ОЦЕНКА УЩЕРБА ВСЛЕДСТВИЕ ПРОТИВОПРАВНОГО РАСКРЫТИЯ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА И МЕРЫ ПО ЕГО ЛОКАЛИЗАЦИИ

К информации с ограниченным доступом относится: государственная, коммерческая, банковская, профессиональная, служебная тайны, персональные данные и интеллектуальная собственность.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации 155]:

— владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
— источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;
— промежуточная ситуация — это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

В общем случае факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации (НСД).

Разглашение — это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т.д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения.

Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ — это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения — стационарные или в подвижном варианте, оборудованные самыми современными техническими средствами.

Конкурентная борьба в условиях рыночной экономики невозможна без получения достоверной информации, а стремление получить ее в условиях закрытого доступа порождает недобросовестную конкуренцию. Экономическая сущность недобросовестной конкуренции ясна — не тратить средства на проведение разработок новой продукции, а незаконно получить информацию о ней у конкурента и таким образом получить большую прибыль. Кроме того, преследуются и другие цели: уничтожить конкурента, сорвать ему выгодные сделки, понизить престиж предприятия и др.

Чтобы добыть информацию ограниченного доступа, злоумышленники имеют необходимые кадры, технические средства и отработанные способы и приемы несанкционированного доступа.

В современной практике шпионажа способами НСДявляются [55]:

1. Инициативное сотрудничество — проявляется в определенных действиях лиц, чем-то неудовлетворенных или остро нуждающихся в средствах к существованию, из числа работающих на предприятии или просто алчных, готовых ради наживы на любые противоправные действия.
2. Склонение к сотрудничеству — это, как правило, насильственное действие со стороны злоумышленников. Склонение или вербовка может осуществляться путем подкупа, запугивания, шантажа.
3. Выведывание, выпытывание — это стремление под видом наивных вопросов получить определенные сведения. Выпытывать информацию можно и ложным трудоустройством, и созданием ложных фирм, и другими действиями.
4. Подслушивание — способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, информаторами, специальными постами подслушивания. В интересах подслушивания злоумышленники идут на самые различные ухищрения, используют для этого специальных людей, сотрудников, современную технику, различные приемы ее применения. Подслушивание может осуществляться непосредственным восприятием акустических колебаний лицом при прямом восприятии речевой информации либо с помощью технических средств.
5. Наблюдение — способ ведения разведки о состоянии и деятельности противника. Ведется визуально и с помощью оптических приборов целенаправленно, в определенное время и в нужном месте специально подготовленными людьми, как правило, скрытно.
6. Хищение — умышленное противоправное завладение чужим имуществом, средствами, документами, материалами, информацией.
7. Копирование. В практике криминальных действий копируют документы, содержащие интересующие злоумышленника сведения; информацию, обрабатываемую в автоматизированных системах обработки данных; продукцию.
8. Подделка. Подделывают доверительные документы, позволяющие получить определенную информацию, письма, счета, бухгалтерскую и финансовую документацию, ключи, пропуска, пароли и др.
9. Уничтожение. Особую опасность представляет уничтожение информации в автоматизированных системах обработки данных, в которых накапливаются на технических носителях огромные объемы сведений различного характера. Уничтожаются и сведения о людях, и документы, и средства обработки информации, и продукция.
10. Незаконное подключение. Под незаконным подключением понимается контактное или бесконтактное подключение к различным линиям с целью несанкционированного доступа к информации.
11. Перехват. В практике радиоэлектронной разведки под перехватом понимают получение разведывательной информации за счет приема сигналов электромагнитной энергии пассивными средствами приема, расположенными, как правило, на достаточном расстоянии от источника конфиденциальной информации. Перехвату подвержены переговоры любых систем радиосвязи, переговоры, ведущиеся с подвижных средств телефонной связи, переговоры внутри помещения посредством бесшнуровых систем учрежденческой связи и др.
12. Негласное ознакомление — способ получения информации, к которой субъект не допущен, но при определенных условиях он может получить возможность с ней ознакомиться. К негласному ознакомлению относится и перлюстрация почтовых отправлений, учрежденческой и личной переписки.
13. Фотографирование — способ получения видимого изображения объектов криминальных интересов на фотоматериале. Особенность способа — документальность, позволяющая при дешифрировании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения.
14. Сбор и аналитическая обработка являются завершающим этапом изучения и обобщения добытой информации с целью получения достоверных и объемлющих сведений по интересующему злоумышленника аспекту деятельности объекта его интересов. Полный объем сведений о деятельности конкурента не может быть получен каким-нибудь одним способом. Чем большими информационными возможностями обладает злоумышленник, тем больших успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет необходимую информацию, переработает ее и примет правильное решение.

Краткий обзор способов НСД позволяет заключить, что к определенным источникам информации применимы и определенные способы НСД.

Условия, способствующие неправомерному овладению конфиденциальной информацией, следующие [23]:

— разглашение (излишняя болтливость сотрудников) — 32%;
— несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок — 24%;
— отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности — 14%;
— традиционный обмен производственным опытом — 12%;
— бесконтрольное использование информационных систем —
10%;
— наличие предпосылок возникновения среди сотрудников конфликтных ситуаций — 8%.

Надежность и эффективность системы безопасности объекта оценивается на основе одного критерия — степени отсутствия или наличия нанесенного ему материального ущерба и морального вреда. Содержание этого критерия раскрывается через ряд показателей:

1) недопущение фактов утечки (разглашения) конфиденциальных сведений;
2) предупреждение или пресечение противоправных действий со стороны персонала предприятия, его посетителей, клиентов;
3) сохранность имущества и интеллектуальной собственности предприятия;
4) предупреждение чрезвычайных ситуаций;
5) пресечение насильственных преступлений в отношении отдельных (специально выделенных) сотрудников и групп сотрудников;
6) своевременное выявление и пресечение попыток несанкционированного проникновения на охраняемые объекты.

Однако быстрое изменение проблематики рассматриваемой области приводит к вариации подходов и методов оценки ущерба. Наиболее целесообразно эту проблему рассматривать в неразрывной связи с функционированием всех подсистем в единой комплексной системе обеспечения безопасности объекта информатизации.

Стоимость ущерба, т.е. потери финансовых, материальных ценностей и (или) информационных ресурсов на объекте при отсутствии технических средств охраны (ТСО), могут составлять 100%. При наличии же ТСО ущерб растет от нуля вплоть до времени начала ликвидации угрозы, которое состоит из времени срабатывания и времени реагирования.

В процессе ликвидации угрозы, на которое также необходимо определенное время ликвидации, рост ущерба замедляется и останавливается при окончании угрозы.

Ущерб может носить как случайный, так и намеренный характер.

При расчете стоимости риска от наступления события следует учитывать такие параметры, как:

— стоимость возмещения прямых убытков от возможного действия (проникновения, кражи, пожара и т.д.);
— стоимость временных расходов на восстановление последствий;
— стоимость штрафов, прямых, косвенных убытков из-за невыполнения договорных обязательств;
— стоимость потерь из-за невозможности проведения производственных операций.

Чрезвычайно важно рассматривать методологию оценки ущерба от противоправных нарушений в связи с методологией оценки стоимости систем защиты информации. Обе методики напрямую зависят от стоимости составляющих СЗИ технических (аппаратно-программных) средств и стоимости работ по их установке.

При организации работ по обеспечению безопасности информации оценка возможного ущерба должна являться необходимым и обязательным условием.

ОЦЕНКА УЩЕРБА ВСЛЕДСТВИЕ ПРОТИВОПРАВНОГО РАСКРЫТИЯ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА И МЕРЫ ПО ЕГО ЛОКАЛИЗАЦИИ

ИНФОРМАЦИЯ ОГРАНИЧЕННОГО ДОСТУПА

Ограничение доступа к информации

Порядок ограничения доступа к информации, распространяемой с нарушением авторских и (или) смежных прав

Порядок ограничения доступа к информации, распространяемой с нарушением закона

Порядок ограничения доступа к информационному ресурсу организатора распространения информации в сети Интернет

Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных

ОБЩАЯ ХАРАКТЕРИСТИКА ИНФОРМАЦИИ С ОГРАНИЧЕННЫМ ДОСТУПОМ

ПРАВОВЫЕ РЕЖИМЫ ИНФОРМАЦИИ С ОГРАНИЧЕННЫМ ДОСТУПОМ