Характеристика организационных и технических мер инженерно-технической защиты информации в государственных структурах

Представленный порядок перечисления этих функций является схематичным, хотя в основном и соответствует последовательному прохождению данных по замкнутому информационному контуру системы управления. В действительности те или иные функции и соответствующие офисные технологии реализуются и вне указанного порядка.

Так, сбор данных осуществляется не только в связи с оценкой параметров управляемого процесса, но и при изучении общей ситуации для принятия решений стратегического и долгосрочного характера, когда источники информации находятся вне системы управления.

Накопление данных может осуществляться и внутри решающего элемента при необходимости подготовки управленческих решений, связанных с плановой и аналитической деятельностью.

Регистрация данных реализуется тогда, когда на различных стадиях подготовки и принятия решений происходит изменение формы восприятия информации или смена вида носителя данных.

Передача и хранение данных осуществляются всякий раз, когда в процессе движения информации изменяются ее пространственные и временные координаты.

Такая же ситуация и с другими функциями офисных технологий.

1.5. Технологии защиты данных

Реализация функции защиты данных преследует две цели:

- обеспечение целостности данных, т. е. сохранности информации как таковой;

- охрана данных от несанкционированного доступа.

Обеспечение целостности данных предусматривает прежде всего сохранение неизменными (или в допустимом диапазоне) тех свойств носителя информации, которые обеспечивают ее фиксирование и хранение в одном и том же виде в течение требуемого интервала времени.

Это относится к таким материально-вещественным носителям, как бумага, магнитные пленки и диски, различные проекционные материалы (фотопленки, слайды, микрофиши и т. п.), оптические диски. Их сохранность обеспечивается соблюдением надлежащих условий хранения и использования, вытекающих из физико-химических свойств носителей.

Иначе обстоит дело в тех случаях, когда носителем является передающая среда систем коммуникаций. Здесь целостность передаваемых данных во многом зависит от надежности используемых средств связи и задействованных при передаче информации технологий. В подавляющем большинстве случаев эти технологии либо реализуются предприятиями связи, находящимися вне офиса, либо выполняются автоматически соответствующей коммуникационной аппаратурой.

Охрана данных от несанкционированного доступа предусматривает защиту как носителей, так и самих данных.

Защита материально-вещественных носителей обеспечивается определенной системой работы с ними, когда все офисные технологии, связанные с ними, выполняются таким образом, чтобы ограничить или вовсе запретить доступ к ним. Реализация такого режима связана в основном с мерами организационного характера и выступает в форме специальной регламентации уже рассмотренных офисных технологий практически для всех их функций.

Что касается охраны от несанкционированного доступа передающей среды систем коммуникаций, то здесь в основном используются методы и технологии защиты каналов связи, реализуемые специальными техническими средствами и службами.

Защита от несанкционированного доступа собственно данных достаточно разнообразна и может предусматривать:

- криптографические средства как при хранении и использовании данных (программы шифровки и дешифровки), так и при их передаче (например, скремблирование);

- условный доступ, когда для использования данных необходимо выполнение определенных требований (задание имени и пароля, соблюдение временных ограничений, выполнение определенных организационных процедур и т. п.).

Выводы по разделу

Офисная деятельность - это определенным образом организованная в пространстве и времени совокупность действий множества людей (персонала), реализация которых обеспечивает условия эффективного выполнения управленческой деятельности для конкретной системы, управления.

Управленческое решение принимается тогда, когда выявлена та или иная управленческая проблема, проблемная ситуация, т. е. такое положение, когда при наличии данного, существующего состояния управляемого объекта (процесса) возникает необходимость другого, поскольку сохранение данного состояния мешает нормальному его функционированию, совершенствованию и развитию

Состав специалистов, выполняющих задачи в рамках офисной деятельности, определяется необходимым ее объемом в конкретных пространственных и временных конфигурациях управленческой деятельности соответствующими нормативными документами (квалификационными справочниками) и может включать в себя как собственно управленческий персонал (лиц, принимающих и готовящих решения), так и персонал, обеспечивающий информационную и организационную поддержку процесса выработки и принятия решения.

Квалификация офисного персонала определяется, прежде всего, наличием соответствующей профессиональной подготовки.

Определение цели, задачи (или задач) офисной деятельности определяется ее содержанием как процесса, обеспечивающего эффективную реализацию управленческой деятельности в рамках конкретной системы управления.

Офисная технология - информационная технология, объект и результат которой определяются потребностями реализации управленческой деятельности в рамках конкретной формы осуществления офисной деятельности (офиса).

Реализация функции защиты данных преследует две цели:

- обеспечение целостности данных, т. е. сохранности информации как таковой;

- охрана данных от несанкционированного доступа.

Защита от несанкционированного доступа собственно данных достаточно разнообразна и может предусматривать:

- криптографические средства как при хранении и использовании данных (программы шифровки и дешифровки), так и при их передаче (например, скремблирование);

- условный доступ, когда для использования данных необходимо выполнение определенных требований (задание имени и пароля, соблюдение временных ограничений, выполнение определенных организационных процедур и т. п.).

2 ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ

2.1. Информационная безопасность предпринимательской деятельности

В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности.

Безопасность в широком смысле определяется как состояние защищенности чего-либо от различных опасностей, состояние, при котором есть реальная гарантия сохранения этого состояния на протяжении определенного времени. По сути это сформированная концепция построения любой системы защиты.

Экономическая безопасность предпринимательской деятельности предусматривает защищенность интеллектуальной собственности и интересов предприятия или предпринимателя независимо от масштаба их присутствия в конкретной сфере бизнеса. Экономическая безопасность характеризуется сложной иерархической структурой, включающей в качестве основных частей правовую безопасность, маркетинговую безопасность, информационную безопасность и физическую безопасность предприятия. Все части являются обязательными и формируют модель защищенности производственных и коммерческих интересов предпринимателя.

Правовая безопасность требует построения программной схемы решения вопросов, связанных с обеспечением законности деятельности предпринимателя, соблюдения им правовых норм при организации функционирования предприятия, составлении и ведении документации, патентовании технических и технологических новшеств, принятии решений, построении деловых связей, защите информации и в других случаях.

Маркетинговая безопасность предполагает формирование программы ведения аналитических исследований рынка, деловых интересов добросовестных конкурентов, анализ направленности интересов недобросовестных конкурентов и криминальной среды, организации разведки в бизнесе, аналитической работы по выявлению экономических угроз предприятию, каналов утраты ценной информации, расчета экономической целесообразности системы защиты информации, ее стоимости и других главных направлений деятельности предприятия.

Физическая безопасность предусматривает формирование и совершенствование системы охраны территории, здания, помещений, транспорта, продукции, персонала предприятия, расширения использования технических средств охраны, сигнализации и информирования, регламентацию действий персонала в экстремальных ситуациях и других соответствующих мероприятий.

Одной из составных частей экономической безопасности является информационная безопасность, направленная на разработку и актуализацию программы построения аналитической работы по определению состава ценной информации предприятия, угроз информации, по формированию системы защиты информации в традиционном и электронном документооборотах, защиты информации от персонала, защиты информации в технических каналах распространения информации и т. д.

Проблемы информационной безопасности становятся все более сложными и практически значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

Раньше главная опасность состояла в краже документов и разглашении информации сотрудниками, что могло быть достаточно легко выявлено. В наши дни широко развито незаконное оперирование электронными документами в компьютерных базах данных, копирование электронной информации без фактической кражи носителя информации. Обнаружить подобную кражу практически крайне сложно.

Информационная безопасность носит концептуальный (программный) характер и предполагает регламентацию решения комплекса задач поддержания безопасности информационных ресурсов предприятия (фирмы). Часто информационная безопасность понимается как совокупность задач, требований по сохранению в тайне интеллектуальных секретов фирмы. Следует помнить, что любой материальный объект, любое новшество объективно отражается в нашем сознании в виде совокупности информационных характеристик.

Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы и условиях экстремальных ситуаций: стихийных бедствий, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных.

Безопасность информации на любых носителях трактуется как состояние ее защищенности от случайных и преднамеренных несанкционированных воздействий естественного и искусственного свойства, направленных на уничтожение, разрушение, видоизменение тех или иных данных, изменение степени доступности ценных сведений.

Необходимый уровень безопасности информационных ресурсов определяется в процессе различных аналитических исследований, которые предопределяют структуру и требуемую эффективность системы защиты этих ресурсов с учетом финансовых возможностей фирмы.

Политика (концепция, программа) информационной безопасности фирмы практически реализуется комплексом направлений и методов защиты информации, обеспечивающим ее безопасность. Защита информации представляет собой жестко регламентированный и динамичный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы. Если программа информационной безопасности отражает предполагаемую идеальную защищенность информации, то защита информации - это реальная динамичная модель решения задач, поставленных в программе.

Предполагается, что защита информации осуществляется прежде всего от несанкционированного доступа к ней постороннего лица, который в результате этого доступа имеет возможность похитить информацию, уничтожить носитель, фальсифицировать сведения, произвести подмену документов или совершить иные злоумышленные действия.

Следовательно, информационная безопасность, безопасность информации и защита информации связаны единой целью, решаемыми задачами и последовательной реализацией их в условиях необходимости обеспечения экономической безопасности предприятия.

2.2. Информационные ресурсы, продукты и услуги

В соответствии с Федеральным законом «Об информации, информатизации и защите информации» информационные ресурсы предприятия, организации, учреждения, банка, компании и других государственных и негосударственных, в том числе предпринимательских, структур (далее по тексту - фирмы) включают в себя отдельные документы и отдельные массивы документов (дела), документы и комплексы документов в информационных системах (библиотеках, архивах, фондах, банках данных компьютеров и других информационных системах) на любых носителях, в том числе обеспечивающих работу вычислительной и организационной техники.

Информационные ресурсы формируются в процессе создания и распространения исходной и производной информации. Этот процесс сопровождает любую производственную и управленческую деятельность в государственной и негосударственной сферах, а также жизнь гражданина. Для информационных ресурсов характерен ретроспективный аспект, что определяется технологической завершенностью их возникновения.

Информационные ресурсы (информация) являются объектами отношений физических и юридических лиц между собой и с государством, составляют в совокупности информационные ресурсы России и охраняются законом наряду с другими видами ресурсов.

Информация, которая используется предпринимателем в бизнесе и управлении фирмой, является его собственной или частной информацией. Такая информация составляет интеллектуальную собственность предпринимателя. К интеллектуальной собственности (интеллектуальному продукту) как результату творческого труда относят коммерчески ценную идею, технические, технологические (ноу-хау) и научные (ноу-ноу) новшества, оригинальные методы управления, организации бизнеса и другие достижения. Информация как результат творчества может быть не только предметом интеллектуальной собственности, но и отражать характеристики, свойственные объекту интеллектуальной собственности.

Практическая реализация концепции информационных ресурсов связана с распространением информации путем подготовки информационных продуктов и предоставления информационных услуг. Информационные продукты - документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей пользователей. Информационные услуги - действия субъектов (собственников и владельцев ресурсов) по обеспечению пользователей информационными продуктами.

Правовой режим информационных ресурсов определяется нормами, устанавливающими:

- порядок документирования информации;

- право собственности на отдельные документы и отдельные массивы документов;

- категорию информации по уровню доступа к ней;

- порядок правовой охраны информации.

Документирование информации (создание официального документа) является обязательным условием включения информации в информационные ресурсы. Но следует оговориться, что при формировании системы защиты информации нас интересует также информация, представленная в недокументированном виде - в виде звуковой волны, электромагнитного излучения и в другой форме.

Документированная информация является комплексным понятием, основанным на ее двуединстве: с одной стороны, это информация (факты, данные, сведения), а с другой - материальный носитель. В процессе документирования информация (результат творческой работы человека) овеществляется, становится документом. Подобный подход к документированной информации представляется существенным при решении задач обеспечения безопасности информации и сохранности ее носителя.

Следует учитывать, что документ может быть не только и даже не столько управленческим (деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму. Значительно большие объемы наиболее ценных документов представлены в изобразительной форме: конструкторские документы, картографические, научно-технические, документы на фотографических, магнитных и иных носителях.

По принадлежности к тому или иному виду собственности информационные ресурсы могут быть государственными или негосударственными и как элемент состава имущества находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур. Защите, охране подлежит любая ценная документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу.

Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т. д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении.

Обычно выделяются два вида информации, интеллектуально ценной для предпринимателя:

- техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, рецептуры, расчеты, результаты испытаний опытных образцов, данные контроля качества и т. п.;

- деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т. п.

Ценная информация охраняется нормами права (патентного, авторского, смежных прав и др.), товарным знаком или защищается включением ее в категорию информации, составляющей тайну фирмы.

Процесс выявления и регламентации реального состава ценной информации, в том числе составляющей секреты фирмы, является основополагающей частью системы защиты информации.

Состав этих сведений фиксируется в специальном перечне, закрепляющем факт отнесения их к защищаемой информации и определяющем период (срок) конфиденциальности (т. е. недоступности для всех) этих сведений, уровень (гриф) их конфиденциальности, список сотрудников фирмы, которым дано право использовать эти сведения в работе. В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля. Перечень является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения («изюминки») о каждой работе фирмы. Следует отметить, что нельзя ограничивать доступ к информации, относящейся к новой продукции, но не имеющей интеллектуальной ценности.

Дополнительно может составляться перечень документов, в которых ценная информация отражается (документируется). В перечень включаются документы, представляющие ценность для фирмы и подлежащие охране. Часто обычный открытый правовой акт важно сохранить в целостности и безопасности от похитителя или стихийного бедствия. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта комиссия регулярно вносит текущие изменения в перечни в соответствии С динамикой выполнения фирмой конкретных работ.

При заключении любого договора (контракта) стороны должны брать на себя взаимные письменные обязательства по защите конфиденциальной информации другой стороны и документов, полученных при переговорах, исполнении условий договора.

Производственная или коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, а также временем до патентования, опубликования и перехода в число общеизвестных.

Следовательно, информационные ресурсы, продукты и услуги, регламентирующие их правовые нормы интеллектуальной и вещной собственности на информацию, находят конкретное отражение в информационной модели каждой фирмы, построенной в соответствии с уровнем ценности циркулирующих сведений, которые обеспечивают управленческие и производственные функции.

2.3. Конфиденциальность как главное условие защиты информации от несанкционированного доступа

В соответствии с интересами обеспечения национальной безопасности и степенью ценности для государства, а также правовыми, экономическими и другими интересами предпринимательских структур информационные ресурсы могут быть: а) открытыми, т. е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях и интервью; б) ограниченного доступа и использования, т. е. содержащими сведения, составляющие тот или иной вид тайны (государственной, служебной, коммерческой, профессиональной и др.) и подлежащие защите, охране, наблюдению и контролю.

Запрещается относить к информации ограниченного доступа:

- законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

- документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;

- документы, содержащие информацию о деятельности органов государственной власти, исполнительных органов и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;

- документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные.

Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой или предпринимательской, банковской, профессиональной, производственной и др.) или содержащие персональные данные граждан, именуются конфиденциальными.

Несмотря на то что конфиденциальность является синонимом секретности, термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне. Конфиденциальность отражает ограничение, которое накладывает собственник информации на доступ к ней других лиц, т. е. собственник устанавливает правовой режим этой информации в соответствии с законом. Вместе с тем в соответствии с Федеральным законом Российской Федерации от 29 июля 2004 г. «О коммерческой тайне» к конфиденциальным документам нельзя относить:

1) сведения, содержащиеся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) сведения, содержащиеся в документах, дающих право на осуществление предпринимательской деятельности;

3) сведения о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) сведения о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) сведения о численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) сведения о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) сведения о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) сведения об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) сведения о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) сведения о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) сведения, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Интеллектуально ценная информация не может существовать вне определенных предметных образований. Накопители ценных информационных ресурсов называются источниками (носителями, обладателями) информации. Они представляют собой пассивные концентраторы этой информации и включают в себя:

- публикации о фирме и ее разработках;

- рекламные издания, выставочные материалы;

- документацию;

- персонал фирмы и окружающих фирму людей;

- физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи.

Источники содержат информацию как открытого, так и ограниченного доступа. Причем информация того и другого рода находится в едином информационном пространстве и разделить ее без тщательного содержательного анализа часто не представляется возможным. Например, систематизированная совокупность открытой информации в комплексе всегда содержит сведения ограниченного доступа.

Документация как источник информации ограниченного доступа включает:

- документацию, содержащую интеллектуально ценные, как правило, конфиденциальные сведения;

- комплексы обычной деловой и научно-технической документации, содержащей общеизвестные сведения, организационно-правовые и распорядительные документы;

- рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по производственным вопросам;

- личные архивы сотрудников фирмы.

В каждой из указанных групп могут быть:

- документы на традиционных бумажных носителях (листах бумаги, ватмане, фотобумаге и т. п.);

- документы на технических носителях (магнитных, фотопленочных и т. п.);

- электронные документы, банки электронных документов, изображения документов на экране дисплея (видеограммы).

При выполнении управленческих и производственных действий любая информация источника (в том числе информация ограниченного доступа) всегда распространяется во внешней среде. Тем самым увеличивается число опасных источников разглашения или утечки информации ограниченного доступа, источников, подлежащих учету и контролю.

Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:

- деловые, управленческие, торговые, научные и другие коммуникативные регламентированные связи;

- документопотоки;

- информационные сети;

- естественные технические каналы излучения, создания фона.

Канал распространения информации представляет собой путь перемещения сведений из одного источника в другой в санкционированном (разрешенном, законном) режиме или в силу объективных закономерностей. Например: передача документа исполнителю, обсуждение важного вопроса на закрытом совещании, запись на бумаге содержания изобретения, переговоры с потенциальным партнером, работа на ЭВМ и т. д.

Следовательно, информационные ресурсы фирмы представляют собой динамичную категорию, что проявляется прежде всего в процессе документирования информации, объективном возникновении и расширении состава источников и каналов ее распространения.

2.4. Конфиденциальные документы

Под конфиденциальным (закрытым, защищаемым) документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица. Конфиденциальные документы не следует называть секретными или ставить на них гриф секретности, так как конфиденциальные и секретные документы отражают различные виды тайны.

Конфиденциальные документы включают в себя:

- в государственных структурах: служебную информацию ограниченного распространения, именуемую в чиновничьем обиходе информацией для служебного пользования, т. е. информацией, отнесенной к служебной тайне, а также документы, имеющие рабочий характер и не подлежащие публикации в открытой печати (проекты документов, сопутствующие материалы и др.);

- в предпринимательских структурах и направлениях подобной деятельности: сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне фирмы, тайне мастерства, другим видам негосударственной тайны;

- независимо от принадлежности: любые персональные (личные) данные о гражданах, а также сведения, содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т. п.

Особенностью конфиденциального документа является то, что он представляет собой одновременно:

- массовый носитель ценной, защищаемой информации;

- основной источник накопления и объективного распространения этой информации, а также ее неправомерного разглашения или утечки;

- обязательный объект защиты.

Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до значительного числа лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с письменного разрешения первого руководителя фирмы снимается.

Исполненные документы, сохранившие конфиденциальный характер и ценность для деятельности фирмы, формируются в дела в соответствии с номенклатурой дел. Период нахождения конфиденциальных документов в делах может быть кратковременным или долговременным в зависимости от ценности информации, содержащейся в документах дела. Период конфиденциальности документов определяется по указанному выше перечню конфиденциальных сведений и зависит от специфики деятельности фирмы. Например, производственные, научно-исследовательские фирмы обладают более ценными документами, чем торговые, посреднические и др.

Документы долговременного периода конфиденциальности (программы и планы развития бизнеса, технологическая документация ноу-хау, ноу-ноу, изобретения и др.) имеют усложненный вариант обработки и хранения, обеспечивающий безопасность информации и ее носителя. Документы кратковременного периода конфиденциальности, имеющие оперативное значение для деятельности фирмы,- обрабатываются и хранятся по упрощенной схеме и могут не выделяться из технологической системы обработки открытых документов при наличии в этой системе минимальных защитных, контрольных и аналитических элементов.

Следовательно, конфиденциальные документы характеризуются специфическими особенностями, которые отражают их сущность как носителей информации ограниченного доступа и определяют построение системы защиты этой информации.

2.5. Угрозы конфиденциальной информации

Все информационные ресурсы фирмы постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации.

Под угрозой, или опасностью, утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных.

Риск угрозы дестабилизирующего воздействия любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: несанкционированное уничтожение документов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.

Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников.

Под злоумышленником понимается лицо, действующее в интересах конкурента, противника или в личных корыстных интересах (агентов иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельных преступных элементов, лиц, сотрудничающих со злоумышленником, психически больных лиц и т. п.).

В отличие от объективного распространения утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использования в своих целях.

Основной угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат - овладение информацией и противоправное ее использование или совершение иных дестабилизирующих действий.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники других организационных структур, работники коммунальных служб, экстремальной помощи, прохожие, посетители фирмы), а также сотрудники данной фирмы, не обладающие правом доступа в определенные помещения, к конкретному документу, информации, базе данных. Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом, но может и не быть им.

Целями и результатами несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, модификация, уничтожение, фальсификация, подмена и т. п.

Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограничейного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица. Основным виновником несанкционированного доступа к информационным ресурсам является, как правило, персонал, работающий с документами, информацией и базами данных. При этом надо иметь в виду, что утрата информации происходит в большинстве случаев не в результате преднамеренных действий злоумышленника, а из-за невнимательности и безответственности персонала. Следовательно, утрата информационных ресурсов ограниченного доступа может наступить при:

- наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации;

- возникновении риска угрозы, организованной злоумышленником, или при случайно сложившихся обстоятельствах;

- наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Эти условия могут включать:

- отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;

- неэффективную систему защиты информации или отсутствие этой системы, что образует высокую степень уязвимости информации;

- непрофессионально организованную технологию обработки и хранения конфиденциальных документов;

- неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;

- отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;

- отсутствие контроля со стороны руководства фирмы за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;

- бесконтрольное посещение помещений фирмы посторонними лицами.

Следует всегда помнить, что факт документирования резко увеличивает риск угрозы информации. Великие мастера прошлого никогда не записывали секреты своего искусства, а передавали их устно сыну, ученику. Поэтому тайна изготовления многих уникальных предметов того времени так и не раскрыта до наших дней.

Следовательно, угрозы конфиденциальной информации всегда реальны, отличаются большим разнообразием и создают предпосылки для утраты информации. Источники угрозы информации конкретной фирмы должны быть хорошо известны. В противном случае нельзя профессионально построить систему защиты информации.

2.6. Каналы утраты информации

Угрозы сохранности, целостности и конфиденциальности информационных ресурсов ограниченного доступа практически реализуются через риск образования канала несанкционированного получения (добывания) кем-то ценной информации и документов. Этот канал представляет собой совокупность незащищенных или слабо защищенных фирмой направлений возможной утраты конфиденциальной информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой информации.

Каждая конкретная фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов - профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т. п.

Функционирование канала несанкционированного доступа к информации обязательно влечет за собой утрату информации или исчезновение носителя информации.

В том случае, когда речь идет об утрате информации по вине персонала, используется термин «разглашение (огласка) информации». Человек может разглашать информацию устно, письменно, с помощью жестов, мимики, условных сигналов, лично, через посредников, по каналам связи и т. д. Термин «утечка информации», хотя и используется наиболее широко, однако в большей степени относится, по нашему мнению, к утрате информации за счет ее перехвата с помощью технических средств разведки, по техническим каналам.

Утрата информации характеризуется двумя условиями, а именно информация переходит: а) непосредственно к заинтересованному лицу - конкуренту, злоумышленнику или б) к случайному, третьему лицу.

Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации. Однако от третьего лица информация может легко перейти к злоумышленнику.

Переход информации к третьему лицу представляется достаточно частым явлением и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации, нарушения ее безопасности имеет место. Возникает так называемый случайный, стихийный канал утраты информации.

Непреднамеренный переход информации к третьему лицу возникает в результате:

- утери или неправильного уничтожения документа, пакета с документами, дела, конфиденциальных записей;

- игнорирования или умышленного невыполнения сотрудником требований по защите документированной информации;

- излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования, транспорте и т. п.);

- работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;

- использования сведений ограниченного доступа в открытой документации, публикациях, интервью, личных записях, дневниках и т. п.;

- отсутствия маркировки (грифования) информации и документов ограниченного доступа (в том числе документов на технических носителях);

- наличия в конфиденциальных документах излишней информации ограниченного доступа;

- самовольного копирования сотрудником документов в служебных или коллекционных целях.

В отличие от третьего лица злоумышленник или его сообщник целенаправленно стремятся овладеть конкретной информацией и преднамеренно, противоправно устанавливают контакт с источником этой информации или преобразуют канал ее объективного распространения в канал ее разглашения или утечки. Каналы утраты информации в условиях хорошо построенной системы защиты информации формируются злоумышленником. При плохо построенной системе выбираются им из множества возможных каналов. В любом случае такие каналы всегда являются тайной злоумышленника.

Каналы несанкционированного доступа, утраты информации могут быть двух типов: организационные и технические. Обеспечиваются они легальными и нелегальными методами.

Организационные каналы разглашения информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с фирмой или ее сотрудником для последующего несанкционированного доступа к интересующей информации.

Основными видами организационных каналов могут быть:

- поступление злоумышленника на работу в фирму, как правило, на техническую, второстепенную должность (оператором ЭВМ, секретарем, дворником, слесарем, охранником, шофером и т. п.);

- участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обманных способов;

- поиск злоумышленником сообщника (инициативного помощника), работающего в интересующей его фирме, который становится его соучастником;

- установление злоумышленником доверительных взаимоотношений с сотрудником учреждения, фирмы или посетителем, сотрудником другого учреждения, обладающим интересующими злоумышленника сведениями;

- использование коммуникативных связей фирмы - участие в переговорах, совещаниях, переписке с фирмой и др.;

- использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;

- тайное или по фиктивным документам проникновение в здание фирмы и помещения, криминальный, силовой доступ к информации, т. е. кража документов, дискет, дисков, компьютеров, шантаж и склонение к сотрудничеству отдельных сотрудников, подкуп сотрудников, создание экстремальных ситуаций и т. п.;

- получение нужной информации от третьего (случайного) лица.

Организационные каналы находятся или формируются злоумышленником индивидуально в соответствии с его профессиональным умением оценивать конкретную ситуацию, сложившуюся в фирме, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной аналитической работы.

Техническое обеспечение офисных технологий создает широкие возможности несанкционированного получения ценных сведений. Любая управленческая деятельность всегда связана с обсуждением ценной информации в кабинетах или по линиям связи, проведением расчетов и анализа ситуаций на ЭВМ, изготовлением, размножением документов и т. п.

Технические каналы утечки информации возникают при использовании злоумышленником специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом фирмы, документами, делами и базами данных. Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику.

Канал возникает при анализе злоумышленником физических полей и излучений, появляющихся в процессе работы вычислительной и другой офисной техники, при перехвате информации, имеющей звуковую, визуальную или иную форму отображения. Основными техническими каналами являются: акустический, визуально-оптический, электромагнитный и др. Это каналы прогнозируемые, носят стандартный характер и перекрываются стандартными средствами противодействия.

При построении системы защиты информации фирмы часто не учитывают опасность этих каналов или пренебрегают ими, так как стоимость средств перекрытия этих каналов требует больших затрат.

Акустический канал возникает за счет образования звуковой волны в кабинетах руководителей при ведении переговоров, залах заседаний в процессе совещаний, в рабочих помещениях при диктовке документов и в других подобных случаях. В процессе разговора, даже негромкого, мы «сотрясаем воздух», и это сотрясение передается окружающим нас предметам. Звуковая волна заставляет вибрировать стекла в окнах, стеновые панели, элементы отопительных систем, вентиляционные пространства и другие предметы. Звук распространяется всегда по множеству путей. Возникшие колебания можно сканировать с помощью специальной техники с этих предметов и на достаточно большом расстоянии преобразовывать в слышимый звук.

Акустический канал может образовываться также за счет «микрофонного эффекта», свойственного механическому воздействию звуковой волны на электродинамики радио- и телевизионной аппаратуры, динамики радиотрансляции, реле в холодильниках, электрозвонках и других приборах. Например, при подключении к электродинамикам любого типа можно за пределами офиса фирмы (вне контролируемой зоны) прослушивать помещения и вести запись переговоров.

Визуальный, или визуально-оптический, канал связан с наблюдением за зданием, помещениями и персоналом фирмы с помощью оптических приборов, позволяющих, например, читать информацию на дисплее, оценивать действия персонала охраны, идентифицировать сотрудников, иногда читать документы на их рабочих столах, знакомиться с системами хранения документов и т. д. Наблюдение за помещениями фирмы всегда сопровождается фото- и видеозаписью.

Электромагнитные каналы сопровождают работу средств радиосвязи, радиотелефонов, бытовой и производственной видеотехники, компьютеров, диктофонов и других подобных приборов.

Обычным и профессионально грамотным является творческое сочетание в действиях злоумышленника каналов обоих типов, например установление доверительных отношений с сотрудником фирмы или лицом, проживающим рядом со зданием фирмы, и перехват с его помощью информации по техническим каналам. Вариантов и сочетаний каналов может быть множество. Изобретательность грамотного злоумышленника не знает предела, поэтому риск утраты информации всегда достаточно велик. При эффективной системе защиты информации фирмы злоумышленник разрушает отдельные элементы защиты и формирует необходимый ему канал получения информации.

В целях практической реализации поставленных задач злоумышленник определяет не только каналы несанкционированного доступа к информации фирмы, но и совокупность методов получения этой информации.

Легальные методы входят в содержание понятий «невинного шпионажа» и «разведки в бизнесе», отличаются правовой безопасностью и, как правило, предопределяют возникновение интереса к конкурирующей фирме. В соответствии с этим может появиться необходимость использования каналов несанкционированного доступа к требуемой информации. В основе «невинного шпионажа» лежит кропотливая аналитическая работа специалистов-экспертов над опубликованными и общедоступными материалами конкурирующей фирмы. Одновременно изучаются продукция фирмы, рекламные издания, сведения, полученные в процессе официальных и неофициальных бесед и переговоров с сотрудниками фирмы, материалы пресс-конференций, презентаций фирмы и продукции научных симпозиумов и семинаров, сведения, получаемые из информационных сетей.

При комплексном системном анализе этих материалов появляется возможность формирования из разрозненных и в отдельности неконфиденциальных сведений достаточно полной картины, отражающей имеющиеся в фирме секреты. Этот процесс аналогичен принципу мозаики, когда из множества сегментов складывается определенная картинка.

Легальные методы дают злоумышленнику основную массу интересующей его информации и позволяют определить состав отсутствующих защищаемых сведений, которые предстоит добыть нелегальными методами.

Нелегальные методы получения ценной информации всегда носят незаконный характер и используются в целях доступа к защищаемой информации, которую невозможно получить легальными способами. В основе нелегального получения информации лежит поиск злоумышленником существующих в фирме и наиболее эффективных в конкретных условиях незащищенных организационных и технических каналов несанкционированного доступа к информации, формирование таких каналов при их отсутствии и реализация плана практического комплексного использования этих каналов.

Нелегальные методы предполагают: воровство, продуманный обман, подслушивание разговоров, подделку идентифицирующих документов, взяточничество, инсценирование или организацию экстремальных ситуаций, использование различных криминальных приемов и т. д. В процессе реализации нелегальных методов часто образуется агентурный канал добывания ценной информации, т. е. преступное сотрудничество злоумышленников или злоумышленника и его сообщников. К нелегальным методам относятся также: перехват информации, объективно распространяющейся по техническим каналам (акустическому, электромагнитному и др.), визуальное наблюдение за помещениями фирмы и персоналом, анализ продуктов и объектов, содержащих следы защищаемой информации, анализ архитектурных особенностей объектов защиты, анализ отходов производства, мусора, выносимого из офиса. Незаконный характер перехвата информации по техническим каналам, так же как и изучение общедоступных источников, определяется не процессом, а целью этих действий злоумышленника.