2008-05-26

Информационная безопасность в условиях современного рынка

В последние время, вопросы, касающиеся защиты информации освещаются в той или иной степени практически в каждом средстве массовой информации. Является ли это новомодным поветрием или прагматичной реальностью обусловленной необходимостью умения получать информацию, которая интересует вас и скрупулезно оберегать свою? На эту тему мы заговорили после развала союза, вступив на путь капиталистических отношений. Поэтому в вопросах информационной безопасности в основном мы ссылаемся на проработки и исследования западных специалистов, которые имеют многолетний опыт в данной сфере деятельности.

Безопасность — дело всех и каждого

До последнего времени тема безопасности информации была закрыта для широкого круга и не освещалась в открытой печати. Информация по вопросам данной темы была доступна только узкому кругу специалистов, да и сейчас в тех структурах где присутствует информация с грифами государственная или военная тайна, ситуация более или менее ясная. Существуют положения, нормативные акты, инструкции, методики и нормы разработанные еще в период существования союза, которые доработаны и дополнены в соответствии с современным научно техническим уровнем.

С развитием рыночных отношений неизбежно появилось понятие коммерческой тайны. Защита информации относящейся к коммерческой тайне является заботой самих руководителей фирм, банков и других коммерческих структур. К сожалению, на сегодняшний момент нет четко сформулированных и узаконенных правил, требований и нормативов, которыми должна быть регламентирована защита информации данного характера.

На сегодняшний момент приходиться констатировать тот факт, что не все предприниматели и руководители коммерческих структур уделяют внимание защите собственной информации постоянно, а начинают беспокоиться в тот момент, когда обнаруживается утечка информации.

Еще с давних времен известна истина — «Кто владеет информацией, тот владеет миром». На современном этапе развития нашего общества информация является, пожалуй, самым дорогим товаром.

Опираясь на опыт и исследования одного из западных аналитических агентств, мала какая средняя фирма, сможет просуществовать более месяца после «крупной» утечки информации, а для крупной фирмы — это грозит как минимум колоссальными убытками. Нельзя так же сбрасывать со счетов преступные группировки, которые в свою очередь могут использовать полученную информацию в делах криминального характера, которые также негативно или даже летально скажутся на руководстве коммерческой структуры. В общем случае все эти действия подрывают экономику всего государства в целом.

У многих представителей бизнеса сложилось мнение, что беспокоится о утечке информации стоит лишь в том случае, когда в его действиях прослеживается криминал. На самом деле все обстоит гораздо сложнее.

• Неадекватная политика безопасности фирмы;
• Несанкционированные действия сотрудников собственной фирмы;
• Шпионаж со стороны конкурентов.

Уязвимая информация представляющая особый интерес при сборе и анализе:

• условия финансовой деятельности и политики;
• данные о конкурентах;
• данные о рынках сбыта;
• данные о поставщиках и партнерах;
• технологические секреты;
• данные о потенциальных партнерах и клиентах;
• меры, предпринимаемые в отношении конкурентов;
• информация о логистике;
• выявление сотрудников для подкупа и вербовки;
• связи и возможности руководства;
• выявление постоянных клиентов.

Сведения личного характера:

• источники доходов и данные о финансовом благополучии;
• уклад личной жизни руководителя и членов его семьи;
• отношение к тем или иным событиям общества — истинные;
• адреса и расписание встреч, как деловых, так и личных;
• данные о слабостях, пагубных пристрастиях, вредных привычках, сексуальной ориентации, супружеской неверности, семейных проблем;
• данные о месте жительства, местах хранения ценностей;
• данные о друзьях, подругах, досуге и маршрутах передвижения.

Для обеспечения комплексной безопасности необходима система мер обеспечивающая необходимый уровень защиты по следующим направлениям:

• защита от криминальных структур;
• защита от нарушения законодательства;
• защита от недобросовестной конкуренции.

Эти меры выполняются на участках производственной деятельности, коммерческой и финансовой деятельности, информационного обеспечения, кадровой политики и обеспечения и других направлениях.

Вероятность получения информации по средствам утечки сводится практически к нулю, если фирма со всей ответственностью подходит к вопросам сохранения своей коммерческой тайны и обеспечения необходимого уровня ее защиты. Но многие фирмы однобоко относятся к обеспечению безопасности, опираясь в основном на физическую охрану и скудный арсенал средств технической защиты информации. Данный подход не может гарантировать полной сохранности информации, а лишь частично обезопасит вашу фирму, создав «радужную» картину полной безопасности.

Классификация угроз

Угроза нанесения ущерба системам обработки информации содержащей ценную информацию. Под системами обработки информации понимаются все электронные и механические средства принимающие участие в процессе записи, хранения, воспроизведения, преобразования и т. д. информации (компьютеры, телефоны, факсы, магнитофоны и т. д.)

Существует два вида потенциальных угроз для систем обработки информации — это естественные (стихийные бедствия, природные явления, т. е. действия независящие от человека) и искусственные, непосредственно вызванные человеческой деятельностью. Круг искусственных угроз намного шире и многообразнее естественных. Из искусственных угроз можно выделить угрозы в соответствии с мотивами:

• неумышленные (непреднамеренные) угрозы, обусловленные несанкционированными или неадекватными действиями персонала, ошибками программного обеспечения, случайными сбоями и т. п.;
• умышленные (преднамеренные) угрозы, обусловленные несанкционированными или неадекватными действиями персонала и несанкционированным доступом (НСД) к информации посторонних лиц.

Результатом реализации данных угроз может быть:

• утрата (разрушение, уничтожение);
• утечка (извлечение, копирование, подслушивание);
• искажение (модификация, подделка);
• блокирование.

Угрозы не связанные с деятельностью человека.

Наиболее распространенными естественными угрозами является пожар и затопление. Исходя из это, надо тщательно проработать проекты размещения средств обработки информации, предусмотрев качественную инженерную защиту. Но не стоит и забывать возможность нанесения ущерба от землетрясений, ураганов, снегопадов и т. п.

Угрозы, связанные с деятельностью человека:

• угрозы системе обработки информации в результате несанкционированного использования штатных технических и программных средств, а также их хищения, порчи, разрушения;
• угрозы в результате использования специальных средств, не входящих в состав системы обработки данных (побочные излучения, наводки по цепям питания, использование аппаратуры звукоусиления, прием сигналов из линий связи, акустические каналы);
• угрозы использования специальных методов и технических средств (фотографирование, электронные закладки, разрушающие илulискажающие информацию, а также передающие обрабатываемую или речевую информацию);
• облучение технических средств зондирующими сигналами, в результате чего может происходить искажение или разрушение информации, а при значительной мощности облучений и вывод из строя аппаратуры.

Каналы утечки информации

Возможные каналы утечки информации можно разбить на четыре группы.

1-я группа — каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы.

К этой группе относятся каналы образующиеся за счет:

• дистанционного скрытого видеонаблюдения или фотографирования;
• применения подслушивающих устройств;
• перехвата электромагнитных излучений и наводок и т. д.

2-я группа — каналы, связанные с доступом к элементам системы и изменением структуры ее компонентов.

Ко второй группе относятся:

• наблюдение за информацией с целью ее запоминания в процессе обработки;
• хищение носителей информации;
• сбор производственных отходов, содержащих обрабатываемую информацию;
• преднамеренное считывание данных из файлов других пользователей;
• чтение остаточной информации, т. е. данных, остающихся на магнитных носителях после выполнения заданий;
• копирование носителей информации;
• преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей;
• маскировка под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки;
• использование для доступа к информации так называемых «люков», дыр и «лазеек», т. е. возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и др.) и неоднозначностями языков программирования применяемых в автоматизированных системах обработки данных.

3-я группа — к которой относятся:

• незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи);
• злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;
• злоумышленный вывод из строя механизмов защиты.

4-я группа — к которой относятся:

• несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб;
• получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.

Рассмотрим наиболее распространенные каналы утечки информации и методы их использования.

Утечка акустической информации. Существует огромный арсенал средств разработанных специально для ведения акустической разведки, начиная от самых простейших микрофонов, диктофонов, радиомикрофонов или в простонародье «жучков» и заканчивая сверхтехнологичными направленными микрофонами, лазерными микрофонами, транспондерами и многими другими средствами.

В каждом конкретном случае для проведения акустической разведки используется индивидуальный набор средств, выбор этого набора обусловлен конкретными условиями, целями и финансовыми возможностями.

Микрофоны. Используются, если на объект есть постоянный доступ и время для скрытой установки микрофонов и проводки. В случае отсутствия постоянного или кратковременного доступа, но есть доступ к смежным помещениям, проводные микрофоны могут быть введены через каналы вентиляции, каналы электропроводки, не плотности и пустоты. В кр случае отсутствия каналов, через которые возможно ввести микрофон в интересующее помещение, возможно использование стетоскопов, которые будут непосредственно перехватывать виброакустические колебания строительных конструкций здания. Для записи перехваченной микрофонами информации могут использоваться как простые магнитофоны, так и многоканальные системы записи.

Диктофоны. Используются в случае, если на объект имеется кратковременный доступ, под различными предлогами. Размеры современных диктофонов позволяют, скрыто установить и изъять их в помещении за короткий отрезок времени, обеспечить запись до 13 часов бытовые и более 13 часов профессиональные. Причем практически все современные диктофоны снабжены системой «акустопуска», которая позволяет производить запись только в случае разговора.

Радиомикрофоны. Существует большое разнообразие конструкций радиомикрофонов, которые могут быть рассчитаны на кратковременное использование (радиомикрофоны «бросового типа») или на долгосрочную работу (радиомикрофоны с дистанционным управлением, питанием от сети, телефонных линий, линий сигнализации и т. д.). Для большей скрытности радиомикрофоны могут быть закамуфлированы под различные предметы, иметь закрытый радиоканал, специальное исполнение и многие другие специальные разработки. В зависимости от условий доступа на объект выбирается тот или иной тип радиомикрофона. Дальность приема сигналов от различных типов радиомикрофонов может быть от 30 метров до нескольких километров при использовании ретрансляторов. Ответной частью радиомикрофонов являются радиоприемные устройства. В зависимости от типа и характеристик радиомикрофонов могут использоваться как бытовые радиоприемники, так и профессиональные или доработанные бытовые радиоприемники.

Помимо утечки информации по акустическим каналам возможна утечка информации по средствам визуального контроля. Перечень устройств видеонаблюдения достаточно велик от простого фотоаппарата, видеокамеры до систем «чтения». Модификации устройств визуального наблюдения могут использовать в качестве канала передачи информации как проводные коммуникации, так и радиолинии. Для увеличения скрытности камеры и блоки данных устройств могут быть закамуфлированы под различные предметы, от настенных часов до детских игрушек. Данные системы обычно используются в паре с системами перехвата акустической информации.

Следующий вариант утечки информации происходит при использовании средств связи и различных проводных коммуникаций. Наиболее распространенные примеры — это прослушивание телефонных переговоров, перехват факсимильных сообщений, перехват пейджинговых сообщений, перехват радио и сотовых переговоров, ВЧ — навязывание.

Более дорогостоящими путями утечки информации является лазерный съем информации и перехват побочных электромагнитных колебаний и наводок от средств обработки информации. Помимо этого существует масса программ позволяющих перехватывать и передавать информацию, циркулирующую на ЭВМ.

Выше описаны далеко не все возможные варианты утечки информации при использовании технических средств, в данной статье невозможно полностью описать все средства и методы, используемые в целях шпионажа.

Прочтя эту статью, Вы кратко ознакомились с возможными каналами утечки информации наиболее вероятными для предприятий и фирм любой формы собственности от государственных до частных. Полученные из данной статьи сведения Вы можете использовать на первом этапе построения комплексной системы защиты информации, т. е. реально оценить и проанализировать угрозы и риски связанные с утечкой конфиденциальной информации. Но в любом случае построение комплексной системы безопасности остается очень сложным вопросом, к которому необходимо подходить профессионально и скрупулезно, не упуская из виду ни одну, даже самую малую деталь. Оказать помощь в решении вопроса обеспечения безопасности информации Вам могут специалисты фирмы специализирующиеся на защите информации и построении комплексных систем безопасности — это поможет Вам сэкономить время и деньги, сделать правильный выбор оборудования, избежать ошибок и оптимально разработать политику безопасности для ваших индивидуальных условий.

Владимир Гуков
Директор компании «Adviser»
Газета «Адвокат»

« to the list