Лекция 12. Пресечение разглашения конфиденциальной информации
Люби молчать, нежели говорить
Пресечение разглашения конфиденциальной информации — это комплекс мероприятий, исключающих оглашение охраняемых сведений их владельцами.
Постулаты
1. Мудр тот, кто умеет молчать.
2. Слово — серебро, молчание — золото.
3. Что у трезвого на уме, то у пьяного на языке.
4. Язык мой — враг мой.
5. Ешь суп с грибами и держи язык за зубами.
6. Слово — не воробей, вылетит — не поймаешь.
7. Нет ничего смутительнее многословия и зловреднее невоздержанного языка.
8. Наблюдающий за языком своим вовек не будет им обкраден.
Помня, что «болтун — находка для шпиона», следует учесть, что из всех условий, способствующих неправомерному овладению конфиденциальной информацией, излишняя болтливость собственных сотрудников фирмы составляет 32%. Это третья часть. Если еще добавить, что безответственный обмен опытом составляет 12%, то получается, что разглашение коммерческих секретов составляет почти половину (42%) угроз конфиденциальной информации. Это уже очень плохо!
Умышленное разглашение производственных секретов обходится экономике США в 2 миллиарда долларов ежемесячно. Как установило в ходе недавнего опроса предприятий американское общество промышленной безопасности (АСИС), число подобных инцидентов с 1993 года утроилось.
Причин этого роста несколько. Лояльность одних служащих подрывает ужесточение дисциплины, других — перекупают конкуренты. Это касается в первую очередь высокотехнологичных отраслей. К конкурентам частенько попадают материалы о стратегии предприятий, результаты исследовательских и опытно-конструкторских работ, списки клиентов, заявки на патенты, торговые марки и авторские права.
Общие положения
Напомним, что РАЗГЛАШЕНИЕ — это умышленные или неосторожные действия должностных лиц и граждан, результатом которых явилось неправомерное оглашение конфиденциальных сведений, и как следствие — ознакомление с ними лиц, не допущенных к этим сведениям. Выражается разглашение в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и иных способах обмена деловой и научной информацией.
С точки зрения инициативы образование информационного контакта и степени участия в нем компонентов коммуникации активной стороной выступает источник, т. е. владелец информации.
Считается, что разглашение охраняемой информации может произойти при наличии ряда условий и обстоятельств служебного и личного характера. Причины разглашения, как правило, связаны с несовершенством разработанных норм по защите информации, а также нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами и сведениями, содержащими конфиденциальную информацию.
К факторам и обстоятельствам, приводящим к разглашению информации, относятся:
■ недостаточное знание сотрудниками правил защиты конфиденциальной информации и непонимание (или недопонимание) необходимости тщательного их выполнения;
■ слабый контроль за соблюдением правил работы со сведениями конфиденциального характера;
■ текучесть кадров, в том числе знающих сведения конфиденциального характера
Разглашение конфиденциальной информации возможно:
1. При передаче информации по каналам электросвязи
2. При сообщении, оглашении на деловых встречах и переговорах, при деловой переписке, на семинарах, симпозиумах, в печати и СМИ, на выставках, в судебных инстанциях и административных органах
3. При пересылке документов по каналам почтовой связи, нарочными, курьерами, попутчиками
4. При опубликовании в печати, в научных исследованиях и диссертациях
5. При личном общении на встречах, при телефонных переговорах
6. При утере, утрате документов на работе, за пределами службы
7. При бесконтрольном оставлении документов на рабочем месте, на экране ПЭВМ, при ксерокопировании
8. При бесконтрольной разработке документов (необоснованное изготовление документов, включение в обычные документы сведений конфиденциального характера, черновики, наброски, испорченные варианты)
9. При бесконтрольном документообороте (необоснованная рассылка документов, необоснованное ознакомление документами сотрудников и соисполнителей).
10.При бесконтрольном хранении и уничтожении документов
11.При бесконтрольном приеме поступающей документации.
Это лишь беглое ознакомление с возможными направлениями, условиями и действиями, приводящими к разглашению конфиденциальной информации.
В жизни таких условий и направлений значительно больше и рассматривать их необходимо на конкретных объектах.
В основу защиты информации от разглашения, целесообразно положить:
1. Принцип максимального ограничения числа лиц, допущенных к работе с конфиденциальной информацией, так как степень ее сохранности находится в прямой зависимости от числа допущенных к ней лиц.
2. Принцип персональной ответственности за сохранность информации предполагает разработку мер, побуждающих сотрудников хранить секреты не только из-за боязни последствий за вольное или невольное раскрытие, но и обеспечивающих заинтересованность каждого конкретного работника в сохранении тайны.
Отсюда одним из направлений работы является работа с кадрами, воспитательно-профилактическая деятельность, которая включает в себя совокупность методов воздействия на сознание, чувство, волю и характер сотрудников в интересах формирования у них умения хранить тайну и строго соблюдать установленные правила работы с закрытой информацией.
Главные направления этой деятельности:
■ привитие навыков предупреждения разглашения конфиденциальной информации;
■ повышение ответственности за сохранение секретов;
■ создание обстановки нетерпимости к фактам нарушения установленного порядка обеспечения информационной безопасности;
■ строгий контроль за всеми видами переговоров со сторонними организациями и их представителями;
■ контроль публикаций, выступлений, интервью и других форм общения по вопросам деятельности предприятия;
■ контроль разговоров в служебных помещениях и телефонных переговоров сотрудников на служебные темы;
■ изучение действий и поведения сотрудников во внеслужебное время, мест их пребывания, наклонностей, увлечений, пагубных привычек, трудового удовлетворения и другие.
3. Естественно, что все эти действия должны проводиться в строгом соответствии с законодательными актами, с точным соблюдением прав и обязанностей сотрудников предприятия, без какого-либо вмешательства в личную жизнь.
Подобные действия могут выполнять, например, частные детективы (сотрудники службы безопасности). Согласно Закону РФ «О частной детективной и охранной деятельности», им разрешается осуществлять следующие виды услуг:
1. Сбор сведений по гражданским делам.
2. Изучение рынка.
3. Сбор сведений о партнерах и конкурентах.
4. Выявление недобросовестных и неплатежеспособных
партнеров.
5. Установление обстоятельств недобросовестной
конкуренции.
6. Установление обстоятельств разглашения коммерческих
секретов.
Эти услуги реализуются с целью:
1. Поиска без вести пропавших.
2. Поиска у траченного имущества.
3. Выявления биографических данных, характеризующих
граждан.
4. Изучения сведений по уголовным делам и другое.
При этом частному детективу разрешается:
1. Устный опрос граждан и должностных лиц с их согласия.
2. Изучение предметов и документов с согласия их владельцев.
3. Наведение справок.
4. Внешний осмотр помещений и других объектов.
5. Наблюдение для получения необходимой информации.
6. Использование видео- и аудиозаписи, кино- и фотосъемки, технических и иных средств, не причиняющих вреда гражданам, оперативной связи.
7. Использование специальных средств личной безопасности.
Опыт работы по пресечению разглашения конфиденциальной информации позволяет разработать определенную систему мер по предотвращению разглашения на общем уровне, рекомендаций в виде типового классификатора защитных действий по предотвращению разглашения конфиденциальной информации. Такой документ может быть детальным, если он будет привязан к конкретному объекту с акцентом на местные условия, учетом имеющихся средств, особенностей зданий и помещений.
Деятельность руководства предприятия и сотрудников службы безопасности по предупреждению разглашения охраняемых сведений включает в себя и обучение сотрудников, ознакомление их с законами, постановлениями, положениями, инструкциями, определяющими правовое отношение с государством и предприятием.
Значительное место в работе с персоналом должно отводиться обучению методам и мерам обеспечения сохранности ценной информации. В процессе обучения необходимо добиваться, чтобы сотрудники четко знали категории охраняемых ими сведений, ценность этих данных, возможные способы и методы проникновения со стороны нарушителей, а также правила и процедуры их защиты. Следует особо обратить внимание на то, чтобы сотрудники осознанно понимали разумность и необходимость всех действующих элементов режима сохранения секретов.
Следует использовать любую возможность для пропаганды обеспечения экономической безопасности предприятия; не забывать периодически вознаграждать сотрудников фирмы за успехи в этой работе; всемерно стимулировать заинтересованность и участие сотрудников в выполнении программы по обеспечению безопасности.
Способы пресечения разглашения
Важной составляющей обеспечения информационной безопасности фирмы является контроль лояльности ее персонала. Такая работа проводится как в целях упреждения преступных посягательств, так и для расследования конкретных случаев нанесения ущерба.
Неотъемлемая часть этой работы — мониторинг телефонных переговоров, ведущихся из офиса. Осуществляется также акустический или визуально-акустический контроль разговоров и действий в служебных помещениях.
Микрофонные системы акустического контроля бывают одномикрофонные и многомикрофонные. Используются мало- или микрогабаритные микрофоны, монтируемые скрытно, соединенные проводами с приемными средствами и средствами магнитной записи. Часто вблизи самого микрофона устанавливается малогабаритный усилитель с автономным или дистанционным питанием.
Многомикрофонные системы акустического контроля объединяют несколько (от 2 до 16 и более) одно-микрофонных устройств в комплексе. Центральной частью такого комплекса является концентратор, обеспечивающий коммутацию необходимых каналов, выбор режима контроля, запись сигналов на магнитофоны и прослушивание переговоров на встроенные динамики или головные телефоны. В качестве примера рассмотрим состав концентратора акустического контроля на четыре канала. Он имеет следующие возможности:
количество каналов — 4;
диапазон воспроизводимыхчастот — 30 Гц — 10 кГц;
выходная мощность — 0,2 Вт.
Сканер представляет собой, кроме коммутатора, еще и усилитель низкой частоты с широкими возможностями регулировки уровня сигнала, регулировки НЧ и ВЧ полосы, системой автоматического сканирования каналов. В состав сканера входят магнитофоны для обеспечения записи акустических сигналов в режиме контроля.
Расстояние от микрофонов до концентратора определяется конкретным изделием и может варьироваться от 300 до 3 — 5 тыс. метров. Концентратор устанавливается на посту контроля службы безопасности фирмы и позволяет прослушивать и записывать на аудиомагнитофон любой из контролируемых микрофонов.
Аудиозапись ведется на специальные магнитофоны. Например, компактный магнитофон типа CRAJG J-109 предназначен для записи аудиосигналов в течение 10 часов (непрерывная запись в течение 3 часов) на стандартную кассету С-120. Магнитофон имеет систему активизации записи голосом (VOX) с регулировкой низкого и высокого порогов срабатывания, что значительно увеличивает общее время записи. Имеется встроенный микрофон, счетчик ленты.
При мониторинге телефонных переговоров требуется иная аппаратура. При этом возможно использование как мобильных, так и стационарных средств. Последние можно подразделить на две основные группы:
■ телефонные коммутаторы;
■ автоматические системы мониторинга.
Понимая всю важность соблюдения конфиденциальности мониторинга телефонных переговоров в пределах конкретного предприятия, Правительством РФ 22 марта 1995 г. было принято Постановление № 291, в котором указывается: «Лица, участвующие в мониторинге, обязаны сохранять государственную и коммерческую тайну, к которой они получили доступ».
Телефонные коммутаторы используются для контроля небольшого числа телефонных линий (как правило, не более 20). Это стандартные изделия, выпускаемые в значительных количествах, имеющие определенный набор, позволяющий решить задачу мониторинга телефонных переговоров небольшого офиса. В качестве примера можно привести стационарный комплекс контроля телефонных переговоров «КТС-8» (фирмы «Гротек»).
«КТС-8» позволяет прослушивать телефонные переговоры на любой из 8 линий и производить автоматическую запись двух из них на диктофоны.
Однако такие устройства не обеспечивают эффективный контроль при значительном количестве телефонных точек в офисе, и тем более — в случае наличия в организации офисной телефонной станции. Эта задача решается с помощью автоматических систем мониторинга. 8Рассмотренные средства предполагают контроль со стороны службы безопасности за сотрудниками и их абонентами в целях выявления возможного разглашения ими коммерческих секретов. Однако неэтично контролировать свое собственное руководство (например, генерального директора). В этом случае следует обеспечить индивидуальную запись телефонных разговоров первого лица в интересах самоконтроля (текущего и ретроспективного) на случайное (непреднамеренное) разглашение информации самим руководителем или его абонентами. Для этого используется перспективный диктофон типа MARANTZ PMD-201. Это профессиональный кассетный магнитофон, предназначенный для записи телефонных разговоров с микрофона или линейного входа. Используется стандартная кассета С-120. Запись длительностью до 4 часов. Питание от сети и от батареек, плавная регулировка скорости воспроизведения, регулятор тембра, встроенный микрофон, гнездо для подключения телефонной линии, счетчик ленты. Имеет гнездо для дистанционного включения
Для целей самоконтроля возможно использование любых других магнитофонов и диктофонов, имеющих гнездо подключения телефонной линии.
Магнитофонная запись сегодня признается как подтверждающий материал службы безопасности, но и в судебной практике. В этом случае целесообразно вести такую запись при ведении «сомнительных» телефонных переговоров (выпытывание, угрозы), такие записи могут помочь при расследовании и даже при судебных разбирательствах. Так, в газете «Московская правда» 28 сентября 1993 г. в статье ««Помог» уладить конфликт» сказано: «вина подсудимого была подтверждена материалами дела и в их числе звукозаписями телефонных разговоров между потерпевшей и подсудимым. В этих разговорах N подтверждал требование денег, говорил о возможности уничтожения имущества и о том, что имеет оружие».
Сейчас магнитные фонограммы прочно вошли в уголовный процесс как вещественное доказательство. Суды всех без исключения инстанций (в том числе и с участием присяжных заседателей) принимают магнитные фонограммы как неоспоримое доказательство по делу.
Экспертизу подлинности зафиксированной на пленке информации проводят эксперты экспертно-криминалистического центра МВД России. Почти во всех МВД, УВД созданы лаборатории видеофоноскопических экспертиз и исследований.
Выводы
1. Разглашение конфиденциальной информации является наиболее распространенным действием, приводящим к неправомерному оглашению охраняемых сведений.
2. К факторам и обстоятельствам, приводящим к разглашению информации, относятся:
a. недостаточная подготовленность сотрудников к соблюдению требований по защите конфиденциальной информации;
b. слабый контроль со стороны руководства и соответствующих служб за установленным порядком защиты информации.
3. Основными направлениями деятельности по пресечению разглашения охраняемых сведений являются правовые и организационные меры по повышению ответственности сотрудников к соблюдению установленных мер и требований по защите конфиденциальной информации.