Классификация и характеристики каналов утечки
Конфиденциальной информации
Представляют интерес такие угрозы, как утрата охраняемых сведений в ходе информационного процесса. Признаки таких угроз: активные, осознанные, целенаправленные действия сторон, в том числе: 1) разглашение конфиденциальной информации ее обладателем; 2) утечка информации по различным, в том числе и зачастую по техническим каналам; 3) НСД к конфиденциальной информации различными способами.
Разглашение информации ее обладателем – это умышленные или неосторожные действия должностных лиц и граждан, которым в установленном порядке были доверены соответствующие сведения по работе, приведшие к оглашению охраняемых сведений, а также передача таких сведений по открытым техническим каналам.
Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, при обсуждении, утере и оглашении любыми иными способами конфиденциальной информации лицам и организациям, не имеющим права доступа к охраняемым секретам.
Каналы разглашения информации: почтовые отправления, радио, телевидение, печать и т.п.; деловые встречи, беседы при обсуждении совместных работ; договоры; письма и документы и др.
Причины разглашения конфиденциальной информации: слабое знание (или незнание) требований по защите конфиденциальной информации; ошибочность действий персонала из–за низкой производственной квалификации; отсутствие системы контроля оформления документов, подготовки выступлений, рекламы и публикаций; злостное, преднамеренное невыполнение требований по защите коммерческой тайны.
Разглашение конфиденциальной информации неизбежно приводит к материальному и моральному ущербу.
Утечка информации – это бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена.
С позиции права утечка информации предполагает противоправное (тайное или явное, осознанное или случайное) овладение конфиденциальной информацией, независимо от того, каким путем это достигается.
Характеристики противоправных действий, связанных с утечкой охраняемой информации: обстоятельства происхождения утечки; причины утечки; условиями утечки.
Существует ряд причин, условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информации.
Обстоятельства происхождения утечки конфиденциальной информации:
1) низкая эффективность управления персоналом, недостатки должностных лиц, проявляющаяся в том числе и в следующем: излишней болтливости; стремлении зарабатывать деньги любыми способами и ценой; отсутствии в организации службы безопасности; привычке делится друг с другом служебной информацией; бесконтрольном использовании информационных систем; наличии предпосылок возникновения конфликтных ситуаций из-за низкой психологической совместимости и сплоченности сотрудников коллектива;
2) наличие конкурента, злоумышленника, затрачивающегося определенные силы и средства для получения информации;
3) наличие условий минимальных затрат конкурента на овладение интересующей его информацией и др.
Причины утечки информации: несовершенство и нарушение норм по ЗИ; нарушение правил обращения с документами, ТСОИ, образцами продукции и другими материалами, содержащими конфиденциальную информацию и др.
Условия утечки конфиденциальной информации, определяются факторами и обстоятельствами, складывающимися в процессе различных видов деятельности и создающие предпосылки возникновения утечки. К таким факторам и обстоятельствам относятся:
1) низкие знания персонала правил защиты тайны, непонимание необходимости их соблюдения, в том числе:
– утрата удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей;
– несанкционированный, неконтролируемый пронос на территорию оргтехники, ТСОИ личного пользования;
– недонесение о фактах возможной утечки конфиденциальных сведений руководству организации и службы безопасности (СБ);
– несанкционированный вынос за пределы организации конфиденциальных документов, изделий;
– неправильное определение грифа секретности документа (изделия);
– нарушений правил работы с конфиденциальными, материалами и документами, в том числе хранения, исполнения, ознакомления, допуска, размножения, копирования, передачи, получения, доставки, получения, возвращения, отчетности и др.;
– несоблюдение правил физической защиты рабочих помещений (спецхранилищ);
– нарушение правил ведения конфиденциальных переговоров, в том числе и с использованием ТСОИ;
2) использование не аттестованных ТСОИ;
3) недостаточный контроль эффективности ЗИ, в том числе с использованием правовых, организационных, инженерно–техническими мер, способов, средств, мероприятий;
4) текучесть персонала, владеющего конфиденциальными сведениями;
5) латентные нарушения правил обеспечения ИБ:
• ознакомление с конфиденциальными документами, изделиями, работами посторонних лиц;
• неправильная адресация конфиденциальных документов;
• использование неучтенных носителей для подготовка конфиденциальных документов;
• публикации научных и других работ, содержащих конфиденциальную информацию без соответствующей экспертизы и др.
Утечке информации способствуют и стихийные бедствия, катастрофы, неисправности, отказы, аварии технических средств и оборудования.
Каналами несанкционированного доступа к конфиденциальной информации являются: физические и юридические лица, их имущественная собственность, личная деятельность, связанные с обработкой информационных ресурсов; состав, состояние и деятельность объекта конфиденциальной информации;
Известны наиболее характерные источники, традиционные приемы и методы получения конфиденциальной информации, которые описывают действия субъектов правовых отношений в информационной и сфере обеспечения ИБ: сбор информации, со средств массовой информации, включая официальные документы; использование служебных сведений конкурирующих и противоборствующих организаций; документы, отчеты консультантов, финансовые документы, выставочные экспонаты и проспекты и др.; продукция конкурирующих и других организаций, представляющая интерес для видовых разведок, использование данных, полученных во время бесед с обслуживающим персоналом; скрытые опросы служащих организации на научно–технических конгрессах; скрытые наблюдения; беседы о найме на работу (без намерений приема их на работу); наем на работу служащего конкурирующей организации для получения требуемой информации; подкуп служащего; подслушивание переговоров, ведущихся в служебных, иных помещениях и с использованием ТСОИ; кража эксплуатационно-технической документации и др.; шантаж и вымогательство и другие.
Рассмотренные источники и методы получения конфиденциальной информации, а также ее уничтожения, искажения, блокирования не является исчерпывающим, однако они позволяют сгруппировать все вероятные источники утечки информации на три основные группы: 1) персонал, имеющий доступ к конфиденциальной информации; 2) документы, содержащие эту информацию; 3) ТСОИ.
Вероятные каналы утечки информации (КУИ), определяются наличием соответствующих источников конфиденциальной информации. Среди разнообразных каналов утечки информации, используемых ТСР, человек является одной из главных причин и источников утечки конфиденциальной информации, таблица 2.1.
Таблица 2.1.
Группы КУИ
| № п/п | Каналы утечки информации | % |
| Подкуп, шантаж, переманивание служащих, внедрение агентов. | ||
| Подслушивание телефонных переговоров. | ||
| Кража документов. | ||
| Проникновение в ПЭВМ. | ||
| Съем информации с каналов "втемную". |
Персонал, имеющий доступ к конфиденциальной информации – людские потоки, создающие возможные КУИ.
Распространенность этих КУИ определяется: приемом и увольнением работников организации – 32%; посещением организации командированными лицами – 28%; проведением совещаний по секретным вопросам – 15%; ведением конфиденциальных работ в рабочих помещениях – 15%; допуском и обращением к конфиденциальной информации – 14%; выездом специалистов за границу – 10%; организацией пропускного и внутриобъектового режима – 8%; прохождением практики обучаемыми – 7%; посещением международных выставок – 7%; обучением на курсах повышения квалификации – 5%; подготовкой постановлений и решений, приказов и других документов – 4%.
Типовые нарушения, относящиеся к персоналу.
1) при приеме и увольнении: прием без оформления допуска, доступ к конфиденциальной информации с нарушением установленных требований, несвоевременное и неполное ознакомление персонала с требованиями нормативных правовых актов по обеспечению ИБ, неудовлетворительные знания нормативных правовых актов, увольнение персонала, являющегося носителями конфиденциальной информации и др.;
2) при посещении предприятий командированными лицами: нарушения правил допуска, ведомственных нормативных актов, отсутствие в предписаниях отметок о действительно выданной информации, прием командированных лиц с предписаниями, в которых отсутствуют основания командирования и не определение степени конфиденциальности материалов, к которым допускается командированное лицо;
3) при проведением служебных совещаний: использование не аттестованных помещениях, нарушение правил допуска на совещание, несоблюдение требований по использованию ТСОИ и оргтехники, использование неучтенном носителей конфиденциальной информации, ошибочная рассылка адресатам конфиденциальной информации;
4) при ведении конфиденциальных работ, документов, изделий в рабочих помещениях: отсутствие специальных средств ЗИ, ТСОИ, оргтехники, средств жизнеобеспечения, пожарной и охранной сигнализации, систем электрочасофикации, электрооборудования и других дополнительных технических средств защиты, исключающих КУИ;
5) при допуске, доступе и обращении с конфиденциальной информацией образуются за счет расширения круга лиц к документам, изделиям, техническим заданиям (ТЗ);
6) при нарушении пропускного и внутриобъектового режима;
7) при неправильной организации прохождения технологической и преддипломной практики обучаемых;
Таким образом, проведенный анализ характеристик информации, правонарушений ИБ, угроз и каналов утечки конфиденциальной информации позволяет уточнить свойства информации, подлежащие правовой защите.