Неправомірне отримання інформації і захист від нього
Тема 6. Інформаційна безпека банківських установ
6.1. Неправомірне отримання інформації і захист від нього
6.2. Правове регулювання захисту таємниць банків
6.3. Відповідальність за посягання на таємниці банків
6.4. Нормативна база банку з інформаційної безпеки.
Неправомірне отримання інформації і захист від нього
У загальному плані оволодіння інформацією, щодо якої встановлено обмежений доступ, може здійснюватись шляхом її мимовільної втрати, розголошення або несанкціонованого доступу до неї.
У сучасній літературі поняття “витоку інформації” подається досить неоднозначно, але тут воно розглядається як мимовільне поширення інформації за рахунок технічних або експлуатаційних особливостей певного обладнання, втрати, пошкодження, знищення документальних та програмних носіїв інформації в результаті дії стихійного лиха, поширення інформації через потрапляння в інформаційні мережі комп’ютерних вірусів, інші випадки, які не мають навмисного характеру.
Розголошення інформації виявляється в умисному або необережному її повідомленні, опублікуванні, оголошенні, переданні, наданні для ознайомлення, пересиланні, втраті особами, яким така інформація була відома у зв’язку з їх професійною діяльністю і коли у цьому не було службової необхідності.
Несанкціонований доступ до інформації тут розуміється як доступ до інформації, який здійснюється з порушенням установлених правил розмежування доступу.
Усі зазначені вище шляхи отримання інформації можуть використовуватись конкурентами, промисловими шпигунами, спецслужбами за допомогою створення так званих каналів витоку та передання інформації. У свою чергу, ці канали передбачають створення відповідних умов для переходу інформації від її носія до споживача. Відомо, що взагалі інформація переноситься чи передається енергією або матеріальними носіями. У фізичній природі можливі такі шляхи перенесення інформації: світові промені, звукові хвилі, електромагнітні хвилі, матеріали і речовини. Використовуючи ті чи інші фізичні поля, створюють відповідні системи передавання інформації, які складаються з джерел інформації, передавачів, каналу передавання, приймачів та отримувачів інформації. Подібне існує у разі передання інформації та у взаємовідносинах людей. Носії інформації (джерела) через “передавачі”, а в деяких випадках і “приймачі” передають її отримувачам. Джерелами інформації можуть бути люди, документи, публікації, технічні засоби забезпечення виробничої діяльності, продукція, промислові та виробничі відходи.
Передавачами та приймачами можуть бути різноманітні технічні засоби, тайники, кур’єри, зв’язківці та ін. Серед отримувачів можна розглядати спецслужби, конкурентів, кримінальні елементи, ЗМІ, різні інформаційні, детективні агентства тощо.
У випадках мимовільного витоку інформації зазначеними отримувачами використовуються відповідні технічні засоби, які можуть сприймати та переробляти інформацію від так званих паразитних випромінювань технічних засобів та мереж, механічних коливань будівельних конструкцій, створених від дії на них звукових коливань. Крім того, для отримання так званої випадкової інформації організовується спостереження за різними офіційними джерелами: Інтернет, ЗМІ, конференції, симпозіуми, вивчення технічних відходів і т. п.
Як у разі мимовільного витоку інформації, так і за несанкціонованого доступу до неї існують відповідні канали отримання інформації: візуально-оптичні (спостереження, відео-, фотозйомка), акустичні та акустоперероблювальні, електромагнітні (у тому числі й магнітні та електричні), матеріально-речові (магнітні носії, папір, фотографії і т. д.).
Візуально-оптичні канали створюються як оптичний шлях від об’єкта інформації до її отримувача. Для цього необхідні енергетичні, часові та просторові умови і відповідні технічні засоби. Створенню зазначених каналів сприяють такі характеристики об’єкта інформації: відповідні його розміри, власна яскравість і контрастність. Особлива цінність інформації, отриманої через такий канал, полягає в тому, що вона є максимально достовірною, оперативною і може служити документальним підтвердженням отриманих відомостей.
Джерелом створення акустичного каналу є тіла та механізми, які здійснюють вібрацію, або коливання, такі як голосові зв’язки людини, елементи машин, що рухаються, телефонні апарати, звукопідсилювальні системи, гучномовні засоби, засоби звукозапису та звуковідновлення та ін.
Звукові коливання від голосу людини, інших звуків створюють акустичні хвилі, які, поширюючись у просторі і взаємодіючи з відповідними перешкодами, викликають у них перемінний тиск (двері, вікна, стіни, підлога, різні прилади), приводячи їх у коливальний режим. Впливаючи на спеціальні прилади (мікрофони), звукові коливання створюють у них відповідні електромагнітні хвилі, які передаються на відстань і несуть у собі створену звуковими коливаннями інформацію.
Акустичні канали створюються:
- за рахунок поширення акустичних (механічних) коливань у вільному повітряному просторі (переговори на відкритому просторі, в приміщенні при відкритих вікнах, кватирках, дверях, виток через вентиляційні канали);
- за рахунок впливу звукових коливань на елементи і конструкції будівель, викликаючи їх вібрацію (стіни, стеля, підлога, вікна, двері, вентиляційна система, труби водопостачання, опалення, мережі кондиціонування);
- за рахунок дії звукових коливань на технічні засоби обробки інформації (мікрофонний ефект, акустична модуляція і т. п.).
Електромагнітні канали за своєю фізичною природою та експлуатаційними особливостями технічних засобів, які забезпечують виробничу діяльність, є найбільш небезпечними і досить поширеними каналами отримання інформації. Такі канали створюються через наявність у технічних засобах, які використовуються у виробництві, джерел небезпечних сигналів. Насамперед до таких джерел відносять перероблювачі, якими є прилади, що трансформують зміни однієї фізичної величини в зміни іншої. У термінах електроніки перероблювач визначається як прилад, котрий перетворює неелектричну величину в електронний сигнал, або навпаки. Добрі знання роботи перероблювачів дають змогу визначати можливі неконтрольовані прояви фізичних полів, які і створюють електромагнітні канали витоку (передання) інформації. Водночас, враховуючи ідентичність технічних і конструктивних рішень, електронних схем технічних засобів обробки інформації та забезпечення виробничої діяльності підприємств і банків, усім їм потенційно властиві ті чи інші канали витоку (передання) інформації. Тому у будь-якому випадку використання технічних засобів обробки та передання інформації створює загрозу її безконтрольного витоку (передання).
Матеріально-речові канали отримання інформації створюються через вивчення відходів виробничої діяльності (зіпсовані документи або їх фрагменти, чернетки різного роду поміток, записів, листів і т. д.), викрадення, несанкціоноване ознайомлення, копіювання, фотографування, відеозапис документів, креслень, планів, зразків технічних або програмних засобів.
Поряд з неправомірним отриманням інформації існують і інші загрози, які не передбачають отримання інформації, але, у свою чергу, не менш небезпечні. Серед них такі, як знищення і модифікація (зміна змісту) інформації. У цьому разі інформація хоч і не потрапляє до конкурентів чи злочинців, але її використання стає неможливим і самими власниками.
Слід зазначити, що до факторів, які створюють умови витоку (передання) інформації, за дослідженнями спецслужб, відносять такі:
Фактори | % |
Надмірна балакучість співробітників підприємств, фірм, банків | |
Прагнення працівників підприємств, фірм, банків заробляти гроші будь-яким способом і будь-якою ціною | |
Відсутність на підприємстві, фірмі, у банку системи заходів, спрямованих на захист інформації | |
Звичка співробітників підприємств, фірм, банків ділитись один з одним почутими новинами, чутками, інформацією | |
Безконтрольне використання інформаційних систем | |
Наявність передумов для виникнення серед співробітників конфліктних ситуацій |
На підставі викладеного можна зробити висновок, що отримання інформації спецслужбами, конкурентами та зловмисниками здебільшого здійснюється через технічні засоби, які використовуються на фірмах, підприємствах, у банках, та через їхніх співробітників. Тобто в основу інформаційної безпеки має бути покладено заходи захисту інформації в засобах і мережах її передання та обробки, а також створення відповідної нормативної бази, яка б регулювала порядок доступу, зберігання і використання інформації фірми, банку, підприємства.
Заходи захисту інформації в засобах і мережах її передавання та обробки в основному передбачають використання апаратних, програмних та криптографічних засобів захисту. У свою чергу, апаратні засоби захисту (АЗЗ) застосовуються для вирішення таких завдань:
- перешкодження візуальному спостереженню і дистанційному підслуховуванню;
- - нейтралізація паразитних електромагнітних випромінювань і наводок;
- - виявлення технічних засобів підслуховування і магнітного запису, несанкціоновано встановлених або таких, які принесено до установ фірми, підприємства, банку;
- - захист інформації, що передається засобами зв’язку і міститься в системах автоматизованої обробки даних.
ЗАХИСТ ІНФОРМАЦІЇ, ЩО МІСТИТЬСЯ У СИСТЕМАХ
І МЕРЕЖАХ ПЕРЕДАВАННЯ ТА ОБРОБКИ ДАНИХ БАНКУ
За своїм призначенням АЗЗ поділяються на засоби виявлення і засоби захисту від несанкціонованого доступу. Слід зазначити, що універсального засобу, який би давав змогу виконувати всі функції, немає, тому для виконання кожної функції, відповідно до виду засобів несанкціонованого доступу існують свої засоби пошуку та захисту. За таких умов заходи щодо протидії незаконному вилученню інформації за допомогою АЗЗ досить трудомісткі та дорогі і вимагають спеціальної підготовки фахівців безпеки.
На практиці всі заходи щодо використання АЗЗ поділяються на три групи: організаційні, організаційно-технічні, технічні.
Організаційні заходи апаратного захисту — це заходи обмежувального характеру, які передбачають регламентацію доступу і використання технічних засобів передавання і обробки інформації.
Організаційно-технічні заходи забезпечують блокування можливих каналів витоку інформації через технічні засоби забезпечення виробничої і трудової діяльності за допомогою спеціальних технічних засобів, які встановлюються на елементи конструкцій споруд і будівель, приміщень і технічних засобів, потенційно створюючи канали витоку інформації.
Технічні заходи — це заходи, які забезпечують використання в процесі виробничої діяльності спеціальних, захищених від побічних випромінювань технічних засобів передавання й обробки конфіденційної інформації.
Під програмними засобами захисту розуміють систему спеціальних програм, включених до складу програмного забезпечення комп’ютерів та інформаційних систем, які реалізують функції захисту конфіденційної інформації від неправомірних дій і програми їх обробки.
Програмні засоби забезпечують захист інформації від несанкціонованого доступу до неї, копіювання її або руйнування.
Під час захисту від несанкціонованого доступу (НСД) за допомогою програмних засобів здійснюється:
- ідентифікація об’єктів і суб’єктів;
- розмежування доступу до інформаційних ресурсів;
- контроль і реєстрація дій з інформацією і програмами.
Захист інформації від копіювання забезпечується виконанням таких функцій:
- ідентифікація середовища, з якого буде запускатись програма;
- аутентифікація середовища, із якого запущена програма;
- реакція на запуск із несанкціонованого середовища;
- реєстрація санкціонованого копіювання;
- протидія вивченню алгоритмів роботи системи.