Угрозы, связанные с деятельностью человека.
Этот вид угроз можно разделить на:
- угрозы системе обработки информации в результате несанкционированного использования штатных технических и программных средств, а также их хищения, порчи, разрушения;
- угрозы в результате использования специальных средств, не входящих в состав системы обработки данных (побочные излучения, наводки по цепям питания, использование аппаратуры звукоусиления, прием сигналов из линий связи, акустические каналы);
- угрозы использования специальных методов и технических средств (фотографирование, электронные закладки, разрушающие или искажающие информацию, а также передающие обрабатываемую или речевую информацию);
- облучение технических средств зондирующими сигналами, в результате чего может происходить искажение или разрушение информации, а при значительной мощности облучений и вывод из строя аппаратуры.
Зарубежные специалисты к числу наиболее вероятных каналов утечки конфиденциальной информации относят следующие:
- совместную деятельность с другими фирмами;
- проведение переговоров;
- экскурсии и посещения фирмы;
- рекламу, публикации в печати, интервью для прессы;
- консультации специалистов со стороны, получающих доступ к документации и производственной деятельности фирмы;
- фиктивные запросы о возможности работы в фирме, заключения с ней сделок, осуществления совместной деятельности;
- рассылку отдельным сотрудникам фирмы различных анкет и вопросников под маркой научных или маркетинговых исследований;
- частные беседы с сотрудниками фирмы, навязывание им незапланированных дискуссий по тем или иным проблемам.
Анализ системы защиты коммерческих секретов, моделирование вероятных угроз позволяет намечать - при необходимости - дополнительные меры безопасности. При этом степень их целесообразности определяется достаточно просто: затраты на обеспечение надлежащей секретности должны быть существенно меньше, чем возможный экономический ущерб.
Однако, как образно выразился один эксперт, "степень надежности любого шифра определяется не его сложностью, а неподкупностью шифровальщика". Иными словами, ключевыми фигурами систем защиты коммерческих секретов являются сотрудники фирм. Причем не только те, которые работают с закрытой информацией (хотя данная категория в первую очередь). Рядовой сотрудник, не имеющий доступа к коммерческой тайне, тоже может оказать помощь конкурентам в проведении электронного шпионажа, обеспечить условия для хищения носителей информации, для выведывания, снятия копий.
По мнению зарубежных специалистов, вероятность утечки сведений, составляющих коммерческую тайну, при проведении таких действий, как подкуп, шантаж, переманивание сотрудников фирмы, внедрение своих агентов составляет 43%; получение сведений путем их выведывания у сотрудников - 24%.
Таким образом, персонал фирмы является, с одной стороны, важнейшим ресурсом предпринимательской деятельности, а с дугой, отдельные сотрудники в силу различных обстоятельств могут стать источником крупных потерь и даже банкротства фирмы. Именно поэтому организационные и административные меры защиты конфиденциальной информации необходимо сочетать с социально-психологическими мерами. Среди социально-психологических мер защиты можно выделить два основных направления: это, во-первых, правильный подбор и расстановка кадров и, во-вторых, использование материальных и моральных стимулов. Западные специалисты по экономической безопасности считают, что от правильного подбора, расстановки и стимулирования персонала сохранность фирменных секретов зависит, как минимум, на 80%!
Американский психолог А. Маслоу выделяет у человека пять групп основных потребностей:
- Физиологические;
- В обеспечении безопасности;
- В общении и контактах с другими людьми;
- В общественном признании своей значимости, в приобретении возможно более высокого социального статуса;
- В самореализации.
Зная этот научно установленный факт, грамотный руководитель любой фирмы должен так организовывать работу, чтобы каждый его сотрудник получал от работы максимальное удовлетворение (возвращаясь в этой связи к проблеме подбора отмечу, что наибольшее удовлетворение человек получает при занятиях той деятельностью которая максимально соответствует его способностям и интересам).
Создавая условия для удовлетворения сотрудником его потребностей в самореализации способностей и потенций, в общественном признании его значимости, можно в рамках фирмы установить благоприятный социально-психологический климат, максимально снизить текучесть кадров, сформировать так называемый "фирменный патриотизм". В такой обстановке маловеоятно появление работника, пытающегося самоутвердиться путем передачи конкурентам секретов, т.е. путем предательства.
Исходя из сказанного, необходимо в работе с персоналом руководствоваться следующими правилами:
- создать действенную систему материальных стимулов;
- обеспечить каждого сотрудника долговременной работой;
- относиться к ним как к самостоятельным индивидам;
- обеспечить участие в прибылях;
- создать возможности для продвижения по службе;
- обеспечить участие всего персонала в выработке решений;
- создать гибкую не травмирующую систему увольнений.
Кроме того, американские специалисты в области противодействия промышленному шпионажу рекомендуют использовать любую возможность для пропаганды программ обеспечения экономической безопасности фирмы; не забывать периодически вознаграждать сотрудников фирмы за успехи в этой работе; всемерно стимулировать участие сотрудников фирмы в реализации программ обеспечения секретности.
Вы познакомились с основными положениями первого этапа комплексной системы информационной безопасности фирмы. Далее следует провести анализ потенциальных технических каналов утечки информации и методов защиты. Но это уже материал отдельного рассмотрения.
Каналы утечки информации.
Возможные каналы утечки информации можно разбить на четыре группы.
1-я группа - каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы.
К этой группе относятся каналы образующиеся за счет:
- дистанционного скрытого видеонаблюдения или фотографирования;
- применения подслушивающих устройств;
- перехвата электромагнитных излучений и наводок и т.д.
2-я группа - каналы, связанные с доступом к элементам системы и изменением структуры ее компонентов.
Ко второй группе относятся:
- наблюдение за информацией с целью ее запоминания в процессе обработки;
- хищение носителей информации;
- сбор производственных отходов, содержащих обрабатываемую информацию;
- преднамеренное считывание данных из файлов других пользователей;
- чтение остаточной информации, т.е. данных, остающихся на магнитных носителях после выполнения заданий;
- копирование носителей информации;
- преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей;
- маскировка под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки;
- использование для доступа к информации так называемых "люков", дыр и "лазеек", т.е. возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и др.) и неоднозначностями языков программирования применяемых в автоматизированных системах обработки данных.
3-я группа - к которой относятся:
- незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи);
- злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;
- злоумышленный вывод из строя механизмов защиты.
4-я группа - к которой относятся:
- несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб;
- получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.
Далее кратко рассмотрим наиболее распространенные каналы утечки информации.
Воспользуйтесь поиском по сайту: