Организация офисной деятельности

Следовательно, конфиденциальные документы характеризуются специфическими особенностями, которые отражают их сущность как носителей информации ограниченного доступа и определяют построение системы защиты этой информации.

2.5. Угрозы конфиденциальной  информации

Все информационные ресурсы  фирмы постоянно подвергаются объективным  и субъективным угрозам утраты носителя или ценности информации.

Под угрозой, или опасностью, утраты информации понимается единичное  или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних  или внутренних источников угрозы создавать  критические ситуации, события, оказывать  дестабилизирующее воздействие  на защищаемую информацию, документы  и базы данных.

Риск угрозы дестабилизирующего воздействия любым (открытым и ограниченного  доступа) информационным ресурсам создают  стихийные бедствия, экстремальные  ситуации, аварии технических средств  и линий связи, другие объективные  обстоятельства, а также заинтересованные и незаинтересованные в возникновении  угрозы лица. К угрозам, создаваемым  этими лицами, относятся: несанкционированное  уничтожение документов, ускорение  угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его  части и др.

Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется  повышенный интерес со стороны различного рода злоумышленников.

Под злоумышленником понимается лицо, действующее в интересах  конкурента, противника или в личных корыстных интересах (агентов иностранных  спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельных  преступных элементов, лиц, сотрудничающих со злоумышленником, психически больных  лиц и т. п.).

В отличие от объективного распространения утрата информации влечет за собой незаконный переход  конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использования в своих  целях.

Основной угрозой безопасности информационных ресурсов ограниченного  распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной  информации и как результат - овладение  информацией и противоправное ее использование или совершение иных дестабилизирующих действий.

Под посторонним лицом  понимается любое лицо, не имеющее  непосредственного отношения к  деятельности фирмы (работники других организационных структур, работники  коммунальных служб, экстремальной  помощи, прохожие, посетители фирмы), а  также сотрудники данной фирмы, не обладающие правом доступа в определенные помещения, к конкретному документу, информации, базе данных. Каждое из указанных лиц  может быть злоумышленником или  его сообщником, агентом, но может  и не быть им.

Целями и результатами несанкционированного доступа может  быть не только овладение ценными  сведениями и их использование, но и  их видоизменение, модификация, уничтожение, фальсификация, подмена и т. п.

Обязательным условием успешного  осуществления попытки несанкционированного доступа к информационным ресурсам ограничейного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица. Основным виновником несанкционированного доступа к информационным ресурсам является, как правило, персонал, работающий с документами, информацией и базами данных. При этом надо иметь в виду, что утрата информации происходит в большинстве случаев не в результате преднамеренных действий злоумышленника, а из-за невнимательности и безответственности персонала. Следовательно, утрата информационных ресурсов ограниченного доступа может наступить при:

- наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации;

- возникновении риска угрозы, организованной злоумышленником, или при случайно сложившихся обстоятельствах;

- наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Эти условия могут включать:

- отсутствие системной  аналитической и контрольной  работы по выявлению и изучению  угроз, каналов и степени риска  нарушений безопасности информационных  ресурсов;

- неэффективную систему  защиты информации или отсутствие  этой системы, что образует  высокую степень уязвимости информации;

- непрофессионально организованную  технологию обработки и хранения  конфиденциальных документов;

- неупорядоченный подбор  персонала и текучесть кадров, сложный психологический климат  в коллективе;

- отсутствие системы обучения  сотрудников правилам защиты  информации ограниченного доступа;

- отсутствие контроля  со стороны руководства фирмы  за соблюдением персоналом требований  нормативных документов по работе  с информационными ресурсами  ограниченного доступа;

- бесконтрольное посещение  помещений фирмы посторонними  лицами.

Следует всегда помнить, что  факт документирования резко увеличивает  риск угрозы информации. Великие мастера  прошлого никогда не записывали секреты  своего искусства, а передавали их устно  сыну, ученику. Поэтому тайна изготовления многих уникальных предметов того времени  так и не раскрыта до наших дней.

Следовательно, угрозы конфиденциальной информации всегда реальны, отличаются большим разнообразием и создают  предпосылки для утраты информации. Источники угрозы информации конкретной фирмы должны быть хорошо известны. В противном случае нельзя профессионально построить систему защиты информации.

2.6. Каналы утраты  информации

Угрозы сохранности, целостности  и конфиденциальности информационных ресурсов ограниченного доступа  практически реализуются через  риск образования канала несанкционированного получения (добывания) кем-то ценной информации и документов. Этот канал представляет собой совокупность незащищенных или  слабо защищенных фирмой направлений  возможной утраты конфиденциальной информации, которые злоумышленник  использует для получения необходимых  сведений, преднамеренного незаконного  доступа к защищаемой информации.

Каждая конкретная фирма  обладает своим набором каналов  несанкционированного доступа к  информации, что зависит от множества  моментов - профиля деятельности, объемов  защищаемой информации, профессионального  уровня персонала, местоположения здания и т. п.

Функционирование канала несанкционированного доступа к  информации обязательно влечет за собой  утрату информации или исчезновение носителя информации.

В том случае, когда речь идет об утрате информации по вине персонала, используется термин «разглашение (огласка) информации». Человек может разглашать информацию устно, письменно, с помощью жестов, мимики, условных сигналов, лично, через посредников, по каналам связи и т. д. Термин «утечка информации», хотя и используется наиболее широко, однако в большей степени относится, по нашему мнению, к утрате информации за счет ее перехвата с помощью технических средств разведки, по техническим каналам.

Утрата информации характеризуется  двумя условиями, а именно информация переходит: а) непосредственно к  заинтересованному лицу - конкуренту, злоумышленнику или б) к случайному, третьему лицу.

Под третьим лицом в  данном случае понимается любое постороннее  лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации. Однако от третьего лица информация может легко перейти  к злоумышленнику.

Переход информации к третьему лицу представляется достаточно частым явлением и его можно назвать  непреднамеренным, стихийным, хотя при  этом факт разглашения информации, нарушения ее безопасности имеет  место. Возникает так называемый случайный, стихийный канал утраты информации.

Непреднамеренный переход  информации к третьему лицу возникает  в результате:

- утери или неправильного  уничтожения документа, пакета  с документами, дела, конфиденциальных  записей;

- игнорирования или умышленного  невыполнения сотрудником требований  по защите документированной  информации;

- излишней разговорчивости  сотрудников при отсутствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах  общего пользования, транспорте  и т. п.);

- работы с документами  ограниченного доступа при посторонних  лицах, несанкционированной передачи  их другому сотруднику;

- использования сведений  ограниченного доступа в открытой  документации, публикациях, интервью, личных записях, дневниках и  т. п.;

- отсутствия маркировки (грифования) информации и документов ограниченного доступа (в том числе документов на технических носителях);

- наличия в конфиденциальных  документах излишней информации  ограниченного доступа;

- самовольного копирования  сотрудником документов в служебных  или коллекционных целях.

В отличие от третьего лица злоумышленник или его сообщник целенаправленно стремятся овладеть конкретной информацией и преднамеренно, противоправно устанавливают контакт  с источником этой информации или  преобразуют канал ее объективного распространения в канал ее разглашения или утечки. Каналы утраты информации в условиях хорошо построенной системы защиты информации формируются злоумышленником. При плохо построенной системе выбираются им из множества возможных каналов. В любом случае такие каналы всегда являются тайной злоумышленника.

Каналы несанкционированного доступа, утраты информации могут быть двух типов: организационные и технические. Обеспечиваются они легальными и  нелегальными методами.

Организационные каналы разглашения  информации отличаются большим разнообразием  видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с  фирмой или ее сотрудником для  последующего несанкционированного доступа  к интересующей информации.

Основными видами организационных  каналов могут быть:

- поступление злоумышленника  на работу в фирму, как правило,  на техническую, второстепенную  должность (оператором ЭВМ, секретарем, дворником, слесарем, охранником, шофером  и т. п.);

- участие в работе фирмы  в качестве партнера, посредника, клиента, использование разнообразных  обманных способов;

- поиск злоумышленником  сообщника (инициативного помощника), работающего в интересующей его  фирме, который становится его  соучастником;

- установление злоумышленником  доверительных взаимоотношений  с сотрудником учреждения, фирмы  или посетителем, сотрудником  другого учреждения, обладающим  интересующими злоумышленника сведениями;

- использование коммуникативных  связей фирмы - участие в переговорах,  совещаниях, переписке с фирмой  и др.;

- использование ошибочных  действий персонала или умышленное  провоцирование злоумышленником  этих действий;

- тайное или по фиктивным  документам проникновение в здание  фирмы и помещения, криминальный, силовой доступ к информации, т. е. кража документов, дискет, дисков, компьютеров, шантаж и  склонение к сотрудничеству отдельных  сотрудников, подкуп сотрудников,  создание экстремальных ситуаций  и т. п.;

- получение нужной информации  от третьего (случайного) лица.

Организационные каналы находятся  или формируются злоумышленником  индивидуально в соответствии с  его профессиональным умением оценивать  конкретную ситуацию, сложившуюся в  фирме, и прогнозировать их крайне сложно. Обнаружение организационных каналов  требует проведения серьезной аналитической  работы.

Техническое обеспечение  офисных технологий создает широкие  возможности несанкционированного получения ценных сведений. Любая  управленческая деятельность всегда связана  с обсуждением ценной информации в кабинетах или по линиям связи, проведением расчетов и анализа  ситуаций на ЭВМ, изготовлением, размножением документов и т. п.

Технические каналы утечки информации возникают при использовании  злоумышленником специальных технических  средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом фирмы, документами, делами и базами данных. Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику.

Канал возникает при анализе  злоумышленником физических полей  и излучений, появляющихся в процессе работы вычислительной и другой офисной  техники, при перехвате информации, имеющей звуковую, визуальную или иную форму отображения. Основными техническими каналами являются: акустический, визуально-оптический, электромагнитный и др. Это каналы прогнозируемые, носят стандартный характер и перекрываются стандартными средствами противодействия.

При построении системы защиты информации фирмы часто не учитывают  опасность этих каналов или пренебрегают ими, так как стоимость средств  перекрытия этих каналов требует  больших затрат.

Акустический канал возникает  за счет образования звуковой волны  в кабинетах руководителей при  ведении переговоров, залах заседаний  в процессе совещаний, в рабочих  помещениях при диктовке документов и в других подобных случаях. В  процессе разговора, даже негромкого, мы «сотрясаем воздух», и это сотрясение передается окружающим нас предметам. Звуковая волна заставляет вибрировать  стекла в окнах, стеновые панели, элементы отопительных систем, вентиляционные пространства и другие предметы. Звук распространяется всегда по множеству  путей. Возникшие колебания можно  сканировать с помощью специальной  техники с этих предметов и  на достаточно большом расстоянии преобразовывать  в слышимый звук.