или речевые носители информации могут стать источниками, от которых осуществится утечка. Носителями являются именно звуковые колебания систем воспроизведения и усиления волн. Техническими источниками информации и каналами ее передачи являются электромагнитные волны и каналы связи, между которыми проходит информация.

Также стоит обратить внимание на сотрудников компании. Персонал может стать источником информации, которая в дальнейшем будет передана третьим лицам. Иногда это происходит случайно в ходе бесед после доступа к другим источникам информации или получения сведений о компании. В остальных случаях действия персонала и распространение несанкционированной информации могут расцениваться как промышленный шпионаж. Для сохранения конфиденциальных данных с сотрудниками необходимо подписывать документы о неразглашении.

Источники утечки информации или каналы передачи данных

Каналами утечки информации могут быть такие разновидности несанкционированной передачи данных, как:

Физическими каналами утечки информации являются человеческие ресурсы, а именно деятельность сотрудников. Человек выступает в роли главного пути утечки информации, а иногда и ее источника одновременно. Также к числу физических каналов относят и документацию предприятия. Чтобы не допустить распространения информации с носителей по каналам, рекомендуется тщательно подбирать сотрудников, а также пользоваться методами защиты. Важно правильно организовать работу с документами, ограничить круг лиц, имеющих к ним доступ.

Технические каналы утечки информации открываются после взаимодействия мошенников с техническими источниками хранения и передачи данных. Все устройства в офисах (телефоны, радиотелефоны, принтеры, дисплеи, компьютеры) являются потенциально уязвимыми объектами. Несанкционированный доступ осуществляется с помощью специального оборудования, а сами данные передаются по каналам:

Особенности каналов утечки информации с носителей

Канал утечки формируется на основе трех компонентов:

Основные показатели каналов – это пропускная способность информации и дальность передачи сведений. Именно пропускная способность канала – ключевая характеристика, которая измеряется количеством сведений, передаваемых за единицу времени. Также оценивается качество передачи информации при выборе средства для ее хищения. Передача информации по обобщенным схемам осуществляется следующим образом.

На записывающий объект или на вход канала поступает первичный сигнал от источника информации. В качестве источника выступают устройства, отображающие разные типы волн и содержащие несанкционированные сведения.

Передатчик преобразовывает поступившие данные в удобный вид для дальнейшего распространения информации, осуществляя утечку. Основная задача передатчика – быстро и без потерь отформатировать информацию и передать ее на приемник. Кроме того, передатчик может:

Дальнейшими преобразованиями занимается такое звено канала, как приемник. Он осуществляет следующие функции:

Носители информации защищаются крупными компаниями, но есть и слабые места, через которые может проникнуть сигнал считывающего устройства. Те зоны, через которые можно осуществить несанкционированный доступ, называются опасными.

Чтобы сформировать электромагнитные и электрические каналы утечки информации, необходимо подключиться к источникам информации. Это делается с помощью вспомогательной технической аппаратуры по типу «жучков» или посредством посторонних проводников. Кроме средств для считывания информации используется аппаратура для измерения характеристик волн (длина, частота). В роли мини-передатчиков выступают аппаратные закладки, а вся поступающая информация записывается с источников на специальное запоминающее устройство.

Акустические каналы для передачи информации основаны на способах утечки через воздух, являющийся основной средой для сигналов. Тот звук, который передается, называется структурным. Колебания распространяются на существенные расстояния без затухания силы. Каналами для передачи от носителя до записывающего устройства служат стены, трубопроводы, вентиляционные ходы. Принцип действия основан на колебании твердых тел по ходу звуковых волн. Лучше всего такие способы использовать в крупных компаниях с большими площадями помещений и тонкими стенами. Утечка осуществляется с помощью разных устройств:

Вибрационные каналы утечки информации формируются на основе элементов конструкции здания. Такие способы используются наиболее редко из-за низкой надежности получения несанкционированной информации. Канал является собирательным понятием, участие в его формировании принимают стены здания, система водоснабжения и канализации, трубы, полы, потолки. В качестве устройств для считывания используются лазерные системы, электронные стетоскопы, специальные преобразователи шумов.

Сложнее всего определить, есть ли такой канал утечки информации с предприятия или нет. Опасность заключается в том, что подобным способом можно получить информацию сразу с нескольких типов носителей. А закрыть этот путь утечки и защитить данные можно с помощью системы виброакустического зашумления. Помехи, создаваемые таким устройством, подаются на усилитель мощности, а затем сигнал поступает на акустический вибратор. После включения устройства появляются колебания стен, которые подавляют передачу информации из помещения.

Носитель информации должен быть защищенным от доступа посторонних. Информация является основной ценностью предприятия, а ее получение третьими лицами может привести компанию к банкротству. Этапов сохранения информации несколько (определяется потенциальный источник утечки и способы его защиты). Важно обратить внимание на способы защиты информации, которые основываются на использовании современных технологий.

Источник

10 причин утечки информации

Каждая компания имеет очень важную конфиденциальную информацию, распространение которой карается законом. Персонал, при приеме на работу подписывает специальные документы о неразглашении конфиденциальной информации. При этом бывают случаи, когда важные данные все же попадают в руки конкурентов. Далее более подробно рассмотрим основные причины утечки информации.

Причины утечки информации

1. Избыточные права или инсайдеры. В этом случае причиной утечки информации являются работники компании. Они могут иметь доступ к конфиденциальной информации или просто умышленно похитить ее.

2. Кража информации. Утечка информации происходит с помощью внешнего воздействия, например, взлом компьютера вирусными программами.

3. Хакерская атака. Согласно статистическим данным около 15% утечки информации происходит с помощью установки вредоносных программ.

4. Кража информации. Виток происходит в результате похищения смартфона, планшета или ноутбука, где хранятся важные данные.

5. Случайная утечка информации через сеть интернет или ошибки сотрудников. Персонал может даже не знать о существовании конфиденциальной информации и своими действиями случайно привести к ее утечке.

6. Использование неисправных или нелицензионных технических средств для обработки важной информации.

7. Большая текучка кадров. Работники, которых уволили, могут распространять конфиденциальную информацию компании.

8. Неблагоприятные погодные условия, стихийное бедствие, техногенные аварии и катастрофы также могут стать причиной утечки информации.

9. Ведение конкурентами технической или агентурной разведки.

10. Причины утечки информации — ошибки в проектировании и защиты систем АС.

Источник

Причины, виды, каналы утечки и искажения информации

Основные источники и способы обмена информацией. Защищенный документооборот. Авторское право как форма защиты информации. Причины, виды и угрозы утечки конфиденциальной информации. Реализация разграничительной политики доступа к корпоративным ресурсам.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Министерство образования и науки РФ

ФГБОУ ВПО Тольяттинский государственный университет

Институт энергетики и электротехники

Кафедра «Автоматизация технологических процессов и производств»

по теме: «Причины, виды, каналы утечки и искажения информации»

по дисциплине: «Информационные технологии в управлении качеством»

Выполнила: Черняева Ю.С.

Проверила: Копша О.Ю.

Особое место отводится информационным ресурсам в условиях рыночной экономики.

Важнейшим фактором рыночной экономики выступает конкуренция. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.

В реферате рассмотрим такие понятия как конфиденциальная информация, ее основные источники, способы обмена информацией, понятие утечки информации, ее причины, виды и классификация, приведем статистику угроз утечки информации, подробно опишем способы и методы предотвращения утечки информации.

1. Конфиденциальная информация

Чтобы дать исчерпывающую характеристику реального состояния объекта информационной безопасности в конкретный момент времени, необходимо описать не только сущность, виды и основы формирования угроз его информационной безопасности, но и возможные каналы утечки конфиденциальной информации.

1.1 Основные источники

Источники конфиденциальной информации (рисунок 1) дают полные сведения о составе, содержании и направлении деятельности предприятия, что весьма интересно для конкурентов. Естественно, что такая информация им крайне необходима, и они приложат все силы, найдут необходимые способы, чтобы получить интересующие их сведения любыми способами.

Рассмотрим теперь каждый источник подробнее.

1. Персонал предприятия, допущенный к конфиденциальной информации.

В состав данной группы входят сотрудники, обслуживающий персонал, рабочие, продавцы товаров, клиенты, партнеры, поставщики, покупатели и др. Люди как один из источников конфиденциальной информации занимают особое место, являясь активным элементом, способным выступать не только источником, но и субъектом правонарушаемых действий. Люди считаются владельцами и распространителями сведений в рамках своих функциональных обязанностей.

Допуск организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны осуществляется путем получения ими лицензий на проведение работ со сведениями соответствующей степени секретности.

Лицензия выдается предприятиям при выполнении ими следующих условий:

ѕ выполнение требований нормативных документов по обеспечению защиты сведений, составляющих государственную тайну;

ѕ наличие подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны;

ѕ наличие сертифицированных средств защиты информации.

Граждане, которым по характеру занимаемой ими должности необходим доступ к государственной тайне, могут быть назначены на эти должности только после оформления допуска по соответствующей форме в установленном порядке. Под доступом к сведениям понимается санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

В соответствии со степенями секретности сведений, составляющих государственную тайну, устанавливаются следующие формы допуска:

При этом наличие допуска к сведениям более высокой степени секретности является основанием для доступа к сведениям более низкой степени секретности.

2. Носители конфиденциальной информации (документы, изделия).

Разнообразие форм и содержания документов по назначению, направленности, характеру движения и использования является весьма заманчивым источником для злоумышленников, что, естественно, привлекает их внимание к возможности получения интересующей информации.

Продукция является особым источником информации, за характеристиками которой весьма активно охотятся конкуренты. Особого внимания заслуживает новая, находящаяся в подготовке к производству продукция. Учитывается, что для продукции существуют определенные этапы «жизненного цикла»: замысел, макет, опытный образец, испытания, серийное производство, эксплуатация, модернизация и снятие с производства. Каждый из этих этапов сопровождается специфической информацией, проявляющейся самыми различными физическими эффектами, которые в виде демаскирующих признаков могут раскрыть охраняемые сведения.

3. Технические средства, предназначенные для хранения и обработки информации (оборудования).

Технические средства как источники конфиденциальной информации являются широкой и емкой в информационном плане группой источников. В группу средств обеспечения производственной деятельности входят самые различные средства, такие, в частности, как телефоны и телефонная связь, телевизоры и промышленные телевизионные установки, радиоприемники, радиотрансляционные системы, системы громкоговорящей связи, усилительные системы, кино системы, охранные и пожарные системы и другие, которые, по своим параметрам, могут являться источниками преобразования акустической информации в электрические и электромагнитные поля, способные образовывать электромагнитные каналы утечки конфиденциальной информации.

4. Средства коммуникации, используемые в целях передачи информации.

Коммуникацию можно рассматривать как форму деятельности, осуществляемую людьми, которая проявляется в обмене информацией, взаимовлиянии, взаимопереживании и взаимопонимании партнеров, сотрудников организации. Она характеризует общение как двухстороннюю деятельность людей, предполагающую взаимосвязь между ними, сопереживания, и обмен эмоциями. Коммуникация может решать разные задачи, но если коммуникацию рассматривать в рамках обмена конфиденциальной информацией о своей организации, то тут всё серьезно.Во многих компаниях к сотруднику, разгласившему секретные сведения, применяют следующие меры: налагают дисциплинарное взыскание, взыскивают убытки в суде. Некоторые работодатели просто увольняют провинившихся, считая, что распространение конфиденциальной информации является серьезным проступком. Действительно, такая возможность есть. Согласно п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем даже в случае однократного разглашения коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.

5. Передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию (телефонные переговоры, почтовые, телеграфные и иные сообщения).

В любой компании существует конфиденциальная информация, которая особенно тщательно оберегается от не имеющих к ней доступа сотрудников, а также конкурентов и поставщиков и которая может передавать по различным каналам связи. Вместе с тем определить степень секретности данных достаточно сложно. В итоге все сведения, связанные с деятельностью организации, начинают считать конфиденциальными. В результате возникают судебные споры, как с работниками, так и с другими компаниями.

Вид конфиденциальной информации

Информация, составляющая коммерческую тайну

Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам

Статья 3 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне»

Статья 26 Федерального закона от 02.12.1990 N 395-1 «О банках и банковской деятельности»

Адвокатская тайна, нотариальная тайна

Сведения, связанные с оказанием адвокатом юридической помощи своему доверителю; сведения, которые стали известны нотариусу в связи с его профессиональной деятельностью

Основы законодательства Российской Федерации о нотариате (утв. ВС РФ 11.02.1993 N 4462-1); ст. 8 Федерального закона от 31.05.2002 N 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации»

Сведения, связанные с аудитом организации

Любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением:

1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия;

2) сведений о заключении с аудируемым лицом договора о проведении обязательного аудита;

3) сведений о величине оплаты аудиторских услуг

Статья 9 Федерального закона от 30.12.2008 N 307-ФЗ «Об аудиторской деятельности»

1.2 Способы обмена информацией

Способы обмена конфиденциальной информацией (например, между сотрудниками предприятия) могут носить как непосредственный (личный) характер, так и характер передачи формируемых на основе информации сообщений посредством технических средств и средств коммуникаций (например, радио, СМИ, печать, компьютерные сети).

Выделим из существующих способов обмена конфиденциальной информацией организационные каналы передачи и обмена информацией (рисунок 2) и ниже рассмотрим некоторых из них более подробно.

1.2.1 Защищенный документооборот

Конфиденциальные, как и открытые документы, находятся в постоянном движении. Перемещение конфиденциальных документов по множеству иерархических уровней управления создает серьезные предпосылки для утраты ценной информации, требует осуществления защитных мер в отношении документопотоков и документооборота в целом.

Документооборот как объект защиты представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации в процессе управленческой и производственной деятельности пользователей (потребителей) этой информации.

При движении конфиденциальных документов по инстанциям увеличивается число источников (сотрудников, баз данных, рабочих материалов), обладающих ценными сведениями, в результате чего расширяются потенциальные возможности утраты конфиденциальной информации, ее разглашения персоналом, утечки по техническим каналам, исчезновения носителя этой информации.

Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в условиях организационного и технологического обеспечения безопасности, как носителя информации, так и самой информации.

Помимо общих для документооборота принципов, защищенный документооборот основывается на ряде следующих дополнительных принципов:

1. ограничения доступа персонала к документам, делам и базам данных деловой, служебной или производственной необходимостью;

2. персональной ответственности должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и документам;

3. персональной ответственности каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;

4. жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала, в т.ч. первых руководителей.

1.2.2 Защита информации при проведении совещаний

В ходе повседневной деятельности предприятий, связанной с использованием конфиденциальной информации, планируются и проводятся служебные совещания, на которых рассматриваются или обсуждаются вопросы конфиденциального характера. Прелатом обсуждения могут быть сведения, составляющие государственную тайну, вопросы конфиденциального характера, касаются проводимых предприятием научно-исследовательских, опытно-конструкторских и иных работ, предусмотренных его уставом, или коммерческой стороны его деятельности.

На рисунке 3 видно, что совещания могут быть двух видов.

Наиболее актуальны с точки зрения защиты информации совещания с участием представителей сторонних организаций (внешние совещания), так как вероятность утечки конфиденциальной информации при их проведении по сравнению с совещаниями, проводимыми в рамках одного предприятия (внутренними совещаниями), значительно выше. Поэтому внешнему совещанию в настоящей главе уделено особое внимание.

Непосредственно перед началом совещания его руководитель или должностное лицо, ответственное за его проведение, обязаны проинформировать участников совещания о степени конфиденциальности обсуждаемых вопросов.

На все время проведения совещания запрещается пронос в служебные помещения, в которых оно проводится, индивидуальных видео- и звукозаписывающих устройств, а также средств связи (в том числе мобильных телефонов и приемников персонального вызова). В целях обеспечения их сохранности организуется камера хранения личных вещей участников совещания.

Независимо от степени конфиденциальности рассматриваемых на совещании вопросов, участникам совещания не разрешается: информировать о факте, месте, времени проведения совещания, повестке дня, рассматриваемых вопросах и ходе их обсуждения любых лиц, не принимающих участия в совещании и не имеющих к нему непосредственного отношения; в ходе совещания производить выписки из документов и иных носителей конфиденциальной информации, используемых при обсуждении, на неучтенные в установленном порядке носители (отдельные листы бумаги и т.п.); обсуждать вопросы, вынесенные на совещание, в местах общего пользования во время перерывов в совещании и после его завершения; в ходе проведения совещания расширять объем конфиденциальной информации, используемой в выступлениях, а также при обмене мнениями и обсуждении рассматриваемых вопросов.

Во время перерывов в совещании, а также после завершения обсуждения одного вопроса и перехода к обсуждению следующего, сотрудники службы безопасности (службы охраны) организуют контроль посещения служебных помещений, в которых проводится совещание, его участниками в соответствии с утвержденным списком.

Носители конфиденциальной информации, имеющие соответствующий гриф секретности выдаются службой безопасности участникам совещания под расписку, а после окончания совещания возвращаются. Контроль своевременного возврата этих носителей осуществляют сотрудники указанных подразделений.

Итоговые документы совещания, а также материалы выступлений участников, в том числе и оформленные в электронном виде, в установленном порядке высылаются в организации, направлявшие на совещание своих представителей, а также в вышестоящие органы государственной власти (организации). Участникам совещания Рассылать документы, содержащие строго конфиденциальную информацию, не разрешается.

По окончании конфиденциального совещания помещение, в котором оно проходило, осматривается сотрудником службы безопасности, запирается, опечатывается и сдается под охрану.

1.2.3 Авторское право как форма защиты информации

Авторское право представляет собой одну из форм защиты интеллектуальной собственности, совокупность правовых норм, регулируемых отношений по поводу создания и использования произведений науки, культуры и искусства.

Авторское право действует в течение всей жизни автора и 70 лет после его смерти. Право авторства, право на имя, и право на защиту репутации автора охраняется бессрочно.

Авторские права и объекты авторского права делятся по нескольким категориям (рисунок 4).

Человек, обладающий исключительными авторскими правами на произведения, имеет единоличное право на его использование и может запрещать подобное использование произведения другими лицами. Исключительными правами обладает автор произведения, если он не передал свои права (не заключил Авторский договор о передаче исключительных прав) третьему лицу.

Лицу, обладающему неисключительными правами на произведение, разрешается использование произведения наравне с обладателем исключительных прав, передавшим такие права, и другим лицам, получившим разрешение на использование этого произведения таким же способом. Права, передаваемые по авторскому договору, считаются неисключительными, если в договоре прямо не предусмотрено иное.

Неимущественные авторские права это так называемые личные права (такие права, c которыми нельзя поступать как с имуществом: продавать, покупать, дарить, передавать, наследовать и т.д.)

Каналы передачи и обмена конфиденциальной информацией в ходе их функционирования могут быть подвергнуты негативному воздействию со стороны злоумышленников, направленному на получение этой информации.

Данное воздействие, в свою очередь, может привести к возникновению каналов утечки конфиденциальной информации и потребовать от руководства предприятия, руководителей структурных подразделений и персонала принятия мер по защите конфиденциальной информации. Каналом утечки информации называется бесконтрольный выход конфиденциальной информации за пределы информационной системы или круга лиц, которым она была доверена по службе или стала известна в процессе работы.

2.1 Причины утечки информации

Причин утечки информации существует большое количество, но основные причины утечки представлены на рисунке 5.

Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

ѕ запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);

ѕ нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

ѕ заражение компьютера вирусами;

ѕ проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации и др.

Причины утечки информации достаточно тесно связаны с видами утечки информации.

2.2 Виды утечки информации

утечка конфиденциальный документооборот авторский

Причины утечки информации достаточно тесно связаны с видами утечки информации. В соответствии с ГОСТ Р 50922-96 рассматриваются три вида утечки информации (таблица 2).

Вид утечки информации

Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.

Несанкционированный доступ к информации

Под несанкционированным доступом понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Получение защищаемой информации разведками (как отечественными, так и иностранными)

Получение защищаемой информации разведками может осуществиться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).

Для определения необходимых мер по защите информации нужно провести классификацию всех возможных каналов утечки информации в зависимости от направлений и специфики деятельности предприятия, видов конфиденциальной информации, особенностей функционирования системы защиты информации и иных факторов.

2.3 Классификация каналов утечки

Организационные каналы утечки конфиденциальной информации, возникающие в процессе деятельности предприятия, подразделены в табл. 2.

Виды организационного канала утечки

По источникам угроз защищаемой информации

внешние и внутренние;

Примером внешних угроз являются хакеры и криминальные структуры и недобросовестные партнеры и конкуренты.

Внутренними источниками угрозами на предприятии могут быть менеджеры, сотрудники и др.

По видам конфиденциальной информации или тайн

служебные или иные тайны; персональные данные сотрудников предприятия

По источникам конфиденциальной информации

персонал, носители информации, технические средства хранения и обработки информации, средства коммуникации, передаваемые или принимаемые сообщения и т.п.;

Наиболее опасным источником угроз является человек. Он может производить широкий спектр различных негативных воздействий на информацию как преднамеренных, так и непреднамеренных (случайных). В том числе, наиболее распространенной причиной реализации угроз информационной безопасности российских работодателей является безответственность их персонала. Она проявляется в нарушении сотрудниками действующих на предприятии требований по обеспечению информационной безопасности, что приводит к утечке конфиденциальных сведений в самых различных формах.

По способам или средствам доступа к защищаемой информации

применение технических средств, непосредственная и целенаправленная работа с персоналом предприятия, осуществление непосредственного доступа к информации, получение доступа к защищаемой информации агентурным путем;

Средства обработки, передачи и хранения информации могут представлять для нее угрозу в случае выхода их из строя или появления сбоев в работе. Кроме того, при обработке информации с помощью ЭВМ необходимо организовать защиту от возникающих в процессе Работы побочных электромагнитных излучений и наводок.

Стихийные бедствия и природные явления могут создавать аварийные ситуации, при которых средства вычислительной техники выходят из строя или временно находятся в нерабочем состоянии.

По продолжительности или времени действия

каналы утечки постоянного, кратковременного, а также периодического или эпизодического действия;

В постоянном канале утечка информации носит достаточно регулярный характер. Например, наличие в кабинете источника опасного сигнала может привести к передаче из кабинета речевой информации до момента обнаружения этого источника. Периодический канал утечки может возникнуть при условии, например, размещения во дворе не укрытой продукции, демаскирующие признаки о которой составляют тайну, во время пролетов разведывательных космических аппаратов. К эпизодическим каналам относятся каналы, утечка информации в которых имеет разовый случайный характер.

По направлениям деятельности предприятия

каналы утечки, возникающие в обычных условиях или при повседневной деятельности предприятия, при выполнении совместных работ, осуществлении международного сотрудничества, проведении совещаний, выезде персонала за границу, в ходе рекламной и публикаторской или издательской деятельности, при проведении научных исследований или командировании сотрудников предприятия

По причинам возникновения каналов утечки информации

действия злоумышленников, ошибки персонала, разглашение конфиденциальной информации, случайные обстоятельства

По каналам коммуникации, используемым для передачи, приема или обработки конфиденциальной информации

каналы утечки, возникающие при хранении, приеме-передаче, обработке или преобразовании информации, а также в канале связи, по которому передается информация

По месту возникновения каналов утечки информации

По используемым способам и методам защиты информации

каналы утечки, возникающие при нарушении установленных требований по порядку отнесения информации к категории конфиденциальной, обращения с носителями информации, ограничения круга допускаемых к информации лиц, непосредственного доступа к информации персонала предприятия или командированных лиц, а также по причине нарушения требований пропускного или внутриобъектового режимов

Помимо выше предложенной классификации предлагается другая классификация, где все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые каналы соответственно требуют доступа к аппаратному обеспечению и данным информационной системы.

Примеры косвенных каналов утечки:

ѕ Кража или утеря носителей информации, исследование не уничтоженного мусора;

ѕ Дистанционное фотографирование, прослушивание;

ѕ Перехват электромагнитных излучений.

Примеры прямых каналов утечки:

ѕ Инсайдеры (человеческий фактор). Утечка информации вследствие несоблюдения коммерческой тайны;

ѕ Прямое копирование.

3. Угрозы утечки конфиденциальной информации

Деятельность современных организаций требует хранения и использования все больших объемов информации, чему способствует снижение стоимости вычислительной мощности, пропускной способности сетей и систем хранения.

Вместе с этим растут риски (угрозы) утечки информации, давление со стороны регулирующих органов и ожидания заинтересованных лиц в отношении защищенности информации.

Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath), представленные на рисунке 6.

Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное программное обеспечение.

Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение.

Риск утечки информации складывается из ценности этой информации для организации и вероятности утечки.

4. Способы и методы предотвращения утечки информации

Интерес к вопросам безопасности информации не случаен. Корпоративные системы электронного документооборота, бухгалтерского учета и управления базами данных получили широкое распространение в развитых странах уже в первой половине 70-х гг. С развитием компьютерных технологий, по мере снижения их стоимости, роста возможностей и доступности компьютеров, все больше компаний переходят на автоматизированные системы учета. В результате увеличиваются как объем информации, хранящейся на различных электронных носителях, так и ее ценность (которая, в первую очередь, определяется суммой возможных убытков при потере данных или их попадании к конкуренту). И тут-то выясняется, что электронные средства хранения даже более уязвимы, чем бумажные; размещаемые на них данные можно и уничтожить, и скопировать, и незаметно видоизменить. Последнее, кстати, представляет наибольшую опасность для компаний. Рассмотрим построение корпоративной сети и ее защиты.

Сформулируем общие требования к корпоративной VPN:

1. Все задачи администрирования должны решаться непосредственно администратором безопасности централизованно (в состав VPN должен входить АРМ администратора безопасности);

4.1 Подходы к построению корпоративной сети, реализованной в ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003»