Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Реально існуючі загрози безпеки інформації тісно пов’язані з можливими каналами витоку інформації, які класифікують за такими групами:
– перша група каналів, що пов’язані з доступом до елементів системи обробки даних, але такі, що не потребують зміни компонентів системи. До них відносять:
• дистанційно приховане відеоспостереження або фотографування;
застосування підслуховуючих пристроїв;
• перехоплення електромагнітних випромінювань тощо;
– друга група каналів, що пов’язані з доступом до елементів системи і зміною структури її елементів. До них належать:
• спостереження за інформацією з метою її запам’ятовування у процесі обробки;
• розкрадання носіїв інформації;
• навмисне зчитування даних із файлів інших користувачів;
• зчитування залишкової інформації, тобто даних, що залишаються на магнітних носіях після виконання завдань;
• копіювання носіїв інформації;
• навмисне використання для доступу до інформації терміналів зареєстрованих користувачів;
• маскування під зареєстрованого користувача шляхом викрадення паролів й інших реквізитів розмежування доступу до інформації, що використовується в системах обробки;
• використання для доступу до інформації так званих люків, дір і лазівок, тобто можливостей обходу механізму розмежування доступу, що виникають унаслідок недосконалості загальносистемних компонентів програмного забезпечення (операційних систем, систем керування базами даних тощо) і неоднозначностями мов програмування, що застосовуються в автоматизованих системах обробки даних;
– третя група каналів, що включає в себе:
• незаконне підключення спеціальної реєструючої апаратури до пристроїв системи або ліній зв’язку (перехоплення модемного і факсимільного зв’язку);
• зловмисна зміна програм у спосіб, коли ці програми поряд з основними функціями обробки інформації здійснюють також несанкціоновані збирання і реєстрацію інформації, що захищається;
• зловмисне виведення з ладу механізмів захисту;
– четверта група каналів, що охоплює:
• несанкціоноване одержання інформації шляхом підкупу або шантажу посадових осіб відповідних служб;
• одержання інформації шляхом підкупу і шантажу співробітників, знайомих, обслуговуючого персоналу або родичів, що обізнані з інформацією.
З розглянутих каналів витоку інформації спинимося на найпоширеніших.
Витік акустичної інформації через застосування підслуховуючих пристроїв. Для перехоплення і реєстрації акустичної інформації існує величезний арсенал різноманітних засобів розвідки: мікрофони, електронні стетоскопи, радіомікрофони або так звані радіозакладки, лазерні мікрофони, апаратура магнітного запису. Набір засобів акустичної розвідки, використовуваних для вирішення конкретних завдань, суттєво залежить від можливостей доступу агента до контрольованого приміщення або до зацікавлених осіб. Застосування тих або інших засобів акустичного контролю залежить від умов застосування, поставлених завдань, технічних і насамперед фінансових можливостей організаторів підслуховування.
Мікрофони. У разі, якщо існує постійний доступ до об’єкта контролю, можуть бути використані найпростіші мініатюрні мікрофони, з’єднувальні лінії яких виводять у сусідні приміщення для реєстрації і подальшого прослуховування акустичної інформації. Такі мікрофони діаметром 2,5 мм можуть уловлювати нормальний людський голос з відстані до 10-15 м. Разом із мікрофоном у контрольованому приміщенні, як правило, приховано встановлюють мініатюрний підсилювач із компресором для збільшення динамічного діапазону акустичних сигналів і забезпечення передачі акустичної інформації на значні відстані. Ці відстані в сучасних пристроях досягають до 500 і більше метрів, тобто служба безпеки фірми, що займає багатоповерховий офіс (або зловмисник), може прослуховувати будь-яке приміщення в будинку. При цьому проводові лінії зазвичай з кількох приміщень виводяться в одну на спеціальному пульті і операторові залишається лише вибірково прослуховувати кожну з них, до того ж, за потреби, можна записувати розмови на магнітофон або жорсткий диск комп’ютера для збереження і подальшого прослуховування.
Для одночасної реєстрації акустичних сигналів із кількох приміщень (від двох до тридцяти двох) існують багатоканальні реєстратори створені на базі персональних електронно-обчислювальних машин (ПЕОМ). Такі реєстратори найчастіше використовують для контролю акустичної інформації приміщень і телефонних розмов. Вони мають різні додаткові функції – такі, як визначення вхідних і вихідних номерів телефонів, ведення журналів і протоколів сеансів зв’язку тощо. Мікрофони можуть бути введені через вентиляційні канали на рівень контрольованого приміщення, що може прослухуватися з іншого приміщення,горища будинку або з даху в місцях виходу вентиляційногоколодязя.
Окрім безпосереднього перехоплення звукових коливань, окремі мікрофони (мікрофони-стетоскопи) можуть сприймати звукові коливання, що поширюються з контрольованого приміщення по будівельних конструкціях будинку (стіни, труби опалення, двері, вікна тощо). їх використовують для прослуховування розмов через стіни, вікна, двері. Контрольний пункт для прослуховування розмов за допомогою мікрофонів-стетоскопів може бути обладнаний у безпечному місці будинку на значній відстані від контрольованого приміщення.
Сучасна промисловість випускає багато модифікацій мікрофонів спрямованої дії, що приймають і підсилюють звуки, що йдуть з одного напрямку і послабляють всі інші звуки. Конструкції вузько спрямованих мікрофонів є різноманітними. Це і форма тростини або парасольки, і мікрофони, що використовують параболічні концентратори звуку трубки органного типу або акустичні решітки. Так, направлений мікрофон із параболічним концентратором діаметром 43 см, підсилювачем і головними мікрофонами дає можливість прослухувати розмови на відкритій місцевості з відстані до 1 км.
Диктофони і магнітофони. Якщо агенти не мають постійного доступу до об’єкта, але існує можливість його короткочасного відвідування під різними приводами, то для акустичної розвідки використовують радіомікрофони, мініатюрні диктофони і магнітофони закамуфльовані під предмети повсякденного побуту: книги, письмові прилади, пачку сигарет, авторучку. Крім цього, диктофон може знаходитися в однієї з осіб, що є присутньою на закритій нараді. У цьому випадку часто використовують виносний мікрофон, що захований під одягом або закамуфльований під годинник, авторучку, ґудзик.
Сучасні диктофони забезпечують безперервний запис голосової інформації від ЗО хв до кількох годин, вони оснащені системами акустозапуску (VOX, VAS), тобто управління за рівнем акустичного сигналу, автореверса, індикації дати і часу запису, дистанційного управління.
Вибір диктофонів сьогодні дуже великий. У деяких моделях диктофонів як носіїв інформації використовують цифрові мікро-чіпи і міні-диски. Записану на такому диктофоні голосову інформацію можна переписувати на жорсткі диски комп’ютерів для збереження, архівації та подальшого прослуховування. Серйозною перевагою цифрових диктофонів є те, що вони не виявляють себе при роботі, на відміну від касетних, які виявляють спеціальними приладами по електромагнітних випромінюваннях.
Радіомікрофони. Радіотелефони є найпоширенішими технічними засобами знімання акустичної інформації. їх популярність пояснюється простотою користування, відносною дешевизною, малими розмірами і можливістю камуфляжу. Розмаїтість радіо-мікрофонів, або так званих радіозакладок, є досить великою, а тому їх класифікують на радіомікрофони з параметричною стабілізацією частоти і радіомікрофони з кварцовою стабілізацією частоти.
Параметрична стабілізація частоти не може претендувати на високу якість передачі через втрату частоти залежно від місця розташування, температури та інших дестабілізуючих чинників (особливо, якщо радіомікрофон є переносним варіантом, і розміщений на тілі людини). ‘
Кварцова стабілізація частоти або, як її часто називають фахівці, «кварцові закладки» є кращими попередніх, оскільки радіозакладки працюють, як звичайний передавач. Як джерело електроживлення радіозакладок використовують малогабаритні акумулятори. Термін роботи подібних закладок визначається часом роботи акумулятора, зазвичай при безперервній роботі це 1-2 доби. Закладки можуть бути як досить складними (використовувати системи нагромадження і передачі сигналів, пристрою дистанційного нагромадження), так і найпростішими, що включають три основних вузли: мікрофон, що визначає зону акустичної чутливості радіозакладки; власне радіопередавач, що визначає дальність її дії та прихованість роботи; джерело електроживлення, що визначає час безперервної роботи.
Прихованість роботи радіозакладок забезпечується невеликою потужністю передавача, вибором частоти випромінювання і застосуванням спеціальних заходів закриття. Зазвичай робочу частоту обирають поблизу частоти потужної радіостанції, що своїми сигналами маскує працюючу закладку. Для закриття радіоканалу застосовують різні методи: шифрування переданого сигналу методом його аналогового маскування у вигляді інверсії низького частотного спектра або адаптивної дельта-модуляції інформаційного сигналу з додаванням цифрового псевдовипадкового потоку. Радіомікрофони із закритим каналом значно важче виявляються навіть із застосуванням дорогих пошукових технічних засобів, але й ціни на радіомікрофони із закритим каналом значно вищі.
Мікрофони, що використовують в радіозакладках, можуть бути як вбудованими, так і виносними. Фізична прихованість радіозакладок визначається ретельним їхнім маскуванням у контрольованому приміщенні. Утім, у кожному приміщенні є кілька приладів, що виглядають при цьому цілком логічно і, розміщуючись на видному місці, не привертають найменшої уваги. З огляду на це, радіомікрофони зазвичай засекречуються у вигляді авторучок, запальничок, картонок, предметів інтер’єру тощо. Дальність дії радіомікрофонів визначається в основному потужністю передавача, що несе частоти, видом модуляції та властивостями приймального пристрою. Час безперервної роботи багато в чому залежить від організації живлення пристрою. Якщо радіомікрофон живиться від мережі 220 Вт, а такого типу «закладки» найчастіше виконуються у вигляді трійників, розеток, подовжувачів, то час його роботи не обмежено. Якщо ж живлення здійснюється від батарейок або акумуляторів, то вихід із становища знаходять у застосуванні режиму акустопуску (керування голосом), використанні дистанційного управління (ДУ) включенням або збільшенням ємності батарей.
Витік інформації завдяки прихованому і дистанційному відеоспостереженню.
Із засобів даного типу найбільш широко застосовуються таємно встановлені фото-, кіно- і відеокамери з вихідним отвором об’єктива у кілька міліметрів. Використовуються також мініатюрні відеосистеми, що складаються з мікровідеокамери з високою чутливістю й мікрофоном і встановлюються на дверях або у стіні. Для конспіративного спостереження використовуються також мікровідеокамери в настінних годинниках, у датчиках пожежної сигналізації, невеликих радіомагнітолах, а також у краватці чи брючному ремені. Відеозображення може записуватися на малогабаритний відеомагнітофон або передаватися за допомогою малогабаритного передавача радіоканалом в інше приміщення або автомашину на спеціальний або стандартний телеприймач. Відстань передачі, залежно від потужності передачі сягає від 200 м до 1 км. При використанні ретрансляторів відстань передачі може бути збільшено. Привертає увагу автомобільна система прихованого відеоспостереження. Відеокамера, що забезпечує круговий огляд, закамуфльована під зовнішню антену стільникового телефону. Плоский екран встановлюється на сонцезахисному козирку, або в «бардачку», пульт управління – в попільничці або ж у дверях. Відеосигнал, залежно від комплектації, може записуватися прямо на відеомагнітофон або передаватися радіолінією на відстань до 400 м.
Лазерне зняття мовної інформації. Для дистанційного перехоплення інформації (розмови) з приміщень іноді використовують лазерні пристрої. Із пункту спостереження їїнапрямку джерела звуку посилається зондувальний промінь, який зазвичай спрямовується на скло вікон, дзеркала, інші відбивачі.Усі ці предмети під дією голосових сигналів, що циркулюють у приміщенні коливаються і своїми коливаннями модулюють лазерний промінь, прийнявши який у пункті спостереження, шляхом нескладних перетворень можна відновити всі голосові сигнали, що циркулюють у даному приміщенні. На сьогоднішній день створено ціле сімейство лазерних засобів акустичної розвідки. Такі пристрої складаються з джерела випромінювання (гелій-неоновий лазер), приймача цього випромінювання з блоком фільтрації шумів, двох пар головних телефонів, акумулятора і штатива. Наведення лазерного випромінювання на шибку потрібного приміщення здійснюється за допомогою телескопічного візира. Знімання голосової інформації з віконних рам із двошаровим склом поліпшеної якості забезпечується з відстані до 250м. Такою можливістю, зокрема, володіє система SIPE LASER 3-DA SUPER виробництва СІЛА. Однак на якість прийнятої інформації, крім параметрів системи впливають такі чинники:
— параметри атмосфери (розсіювання, поглинання, турбулентність, рівень фону);
— якість обробки поверхні, що зондується (шорсткості і нерівності, обумовлені як технологічними причинами, так і впливом середовища – бруд, подряпини тощо);
— рівень фонових акустичних шумів;
— рівень перехопленого голосового сигналу.
Поза тим, застосування подібних засобів вимагає великих витрат не тільки на саму систему, але й на устаткування для обробки отриманої інформації. Застосування такої складної системи вимагає високої кваліфікації та серйозної підготовки операторів. Як зазначає відомий дослідник Г. А. Пастернак-Таранушенко, саме такий пристрій використовувався у касетному скандалі Л. Кучми, наголошуючи при цьому, що касети записувалися не з-під дивану у кабінеті Президента України, а з будинку на розі вулиць Лютеранська та Банківська (№ 21/12),з офісу одного з інститутів іноземної держави. З усього цього можна зробити висновок, що хоч застосування лазерного «зняття» голосової інформації є досить дорогим і складним задоволенням, усеж варто оцінити потребу захисту інформації і від цього виду розвідки.
Витік інформації при використанні засобів зв’язку і різних провідних комунікацій. У даному разі, коли йдеться про можливість перехоплення інформації при використанні ліній зв’язку і провідних комунікацій, доцільно враховувати, що перехоплення може здійснюватися не тільки з телефонних ліній і не тільки голосової інформації. До таких можна віднести:
– прослуховування і запис перемовин з телефонних ліній;
– використання телефонних ліній для дистанційного знімання аудіоінформації з контрольованих приміщень;
– перехоплення факсимільної інформації;
— перехоплення розмов із радіотелефонів і стільникового зв’язку;
— використання мережі 220Вт і ліній охоронної сигналізації для передачі акустичної інформації з приміщень;
– перехоплення пейджингових повідомлень.
З огляду на посилену увагу з боку пересічних громадян до згаданих питань, охарактеризуємо детальніше перераховані канали витоку інформації.
Прослуховування і запис перемовин із телефонних ліній. Телефонні абонентські лінії зазвичай складаються з трьох ділянок: магістральної (від АТС до розподільної шафи [РШ]), розподільної (від РШ до розподільної коробки [КРТ]), абонентської проводки (від КРТ до телефонного апарата). Останні дві ділянки – розподільна і абонентська – є найбільш уразливими з погляду перехоплення інформації. Підслуховуючий пристрій може бути встановлений в будь-якому місці, де є доступ до телефонних проводів, телефонного апарата, розетки, або в будь-якому іншому місці лінії. Найпростішим способом підслуховування є ввімкнення паралельного телефонного апарата або «монтерської» трубки. Використовуються також спеціальні адаптери для підключення магнітофонів до телефонної лінії. Адаптери виконані таким чином, що диктофон, встановлений на запис у режимі акустопуску, включається лише при «знятій» трубці телефонного апарата. Таке приєднання практично не виявляється за допомогою тих апаратних засобів, які широко використовуються для пошукових цілей.
Найпоширенішими з подібних пристроїв прослуховування є телефонні контролери-радіоретранслятори, які зазвичай називають телефонними передавачами або телефонними «закладками», їх підмикають паралельно або послідовно в будь-якому місці телефонної лінії. Вони мають значний термін служби, оскільки живляться від телефонної мережі. Такі пристрої надзвичайно популярні сьогодні у промисловому шпигунстві завдяки своїй простоті і дешевизні. Більшість телефонних «закладок» автоматично вмикаються при піднятті слухавки і передають розмову радіоканалом на приймач пункту перехоплення, де він може бути прослуханий і записаний. Такі «закладки» використовують мікрофон телефонного апарата і не мають свого джерела живлення, тому їх розміри можуть бути дуже невеликими.
Як антена, зазвичай використовується телефонна лінія. Для маскування телефонні «закладки» випускаються промисловістю у вигляді конденсаторів, реле, фільтрів та інших стандартних елементів і вузлів, що входять до складу телефонного апарата. Найчастіше телефонні «закладки» намагаються встановлювати за межами офісу або квартири, що істотно знижує ризик їх виявлення. Для спрощення процедури підключення підслуховуючих пристроїв і зменшення впливу на телефонну лінію використовують пристрої з індуктивним датчиком знімання інформації. Особливістю подібних пристроїв є те, що для них потрібне автономне джерело живлення і пристрій повинен мати схему автоматичного включення при знятті слухавки.
Використання телефонних ліній для дистанційного знімання аудіоінформації з контрольованих приміщень. Окреме місце займають системи, що призначені не для підслуховування телефонних перемовин, а для використання телефонних ліній при прослуховуванні контрольованих приміщень, де встановлені телефонні апарати або прокладені проводи телефонних ліній. За приклад такого пристрою може служити «телефонне вухо», яке являє собою невеликий пристрій, що підмикається паралельно до телефонної лінії або розетки в будь-якому зручному місці контрольованого приміщення, для прослуховування якого потрібно набрати номер абонента, у приміщенні якогоперебуває «телефонне вухо». Почувши перший гудок АТС потрібно покласти трубку і через 10-15секунд повторити набір номера. Пристрій дає помилкові гудки «зайнято» протягом 40-60 секунд, після чого гудки припиняються і включається мікрофон
у пристрої «телефонне вухо» починається прослуховування
приміщення. У випадку звичайного дзвінка «телефонне вухо»
пропускає всі дзвінки після першого, виконуючи роль звичайної телефонної розетки і не заважаючи розмові.
Крім того, можливе використання телефонної лінії для передачі інформації з мікрофона, таємно встановленого у приміщенні. При цьому, з метою не перешкоджання нормальній роботі телефонного зв’язку, використовується головна частота в діапазоні від десятків до сотень кілогерц. Практика свідчить, що в реальних умовах дальність дії подібних систем із прийнятною розбірливістю розмови суттєво залежить від якості лінії, прокладки телефонних проводів, наявності в даній місцевості радіотрансляційної мережі, наявності обчислювальної й оргтехніки тощо.
Перехоплення факсимільної інформації. Перехоплення факсів-повідомлень принципово не відрізняється від перехоплення телефонних повідомлень. Завдання доповнюється тільки обробкою отриманого повідомлення. Комплекси перехоплення і реєстрації факсимільних повідомлень складаються, як правило, з:
— ПЕОМ із потрібними, але цілком доступними ресурсами;
— пакету програмного забезпечення;
— стандартного аудіоконтролера (SoungBlaster);
— пристрою підключення до лінії (адаптер).
Комплекси забезпечують автоматичне виявлення (визначення голосове або факсимільне повідомлення) реєстрацію факсимільних повідомлень на жорсткий диск із подальшою можливістю автоматичної демодуляції, закріплення зареєстрованих повідомлень і виведення їх на дисплей і друк.
Перехоплення розмов із радіотелефонів і стільникового зв’язку. Перехоплення розмов із радіотелефонів не становить жодних проблем, адже досить налаштувати приймач (сканер) на частоту потрібного радіотелефона, що перебуває в зоні прийому й установити відповідний режим модуляції. Для перехоплення перемовин, що ведуться мобільним стільниковим зв’язком треба використовувати дещо складнішу апаратуру. Наразі існують різні комплекси контролю стільникової системи зв’язку стандартів AMPS, DAMPS, NAMPS, NMT-450, NMT-450і, розроблених і виготовлених у Росії та країнах Західної Європи. Комплекси дають змогу виявляти і супроводжувати частоту вхідних і вихідних дзвінків абонентів стільникового зв’язку, визначати вхідні і вихідні номери телефонів абонентів, здійснювати спостереження частоти за каналом під час телефонної розмови, в тому числі при переході зі стільника у стільник. Кількість абонентів, що задаються для контролю, визначається складом апаратури комплексу і версією програмового забезпечення і може досягати до 16 абонентів і більше. Існує можливість проводити автоматичний запис перемовин на диктофон, вести на жорсткому диску ПЕОМ протокол записів на диктофон, здійснювати повний моніторинг усіх повідомлень, переданих службовим каналом. Вартість подібних комплексів залежно від стандарту контрольованої системи зв’язку й обсягів розв’язуваних завдань може становити від 5 до 60 тис. дол. СІЛА.
Використання мережі 220 Вт для передачі акустичної інформації з приміщень. З цією метою застосовують так звані мережні закладки, а саме пристрої, що вбудовуються у прилади, які живляться від мережі 220 Вт, або в мережну арматуру (розетки, подовжувачі тощо). Передавальний пристрій складається з мікрофона, підсилювача і власне передавача несучої низької частоти, яка зазвичай використовується в діапазоні від 10 до 350 кГц. Передача і прийом здійснюється однією фазою або, якщо фази різні, їх зв’язують по високій частоті через розділювальний конденсатор. Приймальний пристрій можуть виготовляти спеціально, але іноді застосовують старі і перероблені блоки побутових перемовних пристроїв, що нині продаються в багатьох спеціалізованих магазинах електронної техніки. Мережні передавачі подібного класу легко камуфлюють під різні електроприлади, вони не потребують додаткового живлення від батарей і непросто виявляються при використанні пошукової апаратури, що застосовується нині.
Дослідники проблем безпеки бізнесу наводять й інші ймовірні канали витоку інформації, як-от:
— спільна діяльність з іншими фірмами;
— проведення перемовин;
— екскурсії та відвідування фірми;
— реклама, публікації у пресі, інтерв’ю для преси;
— консультації сторонніх фахівців, що мають доступ до документації та змісту виробничої діяльності фірми;
— фіктивні запити про можливості роботи на фірмі, укладання з нею угод, здійснення спільної діяльності;
— розсилання окремим співробітникам фірми різних анкет і запитів під виглядом наукових або маркетингових досліджень;
— приватні бесіди зі співробітниками фірми, нав’язування їм незапланованих дискусій з тих чи інших проблем.
Що стосується типових каналів витоку комерційної інформації фірми (підприємства, установи, організації), то такими є:
– публікації у вітчизняних та іноземних видавництвах;
— договори про виконання науково-дослідницьких робіт, враховуючи госпдоговірні роботи, договори підряду тощо;
— оренда приміщень та інші форми співпраці, у зв’язку з якими співробітники сторонніх організацій отримують потенційну можливість доступу до відомостей;
– будь-які форми міжнародної співпраці;
— експонування на вітчизняних та зарубіжних виставках та інші форми реклами;
— діяльність співробітників підприємства (установи) як співробітників або консультантів інших суб’єктів господарювання;
— перебування в лабораторіях установи фахівців іноземних фірм і вітчизняних організацій, у тому числі відряджених, стажерів, аспірантів, студентів тощо;
— надання відомостей, що можуть містити комерційну таємницю на запити різних міністерств, відомств, агенцій, асоціацій тощо.
Як бачимо, аналіз системи захисту комерційних секретів, моделювання ймовірних загроз вимагає розробляти – за потреби – додаткові заходи безпеки. При цьому ступінь їх доцільності визначається вельми просто: витрати на забезпечення потрібного ступеня таємниці повинні бути суттєво менші, аніж ймовірна економічна шкода.
Поза тим, як влучно висловився один експерт, «ступінь надійності будь-якого шифру визначається не його складністю, а непідкупністю шифрувальника». Іншими словами, ключовими фігурами систем захисту комерційних секретів є співробітники фірм, причому не лише ті, хто працює із закритою інформацією (хоча ця категорія є ключовою). Звичайний співробітник, що не має доступу до комерційної таємниці, теж може надати допомогу конкурентам у проведенні електронного шпигунства, забезпечити умови для розкрадання носіїв інформації, для вивідування, зняття копій. На думку закордонних фахівців, імовірність витоку відомостей, що становлять комерційну таємницю, при проведенні таких дій, як підкуп, шантаж, переманювання співробітників фірми, упровадження своїх агентів становить 43%; одержання відомостей шляхом їх вивідування у співробітників – 24%.
Таким чином, персонал фірми є, з одного боку, найважливішим ресурсом підприємницької діяльності, а з іншого – не є таким: окремі співробітники з різних обставин можутьстати джерелом великих втрат і навіть банкрутства фірми. Саме тому організаційні й адміністративні заходи захисту інформаціїпотрібно поєднувати із соціально-психологічними заходами, з-поміж яких можна виокремити два основних напрями: це, по-перше, правильний добір і розміщення кадрів, а по-друге – використання матеріальних і моральних стимулів. Західні фахівці з економічної безпеки вважають, що від правильного добору, розміщення істимулювання персоналу збереження фірмових секретів залежить як мінімум на 80%.
7.5. Заходи захисту інформаційної безпеки підприємства (фірми)
Перелік заходів захисту інформаційної безпеки фірми розкриває її зміст, який залежить від специфіки суб’єкта бізнесу та ставлення його керівництва до ймовірних загроз і небезпек для даної фірми. Далеко не повний перелік заходів захисту інформації включає в себе:
— контроль доступу як до інформації в комп’ютері, так і до прикладних програм;
— перевірка гарантії того, що лише авторизовані користувачі мають доступ до інформації та додатків;
Ідентифікація користувачів. Треба, щоб користувачі виконували певні процедури входження в комп’ютер і використовували це як засіб для ідентифікації на початку роботи. Для ефективного контролю мікрокомп’ютера може виявитися найвигіднішим використовувати його як систему одного користувача, зазвичай у мікрокомп’ютера немає процедур входження в систему, а право використовувати систему надається простим включенням комп’ютера;
— аутентифікація користувачів. З цією метою варто використовувати індивідуальні паролі для кожного користувача, які не є комбінацією особистих даних користувача. Варто також запровадити такі заходи при адмініструванні паролів і ознайомити користувачів із найтиповішими помилки ми, що призводять до вчинення комп’ютерного правопорушення;
• посилений захист пароля, що гарантується виконанням таких порад:
• не можна будь з ким (в тому числі з родичами, близькими, друзями, колегами тощо) ділитися своїм паролем, оскільки останні можуть його розголосити ненавмисне;
• обирати такий пароль, що тяжко вгадати;
• варто використовувати малі і великі літери, цифри, або вибрати крилатий вислів і взяти звідти кожну другу літеру; а ще краще дати комп’ютеру самому згенерувати ваш пароль;
• забороняється використовувати пароль, який є адресою користувача, псевдонімом, ім’ям дружини, тещі, телефонним номером або чимось іншим очевидним;
• рекомендується використовувати довгі паролі, оскільки вони більш безпечні, краще включити від 6 до 8 символів;
• варто забезпечити відсутність зображення пароля на моніторі комп’ютера при його введенні;
• забороняється поява пароля при виведенні інформації на друк;
• категорично забороняється записувати паролі на столі, стіні, у записнику, мобільному телефоні, – його варто тримати в пам’яті;
• варто періодично змінювати паролі і робити це не за графіком;
• на посаду адміністратора паролів варто призначати найбільш надійного співробітника фірми;
• забороняється використовувати один і той самий пароль для всіх співробітників, навіть групи;
• при звільненні співробітника пароль треба змінити;
• при отриманні пароля співробітники мусять розписатися;
• розроблення процедури авторизації, завдяки чому визначається, хто із користувачів повинен мати доступ до тієї чи іншої інформації та додатків;
• запровадження певного порядку на фірмі, коли для використання комп’ютерних ресурсів, отримання дозволу доступу до інформації та додатків, а також одержання пароля треба мати дозвіл відповідного керівника;
• перевірка точності інформації через процедуру порівняння результатів обробки з передбачуваними результатами обробки (приміром, можна порівнювати суми або перевіряти послідовність номера);
• проведення перехресних перевірок змісту файла за допомогою зіставлення числа записів чи контролю суми значень поля запису;
• запровадження заходів захисту щодо попередження отримання, зміни чи доповнення програм неавторизованимилюдьми через видалені термінали;
• розроблення заходів захисту, які є більш адекватними, через залучення організацій, що займаються тестуваннямінформаційної безпеки, іконсультування з ними при обробленні потреби тестів і перевірок при обробленні критичних даних;
• запровадження контрольних журналів для спостережен ня за тими, хто із користувачів обновлював критичні інформаційні файли.
7.6. Діяльність служби безпеки щодо захисту інформації підприємства (фірми)
Служба інформаційної безпеки фірми є структурним її підрозділом для організації заходів щодо стану системи захисту інформації і подальшого забезпечення її функціонування. Детально про потребу, значення, порядок "створення та організаційну структуру служби безпеки фірми йтиметься розділі 9 даного посібника. А що стосується служби інформаційної безпеки, то перед працівниками цього підрозділу постають дещо специфічні завдання та функції, про які і йтиметься мова.
Співробітники підрозділів служби інформаційної безпеки фірми з метою забезпечення захисту відомостей, що складають комерційну таємницю мають право:
— вимагати від усіх співробітників фірми, партнерів, клієнтів неухильного виконання вимог нормативних документів чи договірних зобов’язань із захисту комерційної таємниці;
— надавати пропозиції з удосконалення правових, організаційних та інженерно-технічних заходів щодо захисту комерційної таємниці.
При цьому співробітники служби безпеки зобов’язані:
— здійснювати контроль за дотриманням інструкції із захисту комерційної таємниці;
— доповідати керівництву про факти порушення вимог нормативних документів щодо захисту комерція таємниці та інших дій, що можуть призвести до витоку конфіденційної
інформації чи до втрати документів, матерів тощо;
– не допускати неправомірного ознайомлення і сторонніх осіб із документами та матеріалами, що мають гриф “комерційна таємниця”.
Співробітники служби безпеки несуть відповідальність за особисте порушення безпеки комерційної таємниці та за невикористання своїх прав при виконанні функціональних обов’язків із захисту конфіденційних відомостей співробітниками фірми. Власне тому у складі служби безпеки фірми доцільно створювати окрему службу (групу) інформаційної безпеки.
Головним завданням служби інформаційної безпеки є визначення напряму розвитку та підтримки зусиль фірми, спрямованих на захист інформації від несанкціонованого ознайомлення з нею, зміни чи знищення, відмовлення в доступі. Цього досягають шляхом запровадження відповідних правил, інструкцій та вказівок.
Служба інформаційної безпеки відповідає за розроблення та виконання планів із забезпечення інформаційної безпеки, що дотичні до таких напрямів:
— розроблення та видання правил (інструкцій, рекомендацій, вказівок) щодо забезпечення безпеки, які відповідають загальним правилам діяльності фірми та вимогам до обробки інформації;
— упровадження програми забезпечення безпеки, включаючи класифікацію ступеня таємності інформації (якщо така є) й оцінювання діяльності;
— розроблення та забезпечення виконання програми навчання й ознайомлення з основами інформаційної безпеки в масштабах фірми;
– розроблення та супровід переліку мінімальних вимог до процедури контролю за доступом до всіх комп’ютерних систем, незалежно від їх розміру;
— відбір, упровадження, перевірка та експлуатація відповідних методик планування, відновлення роботи всіх підрозділів фірми, що беруть участь в автоматизованій обробці найважливішої інформації;
— розроблення та впровадження процедури перегляду правил забезпечення інформаційної безпеки, а також робочих програм, призначених для підтримки правил, інструкцій, стандартів і рекомендацій фірми;
— участь в описі, конструюванні, створенні та придбанні систем із метою дотримання правил безпеки при автоматизації виробничих процесів;
— вивчення, оцінювання, вибір та впровадження апаратних і програмних засобів, функцій і методик забезпечення інформаційної безпеки, що застосовуються у комп’ютерних системах фірми.
За потреби на співробітників служби інформаційної безпеки фірми покладають виконання й інших обов’язків, а саме:
• формування вимог до системи захисту у процесі створення інформаційної системи;
• участь у проектуванні системи захисту, її випробовуванні та введенні в експлуатацію;
• планування, організація та забезпечення функціонування системи захисту інформації у процесі функціонування інформаційної системи;
• розподіл між користувачами потрібних реквізитів захисту;
• спостереження за функціонуванням системи захисту;
• організація перевірок надійності функціонування системи захисту;
• навчання користувачів і персоналу інформаційних систем правил безпечного оброблення інформації;
• контроль за дотриманням користувачами та персоналом інформаційних систем встановлених правил поводження з інформацією, що підлягає захисту, у процесі її автоматизованої обробки;
• вжиття заходів за спроби несанкціонованого доступу до інформації та за порушення правил функціонування системи захисту.
Як уже зазначалося, певну загрозу інформаційній безпеці фірми становить сьогодні небезпечна тенденція посилення протиправних дій організованих груп або окремих осіб у глобальній інформаційній мережі Інтернет. Такі правопорушення містять у собі чималу загрозу для суспільства, причому її ступінь поки що недостатньо усвідомлений і оцінений. Досвід, набутий світовим співтовариством у цій галузі, свідчить про вразливість будь-якої держави, тим паче, що транснаціональний комп’ютерний злочин не знає державних кордонів і злочинець однаково здатний загрожувати інформаційним системам, розташованим практично в будь-якій частині земної кулі. Тому службі інформаційної безпеки треба постійно стежити за новинами та процесами, які відбуваються в інформаційній сфері – з тим, щоб належним чином протистояти комп’ютерним правопорушникам.
Окрім цих завдань, організація діяльності служби інформаційної безпеки (фірми, підприємства) передбачає виконання таких функцій, як:
– організація та забезпечення пропускного режиму у будинках і приміщеннях, порядок несення служби охорони, контрольза дотриманням вимог режиму співробітниками, партнерами та відвідувачами;
— керування заходами щодо правового й організаційного регулювання відносин при захисті комерційної таємниці;
— участь у розробленні основних документів із метою закріплення в них вимог забезпечення безпеки та захисту комерційної таємниці, зокрема статуту, правил внутрішнього трудового розпорядку, положень про підрозділи, а також трудових договорів, угод, підрядів, посадових інструкцій та обов’язків керівництва, фахівців, працівників та службовців;
— розроблення та здійснення разом з іншими підрозділами заходів щодо забезпечення роботи з документами, що містять відомості, які складають комерційну таємницю, а також організації та контролю виконання вимог інструкції з захисту комерційної таємниці;
— вивчення всіх сторін виробничої, комерційної, фінансової та іншої діяльності фірми з метою виявлення та закриття можливих каналів витоку конфіденційної інформації, ведення обліку й аналізу порушень режиму безпеки, накопичування й аналіз даних про злочинні дії конкурентів та інших організацій стосовно діяльності фірми та її клієнтів;
— організація та проведення службових розслідувань за фактами розголошення відомостей, втрат документів та інших порушень безпеки фірми (підприємства);
— розроблення, ведення, поновлення та поповнення переліку відомостей, що складають комерційну таємницю та інших нормативних актів, що регламентують порядок забезпечення безпеки та захисту інформації;
— забезпечення суворого виконання вимог нормативних документів із захисту комерційної таємниці;
— забезпечення керівництва службами та підрозділами безпеки підвідомчих підприємств, установ та організацій;
— організація та проведення навчання співробітників фірми та служби безпеки в усіх напрямах захисту;
— ведення обліку сейфів, металевих шаф, спеціальних сховищ та інших приміщень, у яких дозволено постійне чи тимчасове зберігання конфіденційних документів;
— ведення обліку приміщень, виділених для розміщення в них технічних засобів, що мають потенційні канали витоку інформації;
— підтримання контактів із правоохоронними органами та службами безпеки сусідніх фірм (підприємств) в інтересах вивчення криміногенної обстановки місцевості.
Чисельність служби захисту інформації (інформаційної безпеки) має бути достатньою – з тим, щоб виконувативсі перераховані функції та відповідати таким вимогам:
– служба захисту інформації повинна підпорядковуватися лише тій особі, яка несе персональну відповідальність за дотримання правил поводження з інформацією, що підлягає захисту;
— персональний склад служби не повинен мати інших обов’язків, пов’язаних із функціонуванням інформаційної системи;
— співробітники служби повинні мати право доступу в усі приміщення, де встановлена апаратура інформаційної системи, та право припиняти автоматизовану обробку інформації за наявності безпосередньої загрози інформації, що підлягає захисту;
— керівнику служби захисту інформації повинно бути надане право забороняти підключення до діючих нових елементів інформаційної системи, якщо вони не відповідають вимогам захисту інформації;
— служба захисту інформації повинна мати всі умови, потрібні для виконання своїх функцій.
Виконання перерахованих завдань і функцій не під силу одній людині, особливо якщо фірма (організація, компанія, банк тощо) велика. Більше того, до служби інформаційної безпеки можуть входити співробітники з різними функціональними обов’язками. Наприклад:
— співробітник групи безпеки, до обов’язків якого належить забезпечення контролю щодо захисту наборів даних і програм, допомога користувачам, а також організація загальної підтримки груп управління захистом у своїй зоні відповідальності; при децентралізованому управлінні кожна підсистема інформаційної системи має свого співробітника групи безпеки;
— адміністратор безпеки системи, до обов’язків якого належать щомісячне опублікування нововведень у сфері захисту, нових стандартів, а також контроль за виконанням планів безперервної роботи та відновленням (за потреби) і збереженням резервних копій;
— адміністратор безпеки даних, до обов’язків якого належать реалізація та зміна засобів захисту даних, контроль за станом захисту наборів даних, координування роботи з іншими адміністраторами групи; розроблення і підтримка ефективних заходів захисту при обробленні інформації з метою забезпечення збереження даних, устаткування та програмного забезпечення; контроль за виконанням плану відновлення та загальне керівництво адміністративними групами в підсистемах інформаційної системи (при децентралізованому управлінні).
Можливі різні варіанти складу такої групи. До того ж, перелік потрібних знань і навичок, а також функціональних обов’язків осіб, що входять у групу захисту інформації, може суттєво відрізнятися залежно від призначення, структури та завдань, що розв’язуються в конкретній інформаційній системі.
За змістом усі організаційні заходи, що їх застосовує служба інформаційної безпеки можна умовно розподілити на такі групи:
1. Заходи, що вживаються при створенні інформаційної системи, зокрема при:
— розробленні загального проекту системи та її структурних елементів;
— будівництві чи переустаткуванні приміщень;
— розробленні математичного, програмового, інформаційного чи лінгвістичного забезпечення;
— монтажі та налагодженні устаткування;
— випробовуванні і прийманні системи.
Особливе значення на даному етапі приділяється визначенню реальних можливостей механізмів захисту, для чого доцільно здійснити цілий комплекс випробовувань і перевірок.
2. Заходи, здійснювані у процесі експлуатації інформаційної системи:
— організація пропускного режиму;
— організація автоматизованої обробки інформації;
— розподіл реквізитів розмежування доступу (паролів, повноважень);
– організація ведення протоколів;
– контроль за виконанням вимог службових інструкцій, рекомендацій тощо.
3. Заходи загального характеру:
— облік вимог захисту при підборі та підготовці кадрів;
— організація перевірок механізму захисту;
— планування всіх заходів щодо захисту інформації;
— навчання персоналу;
— проведення занять із залученням провідних спеціалізованих організацій;
— участь у семінарах і конференціях із проблем безпеки інформації.
Служба безпеки повинна бути завжди готова до виникнення критичних (кризових) ситуацій, що складаються в результаті зіткнення інтересів бізнесу та злочинного світу і являють собою прояв фактів загроз із боку окремих осіб чи груп.
При оцінюванні й аналізі кризової ситуації дуже важливо якнайшвидше визначитися з відповіддю на питання, чи здатна служба безпеки впоратися з ситуацією самотужки, чи потрібне залучення правоохоронних органів. Однак за будь-якого випадку, з огляду на можливість виникнення кризових ситуацій, будь-яка фірма прагне створити у складі служби безпеки окремішнє формування – кризову групу. Вона утворюється з числа ключових фігур фірми: директора, керівників структурних підрозділів, філій, служб, юриста, головного бухгалтера та ін. За підвищеної ймовірності загроз кризова група може бути створена на постійній основі.
На кризову групу покладається вирішення таких завдань:
— оцінювання обстановки;
— вжиття невідкладних заходів щодо забезпечення безпеки;
— управління діяльністю фірми в екстрених умовах;
– забезпечення оперативної взаємодії з органами правопорядку.
Отже, як бачимо, головна мета створення та функціонування кризової групи – протидія зовнішнім та внутрішнім загрозам безпеки фірми.
Дата публикования: 2015-10-09; Прочитано: 3219 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!