Имя материала: Организация работы с документами

Автор: Кудряев В.А

11.2. источники конфиденциальной информации и каналы ее разглашения

 

Источники (обладатели) ценной, конфиденциальной документированной информации представляют собой накопители (концентраторы, излучатели) этой информации. К числу основных видов источников конфиденциальной информации относятся: персонал фирмы и окружающие фирму, люди; документы; публикации о фирме и ее разработках, рекламные издания, выставочные материалы; физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и оборудования.

Документация как источник ценной предпринимательской информации включает:

конфиденциальную документацию, содержащую предпринимательскую тайну (ноу-хау);

ценную правовую, учредительную, организационную и распорядительную документацию;

служебную, обычную деловую и научно-техническую документацию, содержащую общеизвестные сведения;

рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по коммерческим и научным вопросам;

личные архивы сотрудников фирмы.

В каждой из указанных групп могут быть:

документы на традиционных бумажных носителях (листах бумаги, ватмане, фотобумаге и т.п.);

документы на технических носителях (магнитных, фотопленочных и т.п.);

электронные документы, банк электронных документов, изображения документов на экране дисплея (видеограммы).

Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:

деловые, управленческие, торговые, научные и другие коммуникативные регламентированные связи;

информационные сети;

естественные технические каналы.

Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санкционированном (разрешенном, законном) режиме или в силу1 объективных закономерностей. Например, обсуждение конфиденциального вопроса на закрытом совещании, запись на бумаге содержания изобретения, работа ПЭВМ и т.п. Увеличение числа каналов распространения информации порождает расширение состава источников ценной информации.

Источники и каналы распространения информации при определенных условиях могут стать объектом внимания конкурента, что создает потенциальную угрозу сохранности и целостности информации. Угроза безопасности информации предполагает несан1щиони-рованный (незаконный) доступ конкурента или нанятого им злоумышленника к конфиденциальной информации и как результат этого — кражу, уничтожение, фальсификацию, модификацию, подмену документов. При отсутствии интереса конкурента угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней посторонних лиц. Ценная информация, к которой не проявляется интерес конкурента, может не включаться в состав защищаемой, а содержащие ее документы контролируются только с целью обеспечения сохранности носителя.

Конкурент или другое заинтересованное лицо (далее по тексту злоумышленник) создает угрозу информации путем установления контакта с источником информации или преобразования канала распространения информации в канал ее утечки. Если нет угрозы, то соответственно отсутствует факт утечки информации к злоумышленнику.

Угроза предполагает намерение злоумышленника совершить противоправные действия по отношению к информации для достижения желаемой цели. Угроза может быть потенциальной и реальной. Реальные угрозы, в свою очередь, делятся на пассивные и активные.

По месту возникновения и отношению к фирме угрозы подразделяются на внутренние и внешние, по времени - постоянные и периодические (эпизодические). Злоумышленник может создать мнимую угрозу, на противодействие которой будут затрачены реальные силы и средства. Угрозы информации реализуются злоумышленником с помощью приемов и методов промышленного или экономического шпионажа.

Угроза сохранности информации и документов особенно велика при их выходе за пределы службы конфиденциальной документации, например при передаче документов персоналу на рассмотрение и исполнение, при пересылке или передаче документов адресатам и т.п. Однако следует учитывать, что потеря ценной информации происходит, как правило, не в результате преднамеренных действий конкурента или злоумышленника, а из-за невнимательности, непрофессионализма и безответственности персонала.

Утрата (утечка, утеря) информации предполагает несанкционированный переход ценных, конфиденциальных сведений к лицу, не имеющему права владения ими и использования их в своих целях для получения прибыли. В том случае, когда речь идет об утрате информации по вине персонала, обычно используется термин «разглашение (огласка) информации». Разглашает информацию всегда человек - устно, письменно, с помощью жестов, мимики, условных сигналов, лично или через посредников. Термин «утечка информации» используется наиболее широко, хотя, на наш взгляд, в большей степени относится к утрате информации за счет ее перехвата с помощью технических средств разведки.

При разглашении, утечке информация может переходить или к злоумышленнику и затем, возможно, к конкуренту, или к третьему л.ицу. Под третьим лицом в данном случае понимаются любые лица, получившие информацию во владение в силу обстоятельств (т.е. ставшие ее источником), но не обладающие правом владения ею и, что очень важно, не заинтересованные в этой информации. Однако следует учитывать, что от третьих лиц информация может перейти к заинтересованному в ней лицу - конкуренту фирмы.

Переход информации к третьему лицу можно назвать непреднамеренным, стихийным. Он возникает в результате:

утери или случайного уничтожения документа, пакета (конверта);

невыполнения, незнания или игнорирования сотрудником требований по защите информации;

излишней разговорчивости сотрудников при отсутствии злоумышленника;

работы с конфиденциальными документами при посторонних лицах, несанкционированной передаче конфиденциального документа другому сотруднику;

использования конфиденциальных сведений в открытой печати, личных записях, неслужебных письмах;

наличия в документах излишней конфиденциальной информации;

самовольного копирования сотрудником документов в служебных целях.

В отличие от третьего лица злоумышленник преднамеренно и тайно организует, создает канал утечки информации и эксплуатирует его по возможности более или менее длительное время. Знать возможный канал утечки информации означает:

для злоумышленника - иметь стабильную возможность получать ценную информацию;

для владельца информации - противодействовать злоумышленнику и сохранить тайну, а иногда и дезинформировать конкурента.

Информация должна поступать к конкуренту только по контролируемому каналу, в котором отсутствуют конфиденциальные сведения, а циркулирующая информация ранжирована по составу, пользователем и характеризуется общей известностью и доступностью. Примером такого канала является издание и распространение рекламно-информационных материалов.

Каналы утечки, которыми пользуются злоумышленники, отличаются большим разнообразием. Основными видами этих каналов могут быть следующие:

установление злоумышленником взаимоотношений с сотрудниками фирмы или посетителями, сотрудниками фирм-партнеров, служащими государственных или муниципальных органов управления и другими лицами;

анализ опубликованных материалов о фирме, рекламных изданий, выставочных проспектов и другой общедоступной информации;

поступление злоумышленника на работу в фирму;.

работа в информационных сетях;

криминальный, силовой доступ к информации, т.е. кража документов, шантаж персонала и другие способы;

работа злоумышленника в технических каналах распространения информации.

В результате своей деятельности по организации разглашения или утечки ценной, конфиденциальной информации злоумышленник получает:

подлинник или официальную копию конфиденциального документа (бумажного или машиночитаемого);

несанкционированно сделанную копию этого документа (рукописную или изготовленную с помощью технических средств - копировального аппарата, фототехники, компьютера и т.п.);

диктофонную, магнитофонную кассету со звукозаписью текста документа;

письменное или устное изложение за пределами фирмы содержания документа, ознакомление с которым осуществлялось санкционирование или тайно;

устное изложение текста документа по телефону, переговорному устройству, специальной радиосвязи и т.п.;

аналог документа, переданного по факсимильной связи или электронной почте;

речевую или визуальную запись текста документа, выполненную с помощью технических средств разведки (радиозакладок, встроенных микрофонов и видеокамер, микрофотоаппаратов, фотографирования с большого расстояния).

Обнаружение канала разглашения (утечки) информации - сложная, длительная и трудоемкая задача. В основе ее решения лежит классификация и постоянное изучение источников и каналов распространения информации, выявление угроз информации и возможных каналов ее утечки, поиск и обнаружение реальных каналов утечки, оценка степени опасности каждого реального канала, подавление опасных каналов и анализ эффективности защитных мер, предпринятых для безопасности информации. Каналы разглашения (утечки) информации всегда индивидуальны и зависят от конкретных задач, поставленных перед злоумышленником.

Следовательно, контроль источников и каналов распространения конфиденциальной информации позволяет определить наличие и характеристику угроз информации, выработать структуру системы защиты информации, надежно перекрывающую доступ злоумышленнику к ценной информации фирмы.

 

Страница: | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 106 | 107 | 108 | 109 | 110 | 111 | 112 | 113 | 114 | 115 | 116 | 117 | 118 | 119 | 120 | 121 | 122 | 123 | 124 |