Канали витоку інформації

Реально існуючі загрози безпеки інформації тісно пов’язані з можливими каналами витоку інформації, які класифікують за такими групами:

– перша група каналів, що пов’язані з доступом до елемен­тів системи обробки даних, але такі, що не потребують зміни компонентів системи. До них відносять:

• дистанційно приховане відеоспостереження або фото­графування;

застосування підслуховуючих пристроїв;

• перехоплення електромагнітних випромінювань тощо;

– друга група каналів, що пов’язані з доступом до елемен­тів системи і зміною структури її елементів. До них належать:

• спостереження за інформацією з метою її запам’ятову­вання у процесі обробки;

• розкрадання носіїв інформації;

• навмисне зчитування даних із файлів інших користу­вачів;

• зчитування залишкової інформації, тобто даних, що за­лишаються на магнітних носіях після виконання завдань;

• копіювання носіїв інформації;

• навмисне використання для доступу до інформації тер­міналів зареєстрованих користувачів;

• маскування під зареєстрованого користувача шляхом викрадення паролів й інших реквізитів розмежування доступу до інформації, що використовується в систе­мах обробки;

• використання для доступу до інформації так званих люків, дір і лазівок, тобто можливостей обходу меха­нізму розмежування доступу, що виникають унаслідок недосконалості загальносистемних компонентів про­грамного забезпечення (операційних систем, систем керування базами даних тощо) і неоднозначностями мов програмування, що застосовуються в автоматизованих системах обробки даних;

– третя група каналів, що включає в себе:

• незаконне підключення спеціальної реєструючої апа­ратури до пристроїв системи або ліній зв’язку (перехоп­лення модемного і факсимільного зв’язку);

• зловмисна зміна програм у спосіб, коли ці програми по­ряд з основними функціями обробки інформації здійс­нюють також несанкціоновані збирання і реєстрацію інформації, що захищається;

• зловмисне виведення з ладу механізмів захисту;

– четверта група каналів, що охоплює:

• несанкціоноване одержання інформації шляхом підку­пу або шантажу посадових осіб відповідних служб;

• одержання інформації шляхом підкупу і шантажу спів­робітників, знайомих, обслуговуючого персоналу або родичів, що обізнані з інформацією.

З розглянутих каналів витоку інформації спинимося на найпоширеніших.

Витік акустичної інформації через застосування підслухо­вуючих пристроїв. Для перехоплення і реєстрації акустичної інформації існує величезний арсенал різноманітних засобів розвідки: мікрофони, електронні стетоскопи, радіомікрофони або так звані радіозакладки, лазерні мікрофони, апаратура магнітного запису. Набір засобів акустичної розвідки, вико­ристовуваних для вирішення конкретних завдань, суттєво за­лежить від можливостей доступу агента до контрольованого приміщення або до зацікавлених осіб. Застосування тих або ін­ших засобів акустичного контролю залежить від умов застосу­вання, поставлених завдань, технічних і насамперед фінансо­вих можливостей організаторів підслуховування.

Мікрофони. У разі, якщо існує постійний доступ до об’єкта контролю, можуть бути використані найпростіші мініатюрні мікрофони, з’єднувальні лінії яких виводять у сусідні приміщен­ня для реєстрації і подальшого прослуховування акустичної інформації. Такі мікрофони діаметром 2,5 мм можуть уловлю­вати нормальний людський голос з відстані до 10-15 м. Разом із мікрофоном у контрольованому приміщенні, як правило, приховано встановлюють мініатюрний підсилювач із компре­сором для збільшення динамічного діапазону акустичних сиг­налів і забезпечення передачі акустичної інформації на значні відстані. Ці відстані в сучасних пристроях досягають до 500 і більше метрів, тобто служба безпеки фірми, що займає бага­топоверховий офіс (або зловмисник), може прослуховувати будь-яке приміщення в будинку. При цьому проводові лінії зазвичай з кількох приміщень виводяться в одну на спеціаль­ному пульті і операторові залишається лише вибірково прослуховувати кожну з них, до того ж, за потреби, можна записува­ти розмови на магнітофон або жорсткий диск комп’ютера для збереження і подальшого прослуховування.

Для одночасної реєстрації акустичних сигналів із кількох приміщень (від двох до тридцяти двох) існують багатоканальні реєстратори створені на базі персональних електронно-обчис­лювальних машин (ПЕОМ). Такі реєстратори найчастіше вико­ристовують для контролю акустичної інформації приміщень і телефонних розмов. Вони мають різні додаткові функції – такі, як визначення вхідних і вихідних номерів телефонів, ведення журналів і протоколів сеансів зв’язку тощо. Мікрофони можуть бути введені через вентиляційні канали на рівень контрольованого приміщення, що може прослухуватися з іншого приміщення,горища будинку або з даху в місцях виходу вентиляційногоколодязя.

Окрім безпосереднього перехоплення звукових коливань, окремі мікрофони (мікрофони-стетоскопи) можуть сприймати звукові коливання, що поширюються з контрольованого при­міщення по будівельних конструкціях будинку (стіни, труби опалення, двері, вікна тощо). їх використовують для прослухо­вування розмов через стіни, вікна, двері. Контрольний пункт для прослуховування розмов за допомогою мікрофонів-стетоскопів може бути обладнаний у безпечному місці будинку на значній відстані від контрольованого приміщення.

Сучасна промисловість випускає багато модифікацій мік­рофонів спрямованої дії, що приймають і підсилюють звуки, що йдуть з одного напрямку і послабляють всі інші звуки. Конст­рукції вузько спрямованих мікрофонів є різноманітними. Це і форма тростини або парасольки, і мікрофони, що використо­вують параболічні концентратори звуку трубки органного типу або акустичні решітки. Так, направлений мікрофон із па­раболічним концентратором діаметром 43 см, підсилювачем і головними мікрофонами дає можливість прослухувати роз­мови на відкритій місцевості з відстані до 1 км.

Диктофони і магнітофони. Якщо агенти не мають постій­ного доступу до об’єкта, але існує можливість його короткочас­ного відвідування під різними приводами, то для акустичної розвідки використовують радіомікрофони, мініатюрні дикто­фони і магнітофони закамуфльовані під предмети повсякден­ного побуту: книги, письмові прилади, пачку сигарет, авторуч­ку. Крім цього, диктофон може знаходитися в однієї з осіб, що є присутньою на закритій нараді. У цьому випадку часто вико­ристовують виносний мікрофон, що захований під одягом або закамуфльований під годинник, авторучку, ґудзик.

Сучасні диктофони забезпечують безперервний запис го­лосової інформації від ЗО хв до кількох годин, вони оснащені системами акустозапуску (VOX, VAS), тобто управління за рів­нем акустичного сигналу, автореверса, індикації дати і часу за­пису, дистанційного управління.

Вибір диктофонів сьогодні дуже великий. У деяких моделях диктофонів як носіїв інформації використовують цифрові мікро-чіпи і міні-диски. Записану на такому диктофоні голосову інфор­мацію можна переписувати на жорсткі диски комп’ютерів для збереження, архівації та подальшого прослуховування. Серйоз­ною перевагою цифрових диктофонів є те, що вони не виявляють себе при роботі, на відміну від касетних, які виявляють спеціаль­ними приладами по електромагнітних випромінюваннях.

Радіомікрофони. Радіотелефони є найпоширенішими техніч­ними засобами знімання акустичної інформації. їх популярність пояснюється простотою користування, відносною дешевизною, малими розмірами і можливістю камуфляжу. Розмаїтість радіо-мікрофонів, або так званих радіозакладок, є досить великою, а тому їх класифікують на радіомікрофони з параметричною стабілізацією частоти і радіомікрофони з кварцовою стабіліза­цією частоти.

Параметрична стабілізація частоти не може претендувати на високу якість передачі через втрату частоти залежно від міс­ця розташування, температури та інших дестабілізуючих чин­ників (особливо, якщо радіомікрофон є переносним варіантом, і розміщений на тілі людини). ‘

Кварцова стабілізація частоти або, як її часто називають фа­хівці, «кварцові закладки» є кращими попередніх, оскільки радіозакладки працюють, як звичайний передавач. Як джерело електроживлення радіозакладок використовують малогабаритні акумулятори. Термін роботи подібних закладок визначається часом роботи акумулятора, зазвичай при безперервній роботі це 1-2 доби. Закладки можуть бути як досить складними (використовувати системи нагромадження і передачі сигналів, прист­рою дистанційного нагромадження), так і найпростішими, що включають три основних вузли: мікрофон, що визначає зону акустичної чутливості радіозакладки; власне радіопередавач, що визначає дальність її дії та прихованість роботи; джерело електроживлення, що визначає час безперервної роботи.

Прихованість роботи радіозакладок забезпечується невели­кою потужністю передавача, вибором частоти випромінювання і застосуванням спеціальних заходів закриття. Зазвичай робочу частоту обирають поблизу частоти потужної радіостанції, що своїми сигналами маскує працюючу закладку. Для закриття радіоканалу застосовують різні методи: шифрування переда­ного сигналу методом його аналогового маскування у вигляді інверсії низького частотного спектра або адаптивної дельта-модуляції інформаційного сигналу з додаванням цифрового псевдовипадкового потоку. Радіомікрофони із закритим каналом значно важче виявляються навіть із застосуванням дорогих пошукових технічних засобів, але й ціни на радіомікрофони із закритим каналом значно вищі.

Мікрофони, що використовують в радіозакладках, можуть бути як вбудованими, так і виносними. Фізична прихованість радіозакладок визначається ретельним їхнім маскуванням у контрольованому приміщенні. Утім, у кожному приміщенні є кілька приладів, що виглядають при цьому цілком логічно і, розміщуючись на видному місці, не привертають найменшої уваги. З огляду на це, радіомікрофони зазвичай засекречу­ються у вигляді авторучок, запальничок, картонок, предметів інтер’єру тощо. Дальність дії радіомікрофонів визначається в основному потужністю передавача, що несе частоти, видом модуляції та властивостями приймального пристрою. Час без­перервної роботи багато в чому залежить від організації живлення пристрою. Якщо радіомікрофон живиться від мережі 220 Вт, а такого типу «закладки» найчастіше виконуються у вигляді трійників, розеток, подовжувачів, то час його роботи не обме­жено. Якщо ж живлення здійснюється від батарейок або аку­муляторів, то вихід із становища знаходять у застосуванні режиму акустопуску (керування голосом), використанні дис­танційного управління (ДУ) включенням або збільшенням ємнос­ті батарей.

Витік інформації завдяки прихованому і дистанційному відеоспостереженню.

Із засобів даного типу найбільш широко застосовуються таємно встановлені фото-, кіно- і відеокамери з вихідним отво­ром об’єктива у кілька міліметрів. Використовуються також мініатюрні відеосистеми, що складаються з мікровідеокамери з високою чутливістю й мікрофоном і встановлюються на две­рях або у стіні. Для конспіративного спостереження викорис­товуються також мікровідеокамери в настінних годинниках, у датчиках пожежної сигналізації, невеликих радіомагнітолах, а також у краватці чи брючному ремені. Відеозображення мо­же записуватися на малогабаритний відеомагнітофон або пере­даватися за допомогою малогабаритного передавача радіокана­лом в інше приміщення або автомашину на спеціальний або стандартний телеприймач. Відстань передачі, залежно від по­тужності передачі сягає від 200 м до 1 км. При використанні ретрансляторів відстань передачі може бути збільшено. При­вертає увагу автомобільна система прихованого відеоспостереження. Відеокамера, що забезпечує круговий огляд, закамуф­льована під зовнішню антену стільникового телефону. Плоский екран встановлюється на сонцезахисному козирку, або в «бардачку», пульт управління – в попільничці або ж у дверях. Відеосигнал, залежно від комплектації, може записувати­ся прямо на відеомагнітофон або передаватися радіолінією на відстань до 400 м.

Лазерне зняття мовної інформації. Для дистанційного перехоплення інформації (розмови) з приміщень іноді використовують лазерні пристрої. Із пункту спостереження їїнапрямку джерела звуку посилається зондувальний промінь, який зазви­чай спрямовується на скло вікон, дзеркала, інші відбивачі.Усі ці предмети під дією голосових сигналів, що циркулюють у приміщенні коливаються і своїми коливаннями модулюють лазерний промінь, прийнявши який у пункті спостереження, шляхом нескладних перетворень можна відновити всі голосові сигнали, що циркулюють у даному приміщенні. На сьогодніш­ній день створено ціле сімейство лазерних засобів акустичної розвідки. Такі пристрої складаються з джерела випромінюван­ня (гелій-неоновий лазер), приймача цього випромінювання з блоком фільтрації шумів, двох пар головних телефонів, аку­мулятора і штатива. Наведення лазерного випромінювання на шибку потрібного приміщення здійснюється за допомогою телескопічного візира. Знімання голосової інформації з віконних рам із двошаровим склом поліпшеної якості забезпечується з відстані до 250м. Такою можливістю, зокрема, володіє систе­ма SIPE LASER 3-DA SUPER виробництва СІЛА. Однак на якість прийнятої інформації, крім параметрів системи вплива­ють такі чинники:

— параметри атмосфери (розсіювання, поглинання, турбу­лентність, рівень фону);

— якість обробки поверхні, що зондується (шорсткості і не­рівності, обумовлені як технологічними причинами, так і впли­вом середовища – бруд, подряпини тощо);

— рівень фонових акустичних шумів;

— рівень перехопленого голосового сигналу.

Поза тим, застосування подібних засобів вимагає великих витрат не тільки на саму систему, але й на устаткування для обробки отриманої інформації. Застосування такої складної системи вимагає високої кваліфікації та серйозної підготовки операторів. Як зазначає відомий дослідник Г. А. Пастернак-Таранушенко, саме такий пристрій використовувався у касетному скандалі Л. Кучми, наголошуючи при цьому, що касети запису­валися не з-під дивану у кабінеті Президента України, а з будин­ку на розі вулиць Лютеранська та Банківська (№ 21/12),з офі­су одного з інститутів іноземної держави. З усього цього можна зробити висновок, що хоч застосування лазерного «зняття» го­лосової інформації є досить дорогим і складним задоволенням, усеж варто оцінити потребу захисту інформації і від цього виду розвідки.

Витік інформації при використанні засобів зв’язку і різних провідних комунікацій. У даному разі, коли йдеться про мож­ливість перехоплення інформації при використанні ліній зв’язку і провідних комунікацій, доцільно враховувати, що пе­рехоплення може здійснюватися не тільки з телефонних ліній і не тільки голосової інформації. До таких можна віднести:

– прослуховування і запис перемовин з телефонних ліній;

– використання телефонних ліній для дистанційного зні­мання аудіоінформації з контрольованих приміщень;

– перехоплення факсимільної інформації;

— перехоплення розмов із радіотелефонів і стільникового зв’язку;

— використання мережі 220Вт і ліній охоронної сигналіза­ції для передачі акустичної інформації з приміщень;

– перехоплення пейджингових повідомлень.

З огляду на посилену увагу з боку пересічних громадян до згаданих питань, охарактеризуємо детальніше перераховані канали витоку інформації.

Прослуховування і запис перемовин із телефонних ліній. Телефонні абонентські лінії зазвичай складаються з трьох ді­лянок: магістральної (від АТС до розподільної шафи [РШ]), розподільної (від РШ до розподільної коробки [КРТ]), або­нентської проводки (від КРТ до телефонного апарата). Останні дві ділянки – розподільна і абонентська – є найбільш уразли­вими з погляду перехоплення інформації. Підслуховуючий пристрій може бути встановлений в будь-якому місці, де є дос­туп до телефонних проводів, телефонного апарата, розетки, або в будь-якому іншому місці лінії. Найпростішим способом під­слуховування є ввімкнення паралельного телефонного апарата або «монтерської» трубки. Використовуються також спеціаль­ні адаптери для підключення магнітофонів до телефонної лінії. Адаптери виконані таким чином, що диктофон, встановлений на запис у режимі акустопуску, включається лише при «знятій» трубці телефонного апарата. Таке приєднання прак­тично не виявляється за допомогою тих апаратних засобів, які широко використовуються для пошукових цілей.

Найпоширенішими з подібних пристроїв прослуховування є телефонні контролери-радіоретранслятори, які зазвичай називають телефонними передавачами або телефонними «за­кладками», їх підмикають паралельно або послідовно в будь-якому місці телефонної лінії. Вони мають значний термін служ­би, оскільки живляться від телефонної мережі. Такі пристрої надзвичайно популярні сьогодні у промисловому шпигунстві завдяки своїй простоті і дешевизні. Більшість телефонних «закладок» автоматично вмикаються при піднятті слухавки і передають розмову радіоканалом на приймач пункту перехоп­лення, де він може бути прослуханий і записаний. Такі «заклад­ки» використовують мікрофон телефонного апарата і не мають свого джерела живлення, тому їх розміри можуть бути дуже невеликими.

Як антена, зазвичай використовується телефонна лінія. Для маскування телефонні «закладки» випускаються промисловістю у вигляді конденсаторів, реле, фільтрів та інших стандартних елементів і вузлів, що входять до складу телефонного апарата. Найчастіше телефонні «закладки» намагаються встановлювати за межами офісу або квартири, що істотно знижує ризик їх ви­явлення. Для спрощення процедури підключення підслуховуючих пристроїв і зменшення впливу на телефонну лінію використо­вують пристрої з індуктивним датчиком знімання інформації. Особливістю подібних пристроїв є те, що для них потрібне авто­номне джерело живлення і пристрій повинен мати схему авто­матичного включення при знятті слухавки.

Використання телефонних ліній для дистанційного зніман­ня аудіоінформації з контрольованих приміщень. Окреме міс­це займають системи, що призначені не для підслуховування телефонних перемовин, а для використання телефонних ліній при прослуховуванні контрольованих приміщень, де встанов­лені телефонні апарати або прокладені проводи телефонних ліній. За приклад такого пристрою може служити «телефонне вухо», яке являє собою невеликий пристрій, що підмикається пара­лельно до телефонної лінії або розетки в будь-якому зручному місці контрольованого приміщення, для прослуховування якого потрібно набрати номер абонента, у приміщенні якогоперебуває «телефонне вухо». Почувши перший гудок АТС потрібно покласти трубку і через 10-15секунд повторити набір номера. Пристрій дає помилкові гудки «зайнято» протягом 40-60 секунд, після чого гудки припиняються і включається мікрофон
у пристрої «телефонне вухо» починається прослуховування
приміщення. У випадку звичайного дзвінка «телефонне вухо»
пропускає всі дзвінки після першого, виконуючи роль звичай­ної телефонної розетки і не заважаючи розмові.

Крім того, можливе використання телефонної лінії для пе­редачі інформації з мікрофона, таємно встановленого у примі­щенні. При цьому, з метою не перешкоджання нормальній ро­боті телефонного зв’язку, використовується головна частота в діапазоні від десятків до сотень кілогерц. Практика свідчить, що в реальних умовах дальність дії подібних систем із прий­нятною розбірливістю розмови суттєво залежить від якості лі­нії, прокладки телефонних проводів, наявності в даній місце­вості радіотрансляційної мережі, наявності обчислювальної й оргтехніки тощо.

Перехоплення факсимільної інформації. Перехоплення факсів-повідомлень принципово не відрізняється від перехоп­лення телефонних повідомлень. Завдання доповнюється тіль­ки обробкою отриманого повідомлення. Комплекси перехоп­лення і реєстрації факсимільних повідомлень складаються, як правило, з:

— ПЕОМ із потрібними, але цілком доступними ресурсами;

— пакету програмного забезпечення;

— стандартного аудіоконтролера (SoungBlaster);

— пристрою підключення до лінії (адаптер).

Комплекси забезпечують автоматичне виявлення (визна­чення голосове або факсимільне повідомлення) реєстрацію факсимільних повідомлень на жорсткий диск із подальшою можливістю автоматичної демодуляції, закріплення зареєстро­ваних повідомлень і виведення їх на дисплей і друк.

Перехоплення розмов із радіотелефонів і стільникового зв’язку. Перехоплення розмов із радіотелефонів не становить жодних проблем, адже досить налаштувати приймач (сканер) на частоту потрібного радіотелефона, що перебуває в зоні прийому й установити відповідний режим модуляції. Для перехоплення перемовин, що ведуться мобільним стільниковим зв’язком треба використовувати дещо складнішу апаратуру. Наразі існують різні комплекси контролю стільникової системи зв’яз­ку стандартів AMPS, DAMPS, NAMPS, NMT-450, NMT-450і, розроблених і виготовлених у Росії та країнах Західної Європи. Комплекси дають змогу виявляти і супроводжувати частоту вхідних і вихідних дзвінків абонентів стільникового зв’язку, визначати вхідні і вихідні номери телефонів абонентів, здійс­нювати спостереження частоти за каналом під час телефонної розмови, в тому числі при переході зі стільника у стільник. Кількість абонентів, що задаються для контролю, визначаєть­ся складом апаратури комплексу і версією програмового забез­печення і може досягати до 16 абонентів і більше. Існує можли­вість проводити автоматичний запис перемовин на диктофон, вести на жорсткому диску ПЕОМ протокол записів на диктофон, здійснювати повний моніторинг усіх повідомлень, переданих службовим каналом. Вартість подібних комплексів залежно від стандарту контрольованої системи зв’язку й обсягів розв’язу­ваних завдань може становити від 5 до 60 тис. дол. СІЛА.

Використання мережі 220 Вт для передачі акустичної ін­формації з приміщень. З цією метою застосовують так звані мережні закладки, а саме пристрої, що вбудовуються у прилади, які живляться від мережі 220 Вт, або в мережну арматуру (ро­зетки, подовжувачі тощо). Передавальний пристрій складаєть­ся з мікрофона, підсилювача і власне передавача несучої низь­кої частоти, яка зазвичай використовується в діапазоні від 10 до 350 кГц. Передача і прийом здійснюється однією фазою або, якщо фази різні, їх зв’язують по високій частоті через розділювальний конденсатор. Приймальний пристрій можуть виготов­ляти спеціально, але іноді застосовують старі і перероблені блоки побутових перемовних пристроїв, що нині продаються в бага­тьох спеціалізованих магазинах електронної техніки. Мережні передавачі подібного класу легко камуфлюють під різні елект­роприлади, вони не потребують додаткового живлення від ба­тарей і непросто виявляються при використанні пошукової апа­ратури, що застосовується нині.

Дослідники проблем безпеки бізнесу наводять й інші ймо­вірні канали витоку інформації, як-от:

— спільна діяльність з іншими фірмами;

— проведення перемовин;

— екскурсії та відвідування фірми;

— реклама, публікації у пресі, інтерв’ю для преси;

— консультації сторонніх фахівців, що мають доступ до до­кументації та змісту виробничої діяльності фірми;

— фіктивні запити про можливості роботи на фірмі, укла­дання з нею угод, здійснення спільної діяльності;

— розсилання окремим співробітникам фірми різних анкет і запитів під виглядом наукових або маркетингових дослі­джень;

— приватні бесіди зі співробітниками фірми, нав’язування їм незапланованих дискусій з тих чи інших проблем.

Що стосується типових каналів витоку комерційної інфор­мації фірми (підприємства, установи, організації), то такими є:

– публікації у вітчизняних та іноземних видавництвах;

— договори про виконання науково-дослідницьких робіт, враховуючи госпдоговірні роботи, договори підряду тощо;

— оренда приміщень та інші форми співпраці, у зв’язку з якими співробітники сторонніх організацій отримують по­тенційну можливість доступу до відомостей;

– будь-які форми міжнародної співпраці;

— експонування на вітчизняних та зарубіжних виставках та інші форми реклами;

— діяльність співробітників підприємства (установи) як співробітників або консультантів інших суб’єктів господарю­вання;

— перебування в лабораторіях установи фахівців інозем­них фірм і вітчизняних організацій, у тому числі відряджених, стажерів, аспірантів, студентів тощо;

— надання відомостей, що можуть містити комерційну та­ємницю на запити різних міністерств, відомств, агенцій, асоціа­цій тощо.

Як бачимо, аналіз системи захисту комерційних секретів, моделювання ймовірних загроз вимагає розробляти – за потре­би – додаткові заходи безпеки. При цьому ступінь їх доціль­ності визначається вельми просто: витрати на забезпечення потрібного ступеня таємниці повинні бути суттєво менші, аніж ймовірна економічна шкода.

Поза тим, як влучно висловився один експерт, «ступінь на­дійності будь-якого шифру визначається не його складністю, а непідкупністю шифрувальника». Іншими словами, ключовими фігурами систем захисту комерційних секретів є співробітни­ки фірм, причому не лише ті, хто працює із закритою інформа­цією (хоча ця категорія є ключовою). Звичайний співробітник, що не має доступу до комерційної таємниці, теж може надати допомогу конкурентам у проведенні електронного шпигунст­ва, забезпечити умови для розкрадання носіїв інформації, для вивідування, зняття копій. На думку закордонних фахівців, імовірність витоку відомостей, що становлять комерційну та­ємницю, при проведенні таких дій, як підкуп, шантаж, пере­манювання співробітників фірми, упровадження своїх агентів становить 43%; одержання відомостей шляхом їх вивідування у співробітників – 24%.

Таким чином, персонал фірми є, з одного боку, найважливішим ресурсом підприємницької діяльності, а з іншого – не є таким: окремі співробітники з різних обставин можутьстати джерелом великих втрат і навіть банкрутства фірми. Саме то­му організаційні й адміністративні заходи захисту інформаціїпотрібно поєднувати із соціально-психологічними заходами, з-поміж яких можна виокремити два основних напрями: це, по-перше, правильний добір і розміщення кадрів, а по-друге – використання матеріальних і моральних стимулів. Західні фа­хівці з економічної безпеки вважають, що від правильного добору, розміщення істимулювання персоналу збереження фірмових секретів залежить як мінімум на 80%.

7.5. Заходи захисту інформаційної безпеки підприємства (фірми)

Перелік заходів захисту інформаційної безпеки фірми роз­криває її зміст, який залежить від специфіки суб’єкта бізнесу та ставлення його керівництва до ймовірних загроз і небезпек для даної фірми. Далеко не повний перелік заходів захисту ін­формації включає в себе:

— контроль доступу як до інформації в комп’ютері, так і до прикладних програм;

— перевірка гарантії того, що лише авторизовані користу­вачі мають доступ до інформації та додатків;

Ідентифікація користувачів. Треба, щоб користувачі виконували певні процедури входження в комп’ютер і використовували це як засіб для ідентифікації на початку роботи. Для ефектив­ного контролю мікрокомп’ютера може виявитися найвигіднішим використовувати його як систему одного користувача, зазви­чай у мікрокомп’ютера немає процедур входження в систему, а право використовувати систему надається простим включен­ням комп’ютера;

— аутентифікація користувачів. З цією метою варто використовувати індивідуальні паролі для кожного користувача, які не є комбінацією особистих даних користувача. Варто та­кож запровадити такі заходи при адмініструванні паролів і оз­найомити користувачів із найтиповішими помилки ми, що призводять до вчинення комп’ютерного правопорушення;

• посилений захист пароля, що гарантується виконанням таких порад:

• не можна будь з ким (в тому числі з родичами, близькими, друзями, колегами тощо) ділитися своїм паролем, оскільки останні можуть його розголосити ненавмисне;

• обирати такий пароль, що тяжко вгадати;

• варто використовувати малі і великі літери, цифри, або вибрати крилатий вислів і взяти звідти кожну другу літеру; а ще краще дати комп’ютеру самому згенерувати ваш пароль;

• забороняється використовувати пароль, який є адресою користувача, псевдонімом, ім’ям дружини, тещі, телефонним номером або чимось іншим очевидним;

• рекомендується використовувати довгі паролі, оскільки вони більш безпечні, краще включити від 6 до 8 символів;

• варто забезпечити відсутність зображення пароля на мо­ніторі комп’ютера при його введенні;

• забороняється поява пароля при виведенні інформації на друк;

• категорично забороняється записувати паролі на столі, стіні, у записнику, мобільному телефоні, – його варто трима­ти в пам’яті;

• варто періодично змінювати паролі і робити це не за гра­фіком;

• на посаду адміністратора паролів варто призначати най­більш надійного співробітника фірми;

• забороняється використовувати один і той самий пароль для всіх співробітників, навіть групи;

• при звільненні співробітника пароль треба змінити;

• при отриманні пароля співробітники мусять розписатися;

• розроблення процедури авторизації, завдяки чому визна­чається, хто із користувачів повинен мати доступ до тієї чи ін­шої інформації та додатків;

• запровадження певного порядку на фірмі, коли для вико­ристання комп’ютерних ресурсів, отримання дозволу доступу до інформації та додатків, а також одержання пароля треба мати дозвіл відповідного керівника;

• перевірка точності інформації через процедуру порівнян­ня результатів обробки з передбачуваними результатами об­робки (приміром, можна порівнювати суми або перевіряти пос­лідовність номера);

• проведення перехресних перевірок змісту файла за допо­могою зіставлення числа записів чи контролю суми значень по­ля запису;

• запровадження заходів захисту щодо попередження отримання, зміни чи доповнення програм неавторизованимилюдьми через видалені термінали;

• розроблення заходів захисту, які є більш адекватними, через залучення організацій, що займаються тестуваннямін­формаційної безпеки, іконсультування з ними при обробленні потреби тестів і перевірок при обробленні критичних даних;

• запровадження контрольних журналів для спостережен ­ ня за тими, хто із користувачів обновлював критичні інформа­ційні файли.

7.6. Діяльність служби безпеки щодо захисту інформації підприємства (фірми)

Служба інформаційної безпеки фірми є структурним її під­розділом для організації заходів щодо стану системи захисту інформації і подальшого забезпечення її функціонування. Детально про потребу, значення, порядок "створення та органі­заційну структуру служби безпеки фірми йтиметься розділі 9 даного посібника. А що стосується служби інформаційної безпеки, то перед працівниками цього підрозділу постають дещо специфічні завдання та функції, про які і йтиметься мова.

Співробітники підрозділів служби інформаційної безпеки фірми з метою забезпечення захисту відомостей, що складають комерційну таємницю мають право:

— вимагати від усіх співробітників фірми, партнерів, клі­єнтів неухильного виконання вимог нормативних документів чи договірних зобов’язань із захисту комерційної таємниці;

— надавати пропозиції з удосконалення правових, органі­заційних та інженерно-технічних заходів щодо захисту комер­ційної таємниці.

При цьому співробітники служби безпеки зобов’язані:

— здійснювати контроль за дотриманням інструкції із за­хисту комерційної таємниці;

— доповідати керівництву про факти порушення вимог нормативних документів щодо захисту комерція таємниці та інших дій, що можуть призвести до витоку конфіденційної
інформації чи до втрати документів, матерів тощо;

– не допускати неправомірного ознайомлення і сторонніх осіб із документами та матеріалами, що мають гриф “комер­ційна таємниця”.

Співробітники служби безпеки несуть відповідальність за особисте порушення безпеки комерційної таємниці та за неви­користання своїх прав при виконанні функціональних обов’яз­ків із захисту конфіденційних відомостей співробітниками фірми. Власне тому у складі служби безпеки фірми доцільно створювати окрему службу (групу) інформаційної безпеки.

Головним завданням служби інформаційної безпеки є визна­чення напряму розвитку та підтримки зусиль фірми, спрямова­них на захист інформації від несанкціонованого ознайомлення з нею, зміни чи знищення, відмовлення в доступі. Цього досяга­ють шляхом запровадження відповідних правил, інструкцій та вказівок.

Служба інформаційної безпеки відповідає за розроблення та виконання планів із забезпечення інформаційної безпеки, що дотичні до таких напрямів:

— розроблення та видання правил (інструкцій, рекоменда­цій, вказівок) щодо забезпечення безпеки, які відповідають загальним правилам діяльності фірми та вимогам до обробки інформації;

— упровадження програми забезпечення безпеки, включа­ючи класифікацію ступеня таємності інформації (якщо така є) й оцінювання діяльності;

— розроблення та забезпечення виконання програми навчан­ня й ознайомлення з основами інформаційної безпеки в масш­табах фірми;

– розроблення та супровід переліку мінімальних вимог до процедури контролю за доступом до всіх комп’ютерних сис­тем, незалежно від їх розміру;

— відбір, упровадження, перевірка та експлуатація відпо­відних методик планування, відновлення роботи всіх підрозді­лів фірми, що беруть участь в автоматизованій обробці найваж­ливішої інформації;

— розроблення та впровадження процедури перегляду пра­вил забезпечення інформаційної безпеки, а також робочих програм, призначених для підтримки правил, інструкцій, стандартів і рекомендацій фірми;

— участь в описі, конструюванні, створенні та придбанні систем із метою дотримання правил безпеки при автоматизації виробничих процесів;

— вивчення, оцінювання, вибір та впровадження апаратних і програмних засобів, функцій і методик забезпечення інформацій­ної безпеки, що застосовуються у комп’ютерних системах фірми.

За потреби на співробітників служби інформаційної безпеки фірми покладають виконання й інших обов’язків, а саме:

• формування вимог до системи захисту у процесі створення інформаційної системи;

• участь у проектуванні системи захисту, її випробовуванні та введенні в експлуатацію;

• планування, організація та забезпечення функціонуван­ня системи захисту інформації у процесі функціонування ін­формаційної системи;

• розподіл між користувачами потрібних реквізитів захисту;

• спостереження за функціонуванням системи захисту;

• організація перевірок надійності функціонування систе­ми захисту;

• навчання користувачів і персоналу інформаційних сис­тем правил безпечного оброблення інформації;

• контроль за дотриманням користувачами та персоналом інформаційних систем встановлених правил поводження з ін­формацією, що підлягає захисту, у процесі її автоматизованої обробки;

• вжиття заходів за спроби несанкціонованого доступу до інформації та за порушення правил функціонування системи захисту.

Як уже зазначалося, певну загрозу інформаційній безпеці фірми становить сьогодні небезпечна тенденція посилення протиправних дій організованих груп або окремих осіб у гло­бальній інформаційній мережі Інтернет. Такі правопорушення містять у собі чималу загрозу для суспільства, причому її сту­пінь поки що недостатньо усвідомлений і оцінений. Досвід, набутий світовим співтовариством у цій галузі, свідчить про враз­ливість будь-якої держави, тим паче, що транснаціональний комп’ютерний злочин не знає державних кордонів і злочинець однаково здатний загрожувати інформаційним системам, роз­ташованим практично в будь-якій частині земної кулі. Тому службі інформаційної безпеки треба постійно стежити за нови­нами та процесами, які відбуваються в інформаційній сфері – з тим, щоб належним чином протистояти комп’ютерним пра­вопорушникам.

Окрім цих завдань, організація діяльності служби інфор­маційної безпеки (фірми, підприємства) передбачає виконання таких функцій, як:

– організація та забезпечення пропускного режиму у будинках і приміщеннях, порядок несення служби охорони, контрольза дотриманням вимог режиму співробітниками, партнерами та відвідувачами;

— керування заходами щодо правового й організаційного регулювання відносин при захисті комерційної таємниці;

— участь у розробленні основних документів із метою за­кріплення в них вимог забезпечення безпеки та захисту комер­ційної таємниці, зокрема статуту, правил внутрішнього трудо­вого розпорядку, положень про підрозділи, а також трудових договорів, угод, підрядів, посадових інструкцій та обов’язків керівництва, фахівців, працівників та службовців;

— розроблення та здійснення разом з іншими підрозділами заходів щодо забезпечення роботи з документами, що містять відомості, які складають комерційну таємницю, а також органі­зації та контролю виконання вимог інструкції з захисту комер­ційної таємниці;

— вивчення всіх сторін виробничої, комерційної, фінансо­вої та іншої діяльності фірми з метою виявлення та закриття можливих каналів витоку конфіденційної інформації, ведення обліку й аналізу порушень режиму безпеки, накопичування й аналіз даних про злочинні дії конкурентів та інших організа­цій стосовно діяльності фірми та її клієнтів;

— організація та проведення службових розслідувань за фак­тами розголошення відомостей, втрат документів та інших порушень безпеки фірми (підприємства);

— розроблення, ведення, поновлення та поповнення пере­ліку відомостей, що складають комерційну таємницю та інших нормативних актів, що регламентують порядок забезпечення безпеки та захисту інформації;

— забезпечення суворого виконання вимог нормативних до­кументів із захисту комерційної таємниці;

— забезпечення керівництва службами та підрозділами безпеки підвідомчих підприємств, установ та організацій;

— організація та проведення навчання співробітників фір­ми та служби безпеки в усіх напрямах захисту;

— ведення обліку сейфів, металевих шаф, спеціальних схо­вищ та інших приміщень, у яких дозволено постійне чи тимча­сове зберігання конфіденційних документів;

— ведення обліку приміщень, виділених для розміщення в них технічних засобів, що мають потенційні канали витоку інформації;

— підтримання контактів із правоохоронними органами та службами безпеки сусідніх фірм (підприємств) в інтересах ви­вчення криміногенної обстановки місцевості.

Чисельність служби захисту інформації (інформаційної безпеки) має бути достатньою – з тим, щоб виконувативсі пе­рераховані функції та відповідати таким вимогам:

– служба захисту інформації повинна підпорядковуватися лише тій особі, яка несе персональну відповідальність за дотри­мання правил поводження з інформацією, що підлягає захисту;

— персональний склад служби не повинен мати інших обов’язків, пов’язаних із функціонуванням інформаційної сис­теми;

— співробітники служби повинні мати право доступу в усі приміщення, де встановлена апаратура інформаційної системи, та право припиняти автоматизовану обробку інформації за наяв­ності безпосередньої загрози інформації, що підлягає захисту;

— керівнику служби захисту інформації повинно бути на­дане право забороняти підключення до діючих нових елементів інформаційної системи, якщо вони не відповідають вимогам захисту інформації;

— служба захисту інформації повинна мати всі умови, по­трібні для виконання своїх функцій.

Виконання перерахованих завдань і функцій не під силу од­ній людині, особливо якщо фірма (організація, компанія, банк тощо) велика. Більше того, до служби інформаційної безпеки можуть входити співробітники з різними функціональними обов’язками. Наприклад:

— співробітник групи безпеки, до обов’язків якого належить забезпечення контролю щодо захисту наборів даних і програм, допомога користувачам, а також організація загальної підтримки груп управління захистом у своїй зоні відповідальнос­ті; при децентралізованому управлінні кожна підсистема ін­формаційної системи має свого співробітника групи безпеки;

— адміністратор безпеки системи, до обов’язків якого на­лежать щомісячне опублікування нововведень у сфері захисту, нових стандартів, а також контроль за виконанням планів безперервної роботи та відновленням (за потреби) і збереженням резервних копій;

— адміністратор безпеки даних, до обов’язків якого належать реалізація та зміна засобів захисту даних, контроль за станом захисту наборів даних, координування роботи з іншими адмі­ністраторами групи; розроблення і підтримка ефективних захо­дів захисту при обробленні інформації з метою забезпечення збереження даних, устаткування та програмного забезпечен­ня; контроль за виконанням плану відновлення та загальне керівництво адміністративними групами в підсистемах інфор­маційної системи (при децентралізованому управлінні).

Можливі різні варіанти складу такої групи. До того ж, пере­лік потрібних знань і навичок, а також функціональних обов’яз­ків осіб, що входять у групу захисту інформації, може суттєво відрізнятися залежно від призначення, структури та завдань, що розв’язуються в конкретній інформаційній системі.

За змістом усі організаційні заходи, що їх застосовує служ­ба інформаційної безпеки можна умовно розподілити на такі групи:

1. Заходи, що вживаються при створенні інформаційної системи, зокрема при:

— розробленні загального проекту системи та її струк­турних елементів;

— будівництві чи переустаткуванні приміщень;

— розробленні математичного, програмового, інформаційного чи лінгвістичного забезпечення;

— монтажі та налагодженні устаткування;

— випробовуванні і прийманні системи.

Особливе значення на даному етапі приділяється визначен­ню реальних можливостей механізмів захисту, для чого до­цільно здійснити цілий комплекс випробовувань і перевірок.

2. Заходи, здійснювані у процесі експлуатації інформаційної системи:

— організація пропускного режиму;

— організація автоматизованої обробки інформації;

— розподіл реквізитів розмежування доступу (паролів, повноважень);

– організація ведення протоколів;

– контроль за виконанням вимог службових інструкцій, рекомендацій тощо.

3. Заходи загального характеру:

— облік вимог захисту при підборі та підготовці кадрів;

— організація перевірок механізму захисту;

— планування всіх заходів щодо захисту інформації;

— навчання персоналу;

— проведення занять із залученням провідних спеціалізованих організацій;

— участь у семінарах і конференціях із проблем безпеки інформації.

Служба безпеки повинна бути завжди готова до виникнення критичних (кризових) ситуацій, що складаються в результаті зіткнення інтересів бізнесу та злочинного світу і являють со­бою прояв фактів загроз із боку окремих осіб чи груп.

При оцінюванні й аналізі кризової ситуації дуже важливо якнайшвидше визначитися з відповіддю на питання, чи здатна служба безпеки впоратися з ситуацією самотужки, чи потрібне залучення правоохоронних органів. Однак за будь-якого ви­падку, з огляду на можливість виникнення кризових ситуацій, будь-яка фірма прагне створити у складі служби безпеки окремішнє формування – кризову групу. Вона утворюється з чис­ла ключових фігур фірми: директора, керівників структурних підрозділів, філій, служб, юриста, головного бухгалтера та ін. За підвищеної ймовірності загроз кризова група може бути створена на постійній основі.

На кризову групу покладається вирішення таких завдань:

— оцінювання обстановки;

— вжиття невідкладних заходів щодо забезпечення безпеки;

— управління діяльністю фірми в екстрених умовах;

– забезпечення оперативної взаємодії з органами правопо­рядку.

Отже, як бачимо, головна мета створення та функціону­вання кризової групи – протидія зовнішнім та внутрішнім загрозам безпеки фірми.