Источники конфиденциальной информации и каналы ее утраты

Незаконное подключение – контактное или бесконтактное присоединение к различного рода линиям и проводам с целью несанкционированного доступа к информации, образующейся или передаваемой в них тем или иным путем. Перехват заключается в получении информации за счет приема сигналов электромагнитной энергии пассивными средствами приема, расположенными, как правило, на достаточно безопасном расстоянии от источника конфиденциальной информации. Негласное ознакомление состоит в получении информации, к которой субъект не допущен, но при определенных условиях он может получить возможность кое-что узнать.Негласному ознакомлению способствует низкая производственная дисциплина, оставление документов на столах, в незапертых ящиках, оставление информации в оперативной памяти ПЭВМ после завершения работы, бесконтрольное хранение дискет с конфиденциальной информацией. Фотографирование представляет собой способ получения видимого изображения объектов конфиденциальных интересов на фотоматериале. Особенность способа – документальность, позволяющая при дешифровании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения. Сбор и аналитическая обработка – завершающий этап в изучении и обобщении добытой информации с целью получения достоверных и полных сведений по интересующему злоумышленника аспекту деятельности конкурента.Таким образом, сбор конфиденциальной информации ведется с использованием всех имеющихся возможностей, и легальные источники играют важнейшую роль в этом процессе. Тем не менее обработка официальных источников и использование других легальных возможностей для сбора информации часто не дат ответов на самые острые и важные вопросы о деятельности конкурента. Поэтому, как показывает статистика, сбор наиболее ценной информации может вестись только с помощью нелегальных средств.2.2. Методы и средства защиты от утечки информацииУтечка данных является серьёзной опасностью многих компаний. Она может быть вызвана умыслом третьего лица или неосторожным сотрудником. Умышленные утечки осуществляются с двумя задачами: первая - нанести ущерб государству, обществу или конкретному предприятию, эта цель характерна для проявлений кибертерроризма; вторая - получить преимущество в конкурентных борьбах.Непреднамеренные утечки происходят в большинстве случаев из-за неосторожности работников организациии могут привести к серьёзным негативным последствиям. Создание информационной системы защиты от потерь информации в компаниях любого типа должно быть осуществлено на профессиональном уровне, используя современные технические средства. Способы защиты организации от утечки информации. С целью эффективной защиты от всех вышеперечисленных способов утечки необходимо разработать систему мер безопасности, которая будет состоять из двух основных категорий мероприятий и действий:– административные и организационные меры;– технические и программные меры.И первая, и втораякатегория событий перед их реализацией требуют обязательной консультации профессионалов, особенно в случае, если компания намерена получать лицензию на сотрудничество с государственной секретностью.Систему безопасности необходимо проектировать комплексно, основываясь на базе организационных мер. Все ее компоненты должны быть составлены единым комплексом, контролировать работу которого должны компетентные сотрудники.Есть некоторые принципы, которые должны основываться на комплексной системе мер, направленных на защиту конфиденциальных данных от утечки:– постоянная работа системы в пространстве и времени. Используемые защитные средства должны круглосуточно контролировать все материальные и информационные периметры, не допуская возникновения никаких разрывов и уменьшения уровня надзора;– многозональная защита. Информацию следует ранжировать по значимости и применять различные методы защиты;– расстановка приоритетов. Не все данные являются одинаковой важностью, поэтому для достоверных сведений необходимо применять самые серьезные защитные меры;– интеграция. Вся система должна взаимодействовать друг с другом и управляться единым центром. Если компания находится в холдинге или обладает несколькими филиалами, необходимо настраивать управление информационной системой из главной компании;– дублирование. Все важнейшие блоки, системы связи необходимо продублировать таким образом, чтобы при прорыве или уничтожении одного из элементов защиты, контрольный пришел на смену.Административно-организационные меры. За их выполнение должен отвечать руководитель фирмы и один из его заместителей в ведении службы безопасности.Почти 70 процентов общего уровня безопасности информации зависит от административных мер, поскольку в деятельности службкоммерческого шпионажа применение случаев подкупов сотрудников чаще всего встречается, в сравнении с использованием специальных средств технического хищения информации, требующих высокого уровня квалификации, а также раскрытия сведений третьими лицами, которые напрямую не участвуют в конкурентной борьбе.Разработка документации. Все нормативные акты организации, относительно защиты коммерческой информации и других сведений, должны отвечать самым строго установленным требованиям к таким документам, которые необходимы для того, чтобы получить лицензию. Это не только из-за их проработки, но также из-за того, что качественное оформление данного вида документации позволит в будущем защитить позицию компании в судебном порядке в случае возникновения споров с утечкой информации.Работа с персоналом. Персонал – самое слабое звено любой системы защиты данных от утечки информации. Это влечет за собой необходимость уделять максимум внимания работе с ним.Для предприятий, работающих в сфере государственной секретности, предусматривается система оформления допусков. Иные организации должны принимать разные меры, чтобы ограничить возможности работать с конфиденциальной информацией. Надо составить список сведений, которые представляют собой коммерческую секретность, а также оформить ее как приложение к договору труда. Для работы с базой данных следует создавать системы допуска.Работа с контрагентами. Достаточно часто виновными утечек информации являются не сотрудники компании, а их контрагенты. Это множество консалтинговых и аудиторских организаций, фирм, оказывающих услуги по созданию и сервису информационной системы. Очень осторожно следует относиться ко всем клиентам, требующим от них передачи данных, которые представляют собой коммерческую секретность. Все договоры должны предусматривать условия, влекущие ответственность за ее разглашение.Планировочные и технические решения. При планировании архитектуры и дизайна помещения, где проходят переговоры и находится информация, они должны соответствовать всем требованиям ГОСТа о способах защиты информации. Помещения для переговоров должны пройти необходимуюоценку, должны использоваться все современные экраны, звукоизоляционные материалы, генераторы шума.Технические средства и системы предотвращения утечек. Чтобы защитить информацию от утечки и хищения, необходимо использовать широкий спектр аппаратных мер. Современный технический инструмент подразделяется на четыре категории:– инженерные. Данная категория защитных средств применяется в процессе реализации проектно-архитектурного решения. Это устройства, которые физически ограничивают возможность проникнуть посторонним лицам в охраняемые объекты, системы видеонаблюдения, сигнализаций, электронные замки и другие аналогичные технические приспособления;– аппаратные. Сюда относятся приборы измерения, анализаторы и технические приборы, которые позволяют определять место нахождения закладной техники, которые позволяют выявить действующий канал утечки данных, оценить их эффективность, выявить важные характеристики и влияние ситуации, в которой возможна или произошла утрата данных;– программные. Это самая важная группа, поскольку с помощью этой группы можно избегать проникновения посторонних людей в информационную сеть, блокировать хакерские атаки, избежать перехвата информации. В числе них находятся специальные программы для системной защиты информации;– криптографические.Данная категория обладает алгоритмами шифрования информации, передаваемой по сетям и хранимой на серверах. Даже при потере она не представляет интереса гипотетическим конкурентам.Таким образом, комплексное использование всего спектра защитных методов может оказаться недостаточным, так что для организации системы защиты информации конкретной компании необходимо создать собственное решение, которое будет оптимальным в плане ресурсов.Реализация эффективного метода защиты, который позволяет блокировать любые попытки незаконного доступа к данным, осуществляется при объединении всех используемых средств, методов и мероприятий в единый целостный механизм защиты данных.ЗаключениеТребования к надежности защиты информации с каждым годом становятся жестче. Это вызвано неуклонным ростом возможностей средств разведки, появлением новых технических каналов утечки информации, расширением сферы информационной борьбы. Современная система защиты информации обязана обеспечивать не периодический, а непрерывный круглосуточный мониторинг наиболее опасных каналов утечки информации. Она должна практически мгновенно (в идеале – в реальном масштабе времени) обнаруживать отказы применяемых технических средств защиты информации, выявлять любые организованные противником каналы съема информации, обеспечивать оперативную реакцию персонала на факты обнаружения ее утечки.В ходе работы были выполнены следующие задачи: – дано понятие «конфиденциальной информации» и определены основные ее виды;– рассмотрено нормативно-правовое и нормативно-методическое регулирование конфиденциальной информации;– проанализированы источники, содержащие конфиденциальную информацию;– выявлены каналы утечки конфиденциальной информации;– проанализированы методы и средства защиты от утечки информации.Нет сомнения в том, что выполнение столь жестких требований к системе невозможно без автоматизации основных процессов поиска, распознавания, идентификации и нейтрализации технических каналов утечки информации, а также контроля эффективности принятых мер защиты.Реализация эффективных методов защиты, позволяющие блокировать все попытки несанкционированного доступа к конфиденциальным данным, достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.Список литературыИСТОЧНИКИКонституция Российской Федерации: от 30.12.2008г.: по состоянию на 21.07.2014. Москва: Эксмо, 2014. 64 с.Гражданский кодекс Российской Федерации: от 30 ноября 1994 г.: по состоянию на 16.12.2019. Москва: Эксмо, 2019. 496 с.Уголовный кодекс Российской Федерации: от 13 июня 1996 г.: по состоянию на 01.10.2021. Москва: Эксмо, 2021. 256 с.Кодекс Российской Федерации об административных правонарушениях: от 30 декабря 2001 г.: по состоянию на 23.06.2020. Москва: Эксмо, 2020. 480 с.Об информации, информационных технологиях и о защите информации: Федеральный закон № 149-ФЗ: от 27 июля 2006 г.: по состоянию на 03.04.2020. Москва: Проспект, 2020. 186 с.О персональных данных: Федеральный закон № 152-ФЗ: от 27 июля 2006 г.: по состоянию на31.12.2017. Москва: АСТ, 2017. 48 с.Об электронной подписи: Федеральный закон № 63-ФЗ: от 06 апреля 2011 г.: по состоянию на 08.06.2020. Москва: АСТ, 2017. 32 с.О государственной тайне:Федеральный закон№ 5485-1-ФЗ: от 21 июля 1993 г.: по состоянию на04.08.2022. Москва: Проспект, 2022. 32 с.О стандартизации в Российской Федерации: Федеральный закон№ 162-ФЗ: от 29 июня 2015 г.: по состоянию на 30.12.2020. Москва: Эксмо, 2020. 48 с.О почтовой связи: Федеральный закон№ 176-ФЗ: от 17 июля 1999 г.: по состоянию на 27.12.2019. Москва: Эксмо, 2019. 32 с.литератураАверченков В.И.Организационно-правовые основы защиты информации: Учебник / В.И. Аверченков, М.Ю. Рытов, М.Л. Гулак. – Старый Оскол: ООО «Тонкие наукоемкие технологии».– 2021. – 344 с.Бейнар, И. А. Организация Аналитической работы в системе защиты информации / И.А. Бейнар // Статистические и системно-параметрические исследования: сборник научных статей Международной научно-практической конференции, 27 апреля 2016 г.: Курск: Закрытое акционерное общество «Университетская книга», 2016. – С. 26-28.Годырева А.В. Возможные каналы утечки информации на предприятии / А.В. Годырева // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. – 2008. – С. 146-151.Карпов В. С. Способы и средства технической защиты информации от утечки по техническим каналам / В.С. Карпов, Е.В. Скварник, К.В. Яцук // Точная наука. – 2018. – № 23. – С. 26-30.Сурин В.В. Правовые и организационные основы защиты конфиденциальной информации в деятельности учреждений и органов уголовно-исполнительной системы: учебное пособие / В.В. Сурин, В.Г. Зарубский, П.А. Леонтьев. – Пермь: Пермский институт Федеральной службы исполнения наказаний. – 2013. – 82 с.2.5 Яснев В.Н. Информационная безопасность: Учебное пособие для обучающихся по направлению подготовки 38.03.02 «Менеджмент» / В.Н. Ясенев, А.В. Дорожкин, А.Л. Сочков. – Нижний Новгород: Национальный исследовательский Нижегородский государственный университет им. Н.И. Лобачевского. – 2018. – 182 с.