Возможные каналы утечки информации на предприятии Текст научной статьи по специальности «Компьютерные и информационные науки»

ВОЗМОЖНЫЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ А.В. Годырева

Научный руководитель - к.т.н., доцент Н.С. Кармановский

Для сохранения информации следует определить потенциальные и реальные каналы утечки информации. Утечка информации может происходить как из-за неорганизованности и небрежности в работе сотрудников предприятия, так и в результате экономического и промышленного шпионажа. В данной статье рассматриваются возможные каналы утечки информации и меры по предотвращению утечки конфиденциальной информации.

Известно, что до 70-80% утечки информации связаны с действием сотрудников компании, работающих на предприятии, а также уволенными сотрудниками. Практика показывает, что мотивация совершения подобных действий может быть самой различной. С повышением значимости и ценности информации растет и важность ее защиты. Утечка или утрата информации влечет за собой материальный ущерб. Кроме того, информация - это фактор управления. Несанкционированное вмешательство в управление может привести к катастрофическим последствиям в объекте управления - производстве, транспорте, военном деле. Если в организации присутствует конфиденциальная информация, то в ней, в первую очередь, должны быть приняты меры по защите информации от различных угроз.

Ущерб от раскрытия конфиденциальной информации может выражаться в потере преимуществ, упущенной коммерческой выгоде, санкциях со стороны органов управления, административной и уголовной ответственности, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, о планируемых кадровых перестановках и т. п.

Конфиденциальная информация - это информация, доступ к которой ограничен кругом доверенных пользователей.

Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду [1].

Защита от утечки конфиденциальной информации - задача достаточно сложная. Возрастающее использование электронной почты, интернет-пейджеров и других средств передачи данных, распространенность мобильных устройств, с помощью которых сотрудники могут выносить важную информацию за пределы организации - все это значительно осложняет контроль над потоками данных. Конкретное определение угрозы и стратегия ее предотвращения - обусловлены тремя основными вопросами.

■ Какая информация является конфиденциальной и нуждается в защите от несанкционированного разглашения?

■ Как может произойти утечка информации, т.е. где она хранится, в каких производственных процессах используется, какие точки выхода следует защитить?

■ Каким группам пользователей разрешен доступ к конфиденциальной информации, какие пользователи являются наиболее вероятными «кандидатами», способными создать бреши для утечки информации, и нуждаются в более пристальном наблюдении [2]?

Виды угроз

Угрозы можно разделить на два класса: естественные (объективные) и искусственные (субъективные). Естественные угрозы - это угрозы, не связанные с деятельно-

стью человека. Искусственные угрозы - это угрозы, вызванные деятельностью человека. Искусственные угрозы можно разделить на:

■ непреднамеренные угрозы - несознательно наносимый вред. Субъект таких угроз называется нарушителем;

■ преднамеренные или умышленные угрозы - это угрозы, при которых человек сознательно совершает вред. Субъект таких угроз называется злоумышленником.

Умышленные угрозы могут проявляться различными путями:

■ внедрение злоумышленника в персонал предприятия;

■ вербовка персонала;

■ несанкционированное проникновение на территорию объекта;

■ дистанционное воздействие и наблюдение.

В таблице содержится информация об угрозах, которые может совершить нарушитель и злоумышленник [3].

Субъекты угроз

Злоу мышленник

Виды угроз Стихия Нарушитель На территории предприятия Вне территории предприятия

Травмы и гибель лю-

дей + + + +

Повреждение обору-

дования и техники + + + +

Повреждение системы жизнеобеспечения + + + +

Несанкционированное

изменение технологии + +

производства

Использование нерег-

ламентированных тех- + +

нических и программ-

ных средств

Хищение материаль-

ных ценностей +

Уничтожение или пе-

рехват данных путем

хищение носителей +

Устное разглашение конфиденциальной информации +

Несанкционированный съем информации + +

Нарушение правил

эксплуатации средств + +

защиты

Таблица. Виды угроз

Наиболее опасные виды информационных угроз - это несанкционированный сбор информации, модификация информации, утечка и уничтожение.

Разделим все источники угроз на внешние и внутренние. Источниками внутренних угроз являются:

■ сотрудники организации;

■ программное обеспечение;

■ аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

■ ошибки пользователей и системных администраторов;

■ нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;

■ ошибки в работе программного обеспечения;

■ отказы и сбои в работе компьютерного оборудования. К внешним источникам угроз относятся:

■ компьютерные вирусы и вредоносные программы;

■ деятельность отдельных «внешних» организаций и связанных с ними лиц;

■ стихийные бедствия.

Формами проявления внешних угроз являются:

■ заражение компьютеров вирусами или вредоносными программами;

■ несанкционированный доступ (НСД) к корпоративной информации;

■ информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;

■ действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;

■ аварии, пожары, техногенные катастрофы.

Отдельно следует рассмотреть информационную угрозу, связанную с деятельностью конкурентов. Угроза может проявляться в виде переманивания специалистов, внедрения своих специалистов на предприятие, проведения дистанционного съема информации. Реальную угрозу организации представляют уволенные сотрудники. Уволенные сотрудники могут передавать информацию конкурентам, создавать аналогичное конкурентное предприятие. Одним из важнейших направлений профилактики утечки информации является своевременное заключение с сотрудниками предприятия соглашений о неразглашении конфиденциальной информации, что защищает фирму юридически.

Каналы утечки информации

Наиболее распространенные из них имеют характер неумышленного раскрытия информации сотрудниками по причине слабой профилактической работы на предприятии, слабого владения правилами работы с конфиденциальной информацией и неумением определять степень ее конфиденциальности.

Каналы утечки информации можно разбить на четыре группы [3].

Первая группа - каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы. Это каналы, образующиеся за счет перехвата электромагнитных излучений и наводок, применения подслушивающих устройств и т.п.

Вторая группа - каналы, связанные с доступом к элементам системы и изменением структуры ее компонентов. К ней относятся: хищение и копирование носителей информации; наблюдение за информацией в процессе обработки с целью ее запоминания; чтение остаточной информации, т.е. данных, остающихся на магнитных носителях после выполнения заданий.

Третья группа - незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи; злоумышленный вывод из строя меха-

низмов защиты; злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации.

Четвертая группа - несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб; получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.

Представленная классификация каналов утечки конфиденциальной информации показывает очевидность того, что проблему утечки информации нельзя решить каким-либо одним способом, тем более решить ее полностью. Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес-процессов организации. Оптимальный подход заключается в сочетании разумного доступа со строгой регламентацией работы с конфиденциальной информацией. В данном случае это означает необходимость создания системы организационно-технический мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без существенного снижения эффективности бизнес процессов. В отсутствие такой системы информационные риски для бизнеса неприемлемо высоки, а права на юридическую защиту интересов организации, как собственника информации, нереализуемы.

Способы предотвращение утечки конфиденциальной информации

Система предотвращения утечки конфиденциальной информации может включать в себя три основные составляющие.

■ Работа с персоналом.

Основным источником утечки информации является персонал. Человеческий фактор способен свести на нет любые самые изощренные механизмы безопасности. Основные принципы и правила управления персоналом определены в международном стандарте КОЛЕС 17799:2000. Соблюдение этих правил позволяет существенно снизить влияние человеческого фактора, избежать характерных ошибок и предотвратить утечку информации [2].

■ Политика безопасности.

Политика безопасности организации - совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которыми руководствуется организация в своей деятельности.

Основные направления разработки политики безопасности:

- классификация данных по необходимой степени защищенности;

- определение субъекта и размера ущерба, наносимого фирме в информационном аспекте,

- вычисление рисков и определение схемы уменьшения их до приемлемой величины.

■ Сервисы безопасности.

Сервисы безопасности используются для ограничения доступа к информации, протоколирования фактов осуществления доступа и контроля информационных потоков. Они позволяют обеспечить предупреждение, предотвращение, обнаружение и реагирование на инциденты, связанные с утечкой информации. К числу сервисов безопасности относятся: сервисы аутентификации, управления доступом, шифрования, и аудита безопасности [3].

Любой руководитель заинтересован в предотвращении утечки конфиденциальной информации. Прежде чем предпринимать меры по защите конфиденциальной информации, следует определить ее ценность и постараться, чтобы затраты на обеспечение ее

конфиденциальности не превосходили ее реальную стоимость. К основным способам предотвращения потери ценной информации относятся:

■ организационные;

■ правовые;

■ технические.

Основные организационные мероприятия по обеспечению предотвращения утечки информации можно условно разделить на два вида:

■ определение концепции кадровой политики и критериев подбора персонала; подбор служащих, текущая работа с постоянными сотрудниками, и их социальная защита;

■ реализация мер по определению степени конфиденциальных сведений и обеспечение разграничения доступа: классификация документов по степени важности и конфиденциальности, определение режима их хранения, допуска к ним, учета.

Организационные меры и мероприятия связаны с управлением предприятием и относятся к таким действиям, которые сводят к минимуму информационную уязвимость предприятия. К компетенции администрации предприятия относится создание оптимальных условий, обеспечивающих безопасность предприятия.

Меры по созданию оптимального режима, обеспечивающие безопасность предприятия, включают следующие действия:

1. организацию пропускного режима на предприятие;

2. организацию соответствующего режима конфиденциальности в соответствии с законодательством; регистрацию сотрудников, включая посетителей, имеющих доступ к конфиденциальной информации;

3. разграничение документации по степени конфиденциальности и разграничение доступа к информации;

4. регулярные профилактические работы с работниками предприятия;

С этой целью на предприятии желательно создать специальную аналитическую группу информационной безопасности, которая будет:

■ заниматься определением ценности имеющейся информации;

■ изучать клиентов фирмы;

■ определять потенциальных конкурентов;

■ осуществлять контроль за рекламой, деловыми контактами, следить за конкуренцией и т. п.

Что касается правового аспекта предотвращения потери ценной информации, следует опираться на нормы действующего законодательства и договорные отношения.

Важной основой правовой защиты коммерческой информации является заключение коммерческих договоров и соглашений, включающих вопросы обеспечения конфиденциальности. Технические средства защиты информации даже при их высокой стоимости не гарантируют полную защиту информации без реализации перечисленных выше мер. К техническим средствам защиты информации относятся разнообразные механические, электромеханические, электронные и другие устройства и системы, которые в совокупности с другими средствами способствуют защите информации предприятия. Технические средства позволяют автоматизировать охрану помещений и снизить возможность утечки информации по другим каналам.

При подборе технических средств защиты следует исходить из разумных соображений и возможностей предпринимателя. Прежде всего, необходимо предусмотреть:

■ физическую изоляцию территорий, зданий, помещений;

■ оборудование окон решетками, установку специальных дверей;

■ оснащение их датчиками систем охранной сигнализации;

■ выделение специализированных помещений для техники;

■ защиту носителей информации и аппаратуры от похищения;

■ регламентацию технологических процессов;

■ разработку инструкций для персонала;

■ применение специальных технических средств, исключающих прослушивание и перехват информации;

■ контроль и проверку средств защиты.

Заключение

Утечка или утрата информации влечет за собой материальный ущерб. В данной статье рассмотрены вопросы, связанные с организацией защиты от утечки конфиденциальной информации. Проведена классификация существующих угроз и каналов утечки информации, использование которых влечет серьезные последствия для предприятия. Существуют каналы утечки информации, образующиеся за счет перехвата электромагнитных излучений и наводок, применения подслушивающих устройств, хищения и копирования носителей информации; наблюдения за информацией в процессе обработки с целью ее запоминания; чтения остаточной информации, незаконного подключения специальной регистрирующей аппаратуры к устройствам системы или линиям связи; злоумышленного вывода из строя механизмов защиты; злоумышленного изменения программ, несанкционированного получения информации путем подкупа или шантажа должностных лиц соответствующих служб; получения информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.

Определено, что проблему утечки информации нельзя решить каким-либо одним способом. Необходимо создание организационно-технической системы, позволяющей перекрыть каналы утечки конфиденциальной информации. Основными составляющими такой системы являются политика безопасности, работа с персоналом, сервисы безопасности. Рассмотрены способы предотвращения утечки конфиденциальной информации: организационные, правовые и технические мероприятия.

Литература

1. Федеральный закон Российской Федерации от 29 июля 2004 г. №98-ФЗ О коммерческой тайне.

2. Максимов Ю.Н., Сонников В.Г. и др. Шпионские штучки. Технические методы и средства защиты информации. - СПб: Полигон, 2000. - 320 с.

3. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. - М.: НТЦ «ФИОРД-ИНФО», 2002. - 272с.