Основной угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат - овладение информацией и противоправное ее использование или совершение иных дестабилизирующих действий.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники других организационных структур, работники коммунальных служб, экстремальной помощи, прохожие, посетители фирмы), а также сотрудники данной фирмы, не обладающие правом доступа в определенные помещения, к конкретному документу, информации, базе данных. Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом, но может и не быть им.
Целями и результатами несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, модификация, уничтожение, фальсификация, подмена и т. п.
Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограничейного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица. Основным виновником несанкционированного доступа к информационным ресурсам является, как правило, персонал, работающий с документами, информацией и базами данных. При этом надо иметь в виду, что утрата информации происходит в большинстве случаев не в результате преднамеренных действий злоумышленника, а из-за невнимательности и безответственности персонала. Следовательно, утрата информационных ресурсов ограниченного доступа может наступить при:
- наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации;
- возникновении риска угрозы, организованной злоумышленником, или при случайно сложившихся обстоятельствах;
- наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.
Эти условия могут включать:
- отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;
- неэффективную систему защиты информации или отсутствие этой системы, что образует высокую степень уязвимости информации;
- непрофессионально организованную технологию обработки и хранения конфиденциальных документов;
- неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;
- отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;
- отсутствие контроля со стороны руководства фирмы за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;
- бесконтрольное посещение помещений фирмы посторонними лицами.
Следует всегда помнить, что факт документирования резко увеличивает риск угрозы информации. Великие мастера прошлого никогда не записывали секреты своего искусства, а передавали их устно сыну, ученику. Поэтому тайна изготовления многих уникальных предметов того времени так и не раскрыта до наших дней.
Следовательно, угрозы конфиденциальной информации всегда реальны, отличаются большим разнообразием и создают предпосылки для утраты информации. Источники угрозы информации конкретной фирмы должны быть хорошо известны. В противном случае нельзя профессионально построить систему защиты информации.
2.6. Каналы утраты информации
Угрозы сохранности, целостности и конфиденциальности информационных ресурсов ограниченного доступа практически реализуются через риск образования канала несанкционированного получения (добывания) кем-то ценной информации и документов. Этот канал представляет собой совокупность незащищенных или слабо защищенных фирмой направлений возможной утраты конфиденциальной информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой информации.
Каждая конкретная фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов - профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т. п.
Функционирование канала несанкционированного доступа к информации обязательно влечет за собой утрату информации или исчезновение носителя информации.
В том случае, когда речь идет об утрате информации по вине персонала, используется термин «разглашение (огласка) информации». Человек может разглашать информацию устно, письменно, с помощью жестов, мимики, условных сигналов, лично, через посредников, по каналам связи и т. д. Термин «утечка информации», хотя и используется наиболее широко, однако в большей степени относится, по нашему мнению, к утрате информации за счет ее перехвата с помощью технических средств разведки, по техническим каналам.
Утрата информации характеризуется двумя условиями, а именно информация переходит: а) непосредственно к заинтересованному лицу - конкуренту, злоумышленнику или б) к случайному, третьему лицу.
Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации. Однако от третьего лица информация может легко перейти к злоумышленнику.
Переход информации к третьему лицу представляется достаточно частым явлением и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации, нарушения ее безопасности имеет место. Возникает так называемый случайный, стихийный канал утраты информации.
Непреднамеренныйпереход информации к третьему лицу возникает в результате:
- утери или неправильного уничтожения документа, пакета с документами, дела, конфиденциальных записей;
- игнорирования или умышленного невыполнения сотрудником требований по защите документированной информации;
- излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования, транспорте и т. п.);
- работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;
- использования сведений ограниченного доступа в открытой документации, публикациях, интервью, личных записях, дневниках и т. п.;
- отсутствия маркировки (грифования) информации и документов ограниченного доступа (в том числе документов на технических носителях);
- наличия в конфиденциальных документах излишней информации ограниченного доступа;
- самовольного копирования сотрудником документов в служебных или коллекционных целях.
В отличие от третьего лица злоумышленник или его сообщник целенаправленно стремятся овладеть конкретной информацией и преднамеренно, противоправно устанавливают контакт с источником этой информации или преобразуют канал ее объективного распространения в канал ее разглашения или утечки. Каналы утраты информации в условиях хорошо построенной системы защиты информации формируются злоумышленником. При плохо построенной системе выбираются им из множества возможных каналов. В любом случае такие каналы всегда являются тайной злоумышленника.
Каналы несанкционированного доступа, утраты информации могут быть двух типов: организационные и технические. Обеспечиваются они легальными и нелегальными методами.
Организационные каналы разглашения информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с фирмой или ее сотрудником для последующего несанкционированного доступа к интересующей информации.
Основными видами организационных каналов могут быть:
- поступление злоумышленника на работу в фирму, как правило, на техническую, второстепенную должность (оператором ЭВМ, секретарем, дворником, слесарем, охранником, шофером и т. п.);
- участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обманных способов;
- поиск злоумышленником сообщника (инициативного помощника), работающего в интересующей его фирме, который становится его соучастником;
- установление злоумышленником доверительных взаимоотношений с сотрудником учреждения, фирмы или посетителем, сотрудником другого учреждения, обладающим интересующими злоумышленника сведениями;
- использование коммуникативных связей фирмы - участие в переговорах, совещаниях, переписке с фирмой и др.;
- использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;
- тайное или по фиктивным документам проникновение в здание фирмы и помещения, криминальный, силовой доступ к информации, т. е. кража документов, дискет, дисков, компьютеров, шантаж и склонение к сотрудничеству отдельных сотрудников, подкуп сотрудников, создание экстремальных ситуаций и т. п.;
- получение нужной информации от третьего (случайного) лица.
Организационные каналы находятся или формируются злоумышленником индивидуально в соответствии с его профессиональным умением оценивать конкретную ситуацию, сложившуюся в фирме, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной аналитической работы.
Техническое обеспечение офисных технологий создает широкие возможности несанкционированного получения ценных сведений. Любая управленческая деятельность всегда связана с обсуждением ценной информации в кабинетах или по линиям связи, проведением расчетов и анализа ситуаций на ЭВМ, изготовлением, размножением документов и т. п.