 |
VII . Ответственность за нарушение требований защиты информации в адвокатской фирме
|
|
|
|
По степени опасности нарушения, связанные с несоблюдением локальных нормативных актов по обеспечению защиты информации в адвокатской фирме делятся на две группы:
1. Нарушения, повлекшие за собой наступление указанных выше нежелательных для адвокатской фирмы последствий (утечку или уничтожение информации);
2. Нарушения, в результате которых созданы предпосылки, способные привести к нежелательным для адвокатской фирмы последствиям (угроза уничтожения или утраты информации).
Нарушение требований локальных нормативных актов адвокатской фирмы по обеспечению защиты информации в адвокатской фирме является чрезвычайным происшествием и влечет за собой последствия, предусмотренные действующим законодательством Российской Федерации, локальными нормативными актами и договорами, заключенными между адвокатской фирмой и сотрудниками.
Степень ответственности за нарушение требований локальных нормативных актов в области защиты информации в адвокатской фирме определяется исходя из размера ущерба, причиненного адвокатской фирме.
Руководители структурных подразделений адвокатской фирмы несут персональную ответственность за обеспечение защиты информации в возглавляемых ими подразделениях.
VIII. Ожидаемые результаты реализации концепции защиты информации в адвокатской фирме Реализация настоящей Концепции позволит:─ улучшить организационную структуру системы защиты информации в адвокатской фирме, ее кадровое обеспечение;─ повысить оснащенность адвокатской фирмы высокоэффективными средствами защиты информации, а также средствами контроля ее эффективности;─ улучшить обеспеченность адвокатской фирмы документами в области защиты информации;В результате будет создана система, соответствующая задачам обеспечения защиты информации в адвокатской конторе, и адекватно реагирующая на угрозы защищаемой информации в процессе деятельности адвокатской конторы. 2.2. Оценка степени важности полученной информации
|
|
|
Так как система организации защиты конфиденциальной информации включает в себя комплекс заранее разработанных на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование обеспечения сохранности информации с учетом изменений внешних и внутренних условий и предписывающих конкретным лицам или подразделений определенный порядок действий, то крайне важным представляется ознакомление с полученной информацией.
Например, знание объекта и предмета защиты в адвокатской конторе позволит определиться с целями и задачами разрабатываемой системы защиты информации на предприятии, знание возможностей методов и средств защиты информации позволит активно и комплексно применить их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденциальной информации. Аналитические исследования, моделирование вероятных угроз позволят наметить при необходимости дополнительные меры защиты. При этом характеристика предприятия поможет оценить вероятность выполнения мер защиты, наличие методического материала, материального обеспечения, готовность службы защиты информации и персонала выполнить все необходимые меры. Знание недостатков в обеспечении сохранности конфиденциальной информации поможет спланировать дальнейшие мероприятия по обеспечению защиты информации.
Таким образом, я могу сделать вывод, что полученная информация не только поможет определиться с целями и задачами создания службы защиты информации, но и усовершенствовать уже имеющуюся службу защиты информации и спланировать дальнейшие мероприятия по защите конфиденциальной и общедоступной информации в адвокатской конторе «Юстина».
|
|
|
3. Рекомендации
I. Для обеспечения работоспособности разработанной системы защиты информации необходимо создать специальный отдел в составе организации, занимающийся данными вопросами – Службу защиты информации (СлЗИ).
1. Руководитель предприятия своим приказом должен назначить начальника службы защиты информации во главе группы компетентных сотрудников, которые высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.
2. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов должен сформировать предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».
3. Руководитель группы на основе этого списка должен определить и представить на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием различных тайн).
4. Необходимы анализ существующих мер защиты соответствующих объектов, определение степени их недостаточности, неэффективности, физического и морального износа.
5. Необходимо изучение зафиксированных случаев попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.
6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов должна выявить возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия.
7. На основе собранных данных необходимо оценить возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например — для служебного пользования, конфиденциально, строго конфиденциально.
|
|
|
8. Необходимо определить сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.
9. Группе необходимо подготовить введение указанных мер защиты.
Начальник СлЗИ является новой штатной единицей. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования – высшее профессиональное образование и стаж работы в области защиты информации не менее 5 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.
В адвокатской фирме «Юстина» целесообразно организовать Службу защиты информации в следующем составе:
Ø Руководитель СлЗИ;
Ø сотрудник, занимающийся программно-аппаратной защитой;
Ø сотрудник, занимающийся инженерно-технической защитой.
Функции конфиденциального делопроизводства возложить на уже имеющихся сотрудников, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию (секретаря).
Для работы СлЗИ необходимо подготовить ряд нормативных документов:
ü Положение о СлЗИ;
ü Инструкцию по безопасности конфиденциальной информации.
ü Перечень сведений, составляющих конфиденциальную информацию.
ü Инструкцию по работе с конфиденциальной информацией.
ü Должностные инструкции сотрудников СлЗИ.
ü Инструкцию по обеспечению пропускного режима в компании.
ü Памятку работнику (служащему) о сохранении конфиденциальной информации.
II. Внести дополнения в Устав предприятия для документационного обеспечения защиты: «Предприятие имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты. Фирма имеет право в целях защиты экономического суверенитета требовать от персонала, партнеров, контрагентов и иных физических и юридических лиц, учреждений и организаций обеспечения сохранности конфиденциальных сведений предприятия на основании договоров, контрактов и других документов». А также необходимо проставить грифы конфиденциальности:
|
|
|
Ø Самый низкий гриф конфиденциальности «ДСП» проставить на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах; журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).
Ø Гриф “КОНФИДЕНЦИАЛЬНО” проставить на информации об отдельных аспектах деловых сделок за короткий промежуток времени; развернутые сведения о персонале компании (персональные данные работников); текущие документы, отражающие финансовую деятельность (коммерческая тайна); документы, содержащие данные о клиентах, не предоставляемые третьим лицам (сведения, составляющие адвокатскую тайну).
Ø Гриф “СТРОГО КОНФИДЕНЦИАЛЬНО” присвоить документам, содержащим данные о деловых сделках с партнерами или клиентами фирмы, об итогах деятельности за продолжительный период времени; документам, содержащим важнейшие аспекты коммерческой деятельности компании, стратегии деятельности, документам, содержащим детальную информацию о финансовом положении.
III. Необходимо дополнить технические средства защиты информации, а именно установить средства, защищающие от прослушивания телефонных переговоров, т.к. бывают случаи, когда клиенту нужна экстренная юридическая помощь или он находится в таком нервном состоянии, что может наговорить по телефону такие вещи, которые конкуренты могут использовать против него. К этому адвокатская фирма «Юстина» не готова. Поэтому некоторые юридические дела проигрываются из-за того, что противник имеет более современные средства перехвата необходимой информации для принятия соответствующих мер. Особенно это касается сложных и запутанных уголовных дел, а также связанных с собственностью большой стоимости.
IV. Периодически проводить тренинги с сотрудниками, на которых им объясняется важность защиты конфиденциальной информации в адвокатской фирме. А также ознакомить всех сотрудников с главой 28 Уголовного кодекса Российской Федерации «Преступления в сфере компьютерной информации».
V. Зафиксировать предложенные рекомендации, разработав пакет документов, включающий в себя:
§ Положение о конфиденциальной информации предприятия;
|
|
|
§ Инструкцию по защите конфиденциальной информации в информационной системе предприятия;
§ Предложения по внесению изменений в Устав предприятия;
§ Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
§ Соглашение о неразглашении конфиденциальной информации предприятия с сотрудником;
§ Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;
§ Предложения о внесении изменений в Правила внутреннего распорядка предприятия (в части регламентации мер физической защиты информации и вопросов режима);
§ Предложения о внесении изменений в должностное (штатное) расписание предприятия (штат Службы защиты информации);
§ Предложения о внесении дополнений в должностные инструкции всему персоналу;
§ Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в ИС предприятия;
§ План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;
§ Предложения о внесении изменений в структуру интервью при приеме на работу (уточнение обязательств информационного характера с последних мест работы);
§ Предложения о внесении дополнений в стандартный договор с контрагентами.
4. Информационно-аналитический обзор
План
4.1. Цели и задачи защиты информации в адвокатской конторе
4.2. Объекты и предметы защиты в адвокатской конторе
4.3. Факторы, влияющие на защиту информации в адвокатской конторе
4.4. Угрозы защищаемой информации в адвокатской конторе
4.5. Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
4.6. Причины дестабилизирующего воздействия на защищаемую информацию в адвокатской конторе
4.7. Каналы и методы несанкционированного доступа к защищаемой информации в адвокатской конторе
4.8. Основные направления, методы и средства защиты информации в адвокатской конторе
4.9. Организация комплексной системы защиты информации в адвокатской конторе
4.1. Цели и задачи защиты информации в адвокатской конторе
Целями защиты информации предприятия являются:
· предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и адвокатской тайны);
· предотвращение угроз безопасности личности и предприятия;
· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;
· предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
· сохранение, конфиденциальности документированной информации в соответствии с законодательством [22].
К задачам защиты информации на предприятии относятся:
1. Обеспечение управленческой, финансовой и маркетинговой деятельности предприятия режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать предприятию преимущества перед конкурентами и оправдывать затраты средств на защиту информации.
2. Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
3. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности компании.
4. Документирование процесса защиты информации, особенно сведений, составляющих коммерческую тайну, с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что предприятие принимало необходимые меры к защите этих сведений.
5.Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации [4, с.313].
4.2. Объекты и предметы защиты в адвокатской конторе
Основными объектами защиты в адвокатской конторе являются:
· персонал (так как эти лица допущены к работе с охраняемой законом информацией (адвокатская и коммерческая тайны, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).
· объекты информатизации – средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и переговоров с клиентами;
· информация ограниченного доступа:
ü адвокатская тайна (факт обращения к адвокату, включая имена и названия доверителей; все персональные данные клиентов; все доказательства и документы, собранные адвокатом входе подготовки к делу; сведения, полученные адвокатом от доверителей; информация о доверителе, ставшая известной адвокату в процессе оказания юридической помощи; содержание правовых советов, данных непосредственно доверителю или ему предназначенных; все адвокатское производство по делу; условия соглашения об оказании юридической помощи, включая денежные расчеты между адвокатом и доверителем; любые другие сведения, связанные с оказанием адвокатом юридической помощи) [9, с. 30],
ü коммерческая тайна (сведения о применяемых оригинальных методах управления фирмой, сведения о подготовке, принятии и исполнении отдельных решений руководства фирмы по коммерческим, организационным и др. вопросам; сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления организации (управляющих партнеров); сведения о кругообороте средств организации, финансовых операциях, состоянии банковских счетов организации и проводимых операциях, об уровне доходов организации, о состоянии кредитов организации (пассивы и активы); сведения о рыночной стратегии фирмы, об эффективности коммерческой деятельности фирмы; обобщенные сведения клиентах и других партнерах, состоящих в деловых отношениях с организацией; обобщенные сведения о внутренних и зарубежных фирм как потенциальных конкурентах, оценка качества деловых отношений с конкурирующими предприятиями; сведения об условиях конфиденциальности, из которых можно установить порядок соглашения и другие обязательства организации с клиентами; сведения о методах расчета, структуре, уровне реальных цен на услуги и размеры скидок; сведения о порядке и состоянии организации защиты коммерческой тайны, о порядке и состоянии организации охраны, системы сигнализации, пропускном режиме[19]),
ü персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника[20]).
· защищаемая от утраты общедоступная информация:
ü документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)
ü информация, которая может служить доказательным источником в случае возникновения конфликтных ситуаций (расписки)
· материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)
· средства защиты информации (Интернет-шлюз Advanced, биометрический турникет ТБИ 1.3, уличный комплект UPC-26-220(24), система сигнализации, антижучки и др.)
· технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов)
Предметом защиты информации в адвокатской конторе являются носители информации, на которых зафиксированы, отображены защищаемые сведения [4, с.311]:
· Личные дела клиентов в бумажном и электронном (база данных клиентов) виде;
· Личные дела работников в бумажном и электронном (база данных работников) виде;
· Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.
4.3. Факторы, влияющие на защиту информации в адвокатской конторе
Внешние факторы:
· деятельность конкурентных юридических фирм, направленная против интересов фирмы «Юстина»;
· деятельность правоохранительных органов власти, направленная на удовлетворение собственных интересов и не учитывающая при этом интересы адвокатской фирмы (обыски адвокатов без предварительного получения решения суда; изъятие в ходе обысков документов, содержащих конфиденциальную информацию; формальный подход судей при вынесении решений о проведении обыска у адвоката; обыск в помещениях занимаемых адвокатом в отсутствие адвоката; незаконный досмотр адвокатского производства адвокатов как один из способов незаконного доступа к адвокатской тайне) [8, 14];
· недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика (например, несостыковка пунктов Уголовно-процессуального кодекса Российской Федерации и закона «Об адвокатской деятельности и адвокатуре в Российской Федерации», закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», предписывающий адвокатам выполнять роль секретных сотрудников правоохранительных органов) [8, 14, 21].
Внутренние факторы:
· недостаточное внимание к обеспечению защиты информации со стороны руководства (в адвокатской фирме нет отдельной службы защиты информации);
· довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников фирмы (записывание паролей на бумаге, использование одинаковых паролей и т.д.);
· недостаточное финансирование мероприятий по обеспечению информационной безопасности предприятия;
· недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в адвокатской фирме (в данный момент в штате фирмы «Юстина» нет ни одного специалиста по защите информации).
4.4. Угрозы защищаемой информации в адвокатской конторе
Внешние угрозы:
· Конкуренты (адвокатские фирмы, являющиеся конкурентами «Юстине»);
· Административные органы (органы государственной власти);
· Преступники, хакеры.
Внутренние угрозы:
· Персонал;
· Администрация предприятия.
Классификация угроз:
1. По объектам:
1.1. Персонал;
1.2. Материальные ценности;
1.3. Финансовые ценности.
2. По ущербу:
2.1. Материальный;
2.2. Моральный.
3. По величине ущерба:
3.1. Предельный (полное разорение);
3.2. Значительный (некоторая валового дохода);
3.3. Незначительный (потеря прибыли).
4. По отношению к объекту:
4.1. Внутренние;
4.2. Внешние.
5. По вероятности возникновения:
5.1. Весьма вероятные;
5.2. Вероятные;
5.3. Маловероятные.
6. По характеру воздействия:
6.1. Активные;
6.2. Пассивные.
7. По причине проявления:
7.1. Стихийные;
7.2. Преднамеренные.
4.5. Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
К источникам дестабилизирующего воздействия на информацию относятся [4, с.203]:
1. люди;
2. технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования;
3. природные явления.
Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защищаемую информацию являются люди. К ним относятся:
- сотрудники данной адвокатской фирмы;
- лица, не работающие в фирме, но имеющие доступ к защищаемой информации предприятия в силу служебного положения (из контролирующих органов государственной и муниципальной власти и др.);
- сотрудники конкурирующих отечественных и зарубежных фирм;
- лица из криминальных структур, хакеры.
Эти категории людей подразделяются на две группы:
- имеющие доступ к носителям данной защищаемой информации, техническим средствам ее отображения, хранения, обработки, воспроизведения, передачи и системам обеспечения их функционирования и
- не имеющие такового.
Самым многообразным этот источник является потому, что ему, по сравнению с другими источниками, присуще значительно большее количество видов и способов дестабилизирующего воздействия на информацию [4, с. 204].
Самым опасным этот источник является потому, что он самый массовый; воздействие с его стороны носит регулярный характер; его воздействие может быть не только непреднамеренным но и преднамеренным и оказываемое им воздействие может привести ко всем формам проявления уязвимости информации (со стороны остальных источников – к отдельным формам).
К техническим средствам отображения, хранения, обработки, воспроизведения, передачи информации и средствам связи в адвокатской конторе относятся электронно-вычислительная техника (персональные компьютеры); копировально-множительная техника (ксероксы, принтеры, сканеры); средства видео- и звукозаписывающей и воспроизводящей техники (видеокамеры, диктофоны) и средства телефонной, телеграфной, факсимильной, громкоговорящей передачи информации.
Системы обеспечения функционирования технических средств отображения, хранения, обработки, воспроизведения и передачи информации это системы электроснабжения, водоснабжения, теплоснабжения, кондиционирования и вспомогательные электрические и радиоэлектронные средства (электрические часы, бытовые магнитофоны и др.).
Природные явления включают стихийные бедствия и атмосферные явления.
Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям[4, с. 207].
Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию:
1. Непосредственное воздействие на носители защищаемой информации.
2. Несанкционированное распространение конфиденциальной информации.
3. Вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи.
4. Нарушение режима работы перечисленных средств и технологии обработки информации.
5. Вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.
Способами непосредственного воздействия на носители защищаемой информации могут быть:
- физическое разрушение носителя (поломка, разрыв и др.);
- создание аварийных ситуаций для носителей (поджог, искусственное затопление, взрыв и т.д.);
- удаление информации с носителей (замазывание, стирание, обесцвечивание и др.);
- создание искусственных магнитных полей для размагничивания носителей;
- внесение фальсифицированной информации в носители;
-непреднамеренное оставление их в неохраняемой зоне, чаще всего в общественном транспорте, магазине, на рынке, что приводит к потере носителей[4].
Несанкционированное распространение конфиденциальной информации может осуществляться путем:
- словесной передачи (сообщения) информации;
- передачи копий (снимков) носителей информации;
- показа носителей информации;
- ввода информации в вычислительные сети;
- опубликования информации в открытой печати;
- использования информации в открытых публичных выступлениях, в т.ч. по радио, телевидению;
- потеря носителей информации.
К способам вывода из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования, приводящим к уничтожению, искажению и блокированию, можно отнести:
- неправильный монтаж средств;
- поломку (разрушение) средств, в т.ч. разрыв (повреждение) кабельных линий связей;
- создание аварийных ситуаций для технических средств (поджог, искусственное затопление, взрыв и др.);
- отключение средств от сетей питания;
- вывод из строя или нарушение режима работы систем обеспечения функционирования средств;
- вмонтирование в ЭВМ разрушающих радио- и программных закладок;
- нарушение правил эксплуатации систем.
Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передача информации, средств связи и технологии обработки информации, приводящими к уничтожению, искажению и блокированию информации, могут быть:
- повреждение отдельных элементов средств;
- нарушение правил эксплуатации средств;
- внесение изменений в порядок обработки информации;
- заражение программ обработки информации вредоносными программами;
- выдача неправильных программных команд;
- превышение расчетного числа запросов;
- создание помех в радио эфире с помощью дополнительного звукового или шумового фона, изменения (наложения) частот передачи информации;
- передача ложных сигналов – подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;
- нарушение (изменение) режима работы систем обеспечения функционирования средств.
К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений. Это приводит к уничтожению, искажению, блокированию, разглашению (соединение с номером телефона не того абонента, который набирается, или слышимость разговора других лиц из-за неисправности в цепях коммутации телефонной станции). Электромагнитные излучения, в том числе побочные, образующиеся в процессе эксплуатации средств, приводят к хищению информации.
К стихийным бедствиям и одновременно видам воздействия следует отнести землетрясение, наводнение, ураган (смерч) и шторм. К атмосферным явлениям (видам воздействия) относят грозу, дождь, снег, перепады температуры и влажности воздуха, магнитные бури. Они приводят к потере, уничтожению, искажению, блокированию и хищению.
Способами воздействия со стороны и стихийных бедствий и атмосферных явлений могут быть:
- разрушение (поломка);
- затопление;
- сожжение носителей информации, средств отображения, хранения, обработки, воспроизведения, передачи информации и кабельных средств связи, систем обеспечения функционирования этих средств;
- нарушение режима работы средств и систем, а также технологии обработки информации.
4.6. Причины дестабилизирующего воздействия на защищаемую информацию в адвокатской конторе
К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести [4, с. 213]:
- стремление получить материальную выгоду (подзаработать);
- стремление нанести вред (отомстить) руководству или коллеге по работе;
- стремление оказать бескорыстную услугу приятелю из конкурирующей фирмы;
- стремление продвинуться по службе;
- стремление обезопасить себя, родных и близких от угроз, шантажа, насилия;
- физическое воздействие (побои, пытки) со стороны злоумышленника;
- стремление показать свою значимость.
Причинами непреднамеренного дестабилизирующего воздействия на информацию со стороны людей могут быть:
- неквалифицированное выполнение операций;
- халатность, безответственность, недисциплинированность, недобросовестное отношение к выполняемой работе;
- небрежность, неосторожность, неаккуратность;
- физическое недомогание (болезни, переутомление, стресс, апатия).
Причинами дестабилизирующего воздействия на информацию со стороны технических средств отображения, хранения, обработки воспроизведения, передачи информации и средствсвязи и систем обеспечения их функционирования могут быть:
- недостаток или плохое качество средств;
- низкое качество режима функционирования средств;
- перезагруженность средств;
- низкое качество технологии выполнения работ.
В основе дестабилизирующего воздействия на информацию со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, а, следовательно, и не поддающиеся нейтрализации или устранению.
4.7. Каналы и методы несанкционированного доступа к защищаемой информации в адвокатской конторе
К числу наиболее вероятных каналов утечки информации можно отнести [15]:
· совместную с другими фирмами деятельность, участие в переговорах;
· фиктивные запросы со стороны о возможности работать в фирме на различных должностях;
· посещения фирмы;
· общения представителей фирмы о характеристиках предоставляемых услуг;
· чрезмерную рекламу;
· консультации специалистов со стороны, которые в результате этого получают доступ к установкам и документам фирмы;
· публикации в печати и выступления;
· совещания, конференции и т.п.;
· разговоры в нерабочих помещениях;
· обиженных сотрудников фирм;
· технические каналы;
· материальные потоки (транспортировка спецпочты).
При организации защиты информации в адвокатской конторе необходимо учитывать следующие возможные методы и способы сбора информации:
· опрос сотрудников изучаемой фирмы при личной встрече;
· навязывание дискуссий по интересующим проблемам;
· рассылка в адреса предприятий и отдельных сотрудников вопросников и анкет;
· ведение частной переписки научных центров и ученых со специалистами.
Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий. Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран экономические соперники могут прибегнуть в том числе и к противоправным действиям, промышленному шпионажу.
Наиболее вероятно использование следующих способов добывания информации [15]:
· визуальное наблюдение;
· подслушивание;
· техническое наблюдение;
· прямой опрос, выведывание;
· ознакомление с материалами, документами, изделиями и т.д.;
· сбор открытых документов и других источников информации;
· хищение документов и других источников информации;
· изучение множества источников информации, содержащих по частям необходимые сведения.
4.8. Основные направления, методы и средства защиты информации в адвокатской конторе
|
|
|
