Об инцидентах, связанных с информационной безопасностью, и методах борьбы с ними сказано немало. Возникает резонный вопрос: «А стоит ли еще раз обсуждать эту тему?» К сожалению, мне, как и многим моим коллегам по цеху, приходится дать положительный ответ. Большинство руководителей компаний продолжают отказываться воспринимать информационные ресурсы в качестве ключевых активов. Однако уже сегодня понятно, что один компьютерный инцидент может поставить даже крупную корпорацию на порог катастрофы.

С точки зрения специалиста по расследованию компьютерных преступлений можно выделить три основных цели, которые наиболее подвержены атакам со стороны компьютерных злоумышленников. Во-первых, деньги; во-вторых, информация; и, в-третьих, репутация. Думаю, не стоит лишний раз говорить о том, что все упомянутые активы так или иначе между собой тесно взаимосвязаны. Поэтому киберудар по одному из них может привести к возникновению ущерба в смежной области.

Почему эти три актива представляют максимальный интерес для компьютерных злоумышленников? Потому что во всех этих случаях речь идет о возможности получения сверхдоходов.

Например, деньги. Тут и так все понятно. Идейных борцов за денежные знаки немало в виртуальном мире, и атаки на системы интернет-банкинга сегодня самый распространенный тренд на российском рынке киберпреступности. В итоге только за прошлый год российским компьютерным мошенниками удалось похитить со счетов юридических лиц 758,5 млн долларов.

А вот сетевые атаки на бренд и иные репутационные активы пока не имеют такого распространения, но уже все чаще встречаются при разборе инцидентов. Если компании принадлежит популярный бренд, которому массово доверяют потребители, мошенники обязательно постараются воспользоваться этим, чтобы под его прикрытием выманить у пользователей деньги. Фальшивый сайт, на главной странице которого расположен логотип той или иной организации, воспринимается большинством пользователей в качестве легального, принадлежащего этой организации, и потому доверенного. Таким образом, все претензии в случае мошеннических действий будут направляться в адрес компании, чей бренд был атакован. И хотя она абсолютно не причастна к нарушениям закона, это не будет особым оправданием в глазах интернет-сообщества, которое живо реагирует на любые подобные инциденты. «Ложечка», конечно, потом найдется, но вернуть прежний уровень доверия будет уже не так просто.

Последним активом, который стоит выделить особо, когда речь заходит о кибератаках на корпоративную инфраструктуру, является информация. Секреты производства, научные разработки, отчетность, финансовая документация, бизнес-планы, договоры, цены, персональные данные сотрудников - все это и многое другое представляет значительный интерес для компьютерных злоумышленников. Что-то можно продать недобросовестным конкурентам на черном рынке, что-то можно использовать для шантажа руководства пострадавшей компании, а что-то пригодится для осуществления мошеннических операций. При этом похищенные деньги можно вернуть, честное имя - восстановить, а вот, например, утеря «ноу-хау» действительно может привести к утрате конкурентных преимуществ и даже исчезновению бизнеса.

Стоит отметить, что в отличие от первых двух случаев расследование инцидентов, связанных с утечками информации, имеет иную специфику. Дело здесь заключается в том, что хищения денежных средств и сетевые атаки на бренды по сути своей являются мошенничествами. То есть присутствуют соответствующие квалифицирующие признаки, нанесен определенный ущерб и т. д., а значит, при наличии соответствующих доказательств злоумышленников можно привлечь к уголовной ответственности и потребовать возмещения причиненного ущерба. Информация защищается законом несколько в ином порядке, и не всегда можно однозначно сказать, является ли она конфиденциальной или нет и был ли вследствие утечки нанесен компании какой-либо ущерб. Поэтому в этой статье мне бы хотелось уделить внимание некоторым особенностям, связанным с расследованиями утечек.

Режим коммерческой тайны как профилактическая мера

Прежде, чем обратиться непосредственно к вопросам расследования подобного рода инцидентов, необходимо остановиться на режиме коммерческой тайны, без внедрения которого защитить корпоративную конфиденциальную информацию в рамках правового поля представляется затруднительным.

Каждая компания независимо от того, ведет ли она уже успешный бизнес или же только появилась на рынке, имеет свои секреты ведения бизнеса и достижения успеха. В одном случае это оригинальные разработки по организации структуры деятельности (например, разветвленная структура региональных представителей, система управления внутри организации); в другом - эксклюзивные методики производства продукции или оказания услуг; в третьем - маркетинговые мероприятия, направленные на продвижение продуктов и услуг компании. Все вышеуказанное в той или иной степени может относиться к любой компании как на российском, так и на мировом рынке.

Кроме того, любая компания имеет свой личный опыт в сфере ведения бизнеса и обладает уникальным набором собственных разработок и инструментов, которые способствуют ее развитию на рынке. Информация о таких инструментах по естественным причинам является объектом пристального внимания конкурентов, желающих получить сведения о разработках компании для применения в своих интересах. Конечно, компания – обладатель такой информации строго следит за тем, чтобы сведения не были раскрыты и не был причинен соответствующий ущерб. Для достижений указанных целей и защиты своих интересов компании устанавливают режим коммерческой тайны.

«Коммерческая тайна» - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Под информацией, составляющей коммерческую тайну в соответствии с N 98-ФЗ «О коммерческой тайне», понимается любая информация, содержащая научно-технические, технологические, производственные, финансово-экономические сведения, в том числе составляющие секреты производства («ноу-хау»), которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которым нет свободного доступа на законном основании и в отношении которых обладателем такой информации введен режим коммерческой тайны.

Таким образом, при осуществлении защиты информации, составляющей коммерческую тайну, организации имеют возможность обезопасить себя от существенных рисков, например, финансового ущерба, защитить свою репутацию и повысить конкурентоспособность. Если в организации отсутствует введенный режим коммерческой тайны или он введен с нарушением законодательства, то отсутствует и сама коммерческая тайна.

Закон содержит перечень необходимых действий для введения режима коммерческой тайны в организации:

1. определить перечень информации, составляющей коммерческую тайну;
2. ограничить доступ к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3. провести учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
4. отрегулировать отношения по использованию информации, составляющей коммерческую тайну, с работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
5. нанести на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, гриф «Коммерческая тайна» с указанием обладателя этой информации.

Стоит отдельно остановиться на одном важном моменте, связанном с определением перечня информации, составляющей коммерческую тайну. Закон дает право самостоятельно определять сведения, которые будут считаться в организации в качестве конфиденциальных, исходя из специфики бизнеса и особенностей самой компании, ограничиваясь лишь некоторыми исключениями. Следовательно, в компаниях стараются сделать максимально расширенный перечень информации. Но на практике туда попадает и та информация, которая по законодательству не может быть признана коммерческой тайной. В таких случаях при утечке коммерческой тайны защитить интересы организации будет не возможно, так как введенный режим коммерческой тайны будет противоречить законодательству. Поэтому при введении режима коммерческой тайны необходимо обязательно проконсультироваться со сторонними специалистами, которые помогут избежать возможных ошибок и нарушений.

После проведения указанных выше мер режим коммерческой тайны считается введенным, что в целом поможет защитить интересы компании.

Но на практике, когда происходит утечка конфиденциальной информации, организациям приходится сталкиваться с различными сложностями при защите своих прав и интересов в государственных органах, особенно в части возмещения ущерба. Например, при проведении расследования подобного инцидента организации сталкиваются с проблемой доказывания виновности нарушителя и привлечения его к ответственности. Это происходит из-за того, что сам факт введения режима коммерческой тайны еще не гарантирует защиту прав компании в полном объеме, так как дополнительно требуется, что бы в организации полностью было соблюдено трудовое законодательство, а так же проведены необходимые организационные меры. Например, издание необходимых приказов о введении режима коммерческой тайны, разработка внутренних положений и соответствующие инструктажи персонала по данному вопросу.

Отдельно хочу заметить, что при требовании возмещения ущерба от утечки конфиденциальной информации возникают проблемы расчета самого ущерба, так как нет точных и общепринятых алгоритмов расчета. Поэтому необходимо предусмотреть в локальных документах организации и договорах с контрагентами способ расчета ущерба или фиксированные денежные штрафы в случае утечки информации, составляющей коммерческую тайну. Данные действия способствуют положительному результату при возмещении ущерба.

Утечка конфиденциальной информации: меры по расследованию инцидента

Какие инциденты, связанные с утечками информации, можно выделить? Это могут быть:

• хищения сведений для аутентификации во внутренних системах;
• кража интеллектуальной собственности;
• использование рабочих компьютеров для сторонней деятельности;
• передача сведений ограниченного доступа через программы обмена мгновенными сообщениями и почтовые сервисы/клиенты.

Утечка конфиденциальной информации может осуществляться как умышленно (например, из корыстной заинтересованности), так и случайно (оставление документов на рабочем столе). Соотношение умышленных и случайных утечек практически одинаково. Важно, что любую из них необходимо расследовать для выявления нарушителя, привлечения его к ответственности и возмещения нанесенного ущерба.

Если утечка случилась и данный факт установлен, необходимо, прежде всего, определить носители информации, содержащие интересующие нас сведения. Осмотр, изъятие и иные действия желательно проводить в присутствии независимых компьютерных криминалистов и незаинтересованных лиц, свидетелей, данные которых необходимо занести в соответствующие акты. После этого следует снять полные посекторные копии носителей, дальнейшее криминалистическое исследование которых позволит ответить на максимум вопросов, связанных с инцидентом. Отмечу, что снятие посекторных копий должно проводиться исключительно с использованием программных и аппаратных блокираторов записи. В противном случае копии могут быть не приняты правоохранительными или судебными органами в качестве доказательств при разборе дела. После того, как копии будут сняты, следует опечатать сами носители. Опечатывание производится таким образом, чтобы упаковка смогла гарантировать целостность содержимого, а ее нарушение было невосполнимо.

Параллельно с описанными процедурами следует провести выгрузку сведений из имеющихся в компании журналирующих систем (сетевое оборудование, видеонаблюдение, DLP, IPS, иные системы). Стоит отдельно отметить, что использование DLP-систем может значительно упростить проведение расследования. Такие решения имеют систему журналирования и собственные независимые архивы; также DLP-системы предоставляют возможность проводить поиск требуемых данных по заданным критериям.

Если в компании используется DLP-система и случае регистрации утечки с ее помощью, необходимо зафиксировать полученные сведения и задокументировать сам факт инцидента, параллельно составив соответствующие документы (служебная записка, акт осмотра и т. д.). Сведения из DLP-системы следует выгрузить и записать на носители информации. Одновременно с этими мероприятиями можно начинать аналитические работы по изучению истории работы данного пользователя для того, чтобы определить умысел в его действиях. Это также позволит установить круг пользователей, причастных к инциденту, и устройства, с помощью которых нарушитель осуществлял хищение информации. Как только будут определены эти устройства и если это возможно, следует осуществить их осмотр с дальнейшим изъятием и опечатыванием, о которым говорилось выше.

Возникает справедливый вопрос о том, что делать с опечатанными носителями информации, их посекторными копиями и сведениями из DLP-системы. Наиболее логичный шаг - передать все на исследование в независимую лабораторию компьютерной криминалистики. Это позволит восстановить хронологию события, извлечь необходимые данные, оформить их в качестве допустимых доказательств и подготовить отчет по итогам исследования. Все это потребуется для дальнейшей передачи в правоохранительные и судебные органы для защиты прав и интересов обладателя конфиденциальной информации.

Утечка конфиденциальной информации: правовое преследование

Точка при расследовании любого инцидента информационной безопасности может быть поставлена только в том случае, когда нарушитель будет признан виновным и понесет заслуженное наказание. Так и при утечке конфиденциальной информации основной целью пострадавшей компании является привлечение виновного лица к ответственности и возмещение причиненного ущерба компании.

«Внутренняя» утечка коммерческой тайны подразумевает распространение сведений работниками компании. В основном на практике такие нарушители несут дисциплинарную, административную ответственность и возмещают реально причиненный ущерб за данные действия. Хотя в половине случаев утечка информации происходит по вине сотрудников компании, к сожалению, компании стараются не сообщать в правоохранительные органы и не привлекать своих работников к уголовной ответственности, так как это может отразиться на репутации компании.

В случаях «внешних» утечек, когда хищение информации произошло по вине стороннего злоумышленника, необходимо обязательно обращаться в правоохранительные органы для поиска и привлечения виновных лиц к уголовной ответственности и возмещения причиненного ущерба. В настоящее время наблюдается активный рост утечек конфиденциальной информации при неправомерном доступе к компьютерной информации и использовании вредоносных программ. Подобные преступления можно квалифицировать по совокупности статей 183, 272, 273 Уголовного кодекса РФ и уголовное наказание в этом случае может доходить до 7 лет в виде лишения свободы.

В настоящее время информация для организаций является одним из источников благосостояния. Практически вся информация, свя­занная с деятельностью организации, является конфиденциальной. В связи с этим возникает потребность защиты такой информации, но не редко руководители достаточно беспечно относятся к сохране­нию конфиденциальности информации и итогом является ее утечка. Принятие мер по охране конфиденциальности инфор­мации это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Несоблюдение мер по охране коммерческой тайны или непра­вильная политика в области безопасности информации ведет к появ­лению угрозы информационных ресурсов. Под угрозой информаци­онных ресурсов предполагается совокупность воздействий факторов внешней и внутренней среды организации, направленных на неза­конное или злонамеренное воспрепятствование или затруднение ее функционирования в соответствии с уставными, долгосрочными и краткосрочными целями и задачами, а также на отчуждение ре­зультатов ее деятельности.

Каждая угроза не зависимо от ее содержания приводит к наруше­нию конфиденциальности информации, нарушению режима такой информации, т. е. наносит определенный ущерб обладателю коммерческой тайны. Защита конфиденциальной информации и принятие мер к устране­нию угроз предпринимается для того, чтобы устранить угрозу вооб­ще или хотя бы снизить возможный ущерб от таких действий.

Одним из значимых видов угрозы информационным ресурсам является утечка конфиденци­альной информации. Утечка конфиденциальной информации представляет собой вы­ход информации за пределы организации или круга лиц, которым она была известна. Утечка информации может осуществляться по различным техническим каналам. Под каналом утечки информации принято понимать определенный путь от источника конфиденци­альной информации к определенному лицу, который хочет завла­деть такой информацией. Для образования канала утечки информа­ции необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации ин­формации.

Основными каналами утечки информации являются сотрудники организации, документы (например, отчеты), и технические каналы утечки информации.

Кроме того, утечка может происходить в процессе совместных работ с другими фирмами (например, создание совместных пред­приятий), консультации специалистов со стороны, получающих доступ к документации и производственной деятельности фирмы, фиктивных запросов о возможности заключения сделок с организацией и др.

Под техническими каналами утечки конфиденциальной информации подразумеваются визуально-оптические каналы; акустические каналы; электромагнитные каналы; сети персональных компьютеров; телефонные, сотовые и пейджинговые каналы связи.

В настоящее время одним из основных путей передачи большого количества конфиденциальной информации являются телефонные переговоры. Поэтому, в качестве примера, рассмотрим технические методы защиты конфиденциальной информации передаваемой по телефонным линиям.

Для прослушивания телефонных разговоров применяют всевозможные прослушивающие устройства, микрофоны, встроенные в телефонную трубку, микрофонный уси­литель, электронный коммутатор и другие технические средства.

Существуют активные и пассивные методы и средства защиты те­лефонного аппарата от утечки информации по электроакустическо­му каналу и от перехвата электронными устройствами. К наиболее распространенным пассивным методам защиты относятся:

Ограничение опасных сигналов;

Фильтрация опасных сигналов;

Отключение источников опасных сигналов.

Наиболее эффективным методом защиты информации является отключение телефонных аппаратов от линии при ведении конфи­денциальных разговоров в помещении, где они установлены. Про­стейший способ реализации этого метода состоит в установке в кор­пусе телефонного аппарата или телефонной линии специального выключателя, при положенной телефонной трубке отключающего телефонный аппарат от линии либо вручную, либо автоматически.

Активные методы защиты от утечки информации по электроаку­стическому каналу сводятся к применению маскирующего низкоча­стотного шумового сигнала. Для защиты информации от перехвата электронными устройствами существует еще один метод (метод вы­сокочастотной широкополосной маскирующей помехи), который заключается в подаче в телефонную линию при положенной теле­фонной трубке маскирующего высокочастотного широкополосного шумового сигнала.

Прослушивание телефонных разговоров возможно благодаря электронным устройствам перехвата речевой информации, подклю­чаемым к телефонным линиям одним из трех способов: последова­тельно (в разрыв одного из проводов), параллельно (одновременно к двум проводам) и с использованием индукционного датчика (бесконтактное подключение). В случае первых двух подключений питание электронных устройств перехвата осуществляется от теле­фонной линии, при последнем - от автономного источника тока. Активизация радиопередающего устройства происходит только на время телефонного разговора, при этом может осуществляться за­пись получаемой речевой информации. Также возможно прослуши­вание через подключение второго телефонного аппарата в соседней комнате.

Существует несколько активных методов для защиты телефонных разговоров, осуществляющих подавление электронных устройств перехвата информации.

Метод высокочастотной маскирующей помехи заключается в по­даче в линию во время телефонного разговора широкополосного ма­скирующего помехового сигнала, частота которого подбирается так, чтобы после прохождения микрофонного усилителя диктофона его уровень оказался достаточным для подавления речевого сигнала, но при этом не ухудшалось качество телефонных разговоров. Эффек­тивность помехового сигнала повышается с понижением его часто­ты, т.е. чем ниже его частота, тем большее мешающее воздействие он оказывает на полезный (речевой) сигнал.

Метод «обнуления» заключается в том, что в момент телефон­ного разговора в линию подается постоянное напряжение, которое с обратной полярностью соответствует напряжению в линии при поднятой телефонной трубке. Данный метод применим для выво­да из строя электронных устройств перехвата речевой информации с контактным подключением к телефонной линии, использующих ее для питания. К подобным устройствам можно отнести параллель­ные телефонные аппараты и телефонные радиозакладки.

Компенсационный метод заключается в том, что при передаче речевого сообщения на принимающей стороне с помощью специ­ального генератора в телефонную линию и на один из входов двухканального адаптивного фильтра подается маскирующая помеха, на другой вход фильтра поступает адаптивная смесь принимаемого полезного (речевого) и того же помехового сигналов. Далее адап­тивный фильтр выделяет полезный сигнал путем компенсации шу­мовой составляющей и посылает его на телефонный аппарат или записывающее устройство. Этот метод является высокоэффектив­ным для подавления всех известных средств несанкционированного съема информации с телефонной линии и широко используется для маскировки, а также сокрытия речевых сообщений передаваемых абонентом.

Метод «выжигания» заключается в подаче в телефонную линию высоковольтных импульсов напряжением. Телефонный аппарат в случае использования этого метода от линии отключается. Им­пульсы подаются в телефонную линию дважды. Один раз при разом­кнутой телефонной линии (для «выжигания» параллельно подклю­ченных к ней электронных устройств), а второй – при закороченной (для «выжигания» последовательно подключенных устройств). Теле­фонный аппарат в случае использования этого метода от линии от­ключается.

В настоящее время для защиты телефонных линий используют­ся не только простые устройства, реализующие один из методов за­щиты, но и сложные, которые обеспечивают комплексную защиту линий путем комбинации нескольких методов, включающих защиту информации от утечки по электроакустическому каналу.

Защита информации от утечки по акустическому каналу – это комплекс мероприятий, исключающих или уменьшающих возмож­ность выхода конфиденциальной информации за пределы контро­лируемой зоны за счет акустических полей.

ЗАКЛЮЧЕНИЕ

Итак, мы рассмотрели в лекции понятие «коммерческая тайна» и «режим коммерческой тайны», а также основные положения Федерального закона РФ «О коммерческой тайне». Кроме этого, в лекции раскрыты вопросы связанные с каналами утечки конфиденциальной информации и методами ее защиты.

ЛИТЕРАТУРА

1. Степанов А.Г., Шерстнева О.О. Защита коммерческой тайны. – М.: Издательство «Альфа-Пресс», 2006. – 180 с.

Термин «утечка конфиденциальной информации», вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления, к тому же он давно уже закрепился в научной литературе и нормативных документах. Утечка конфиденциальной информации представляет собой неправомерный, т. е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия.

Утрата и утечка конфиденциальной документированной информации обусловлены уязвимостью информации. Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т. е. таким воздействиям, которые нарушают ее установленный статус. Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц).

Уязвимость документированной информации - понятие собирательное. Она не существует вообще, а проявляется в различных формах. К таким формам, выражающим результаты дестабилизирующего воздействия на информацию, относятся (в скобках указаны существующие варианты названий форм):

хищение носителя информации или отображенной в нем информации (кража);

потеря носителя информации (утеря);

несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение);

искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация);

блокирование информации;

разглашение информации (распространение, раскрытие).

Термин «разрушение» употребляется главным образом применительно к информации на магнитных носителях.

Существующие варианты названий: модификация, подделка, фальсификация не совсем адекватны термину «искажение», они имеют нюансы, однако суть их одна и та же - несанкционированное частичное или полное изменение состава первоначальной информации.

Блокирование информации в данном контексте означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.

Разглашение информации является формой проявления уязвимости только конфиденциальной информации.

Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия. Такими источниками могут быть люди, технические средства обработки и передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.

Реализация форм проявления уязвимости документированной информации приводит или может привести к двум видам уязвимости - утрате или утечке информации.

К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.

К утечке конфиденциальной документированной информации приводит ее разглашение. В литературе и даже в нормативных документах термин «утечка конфиденциальной информации» нередко заменяется или отождествляется с терминами: «разглашение конфиденциальной информации», «распространение конфиденциальной информации». Такой подход не является правомерным. Разглашение или распространение конфиденциальной информации означают несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем-то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). «Может произойти» не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть, и «прихвачен» мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит. Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Имелось немало случаев, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью «подсидки», причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их. Но в любом случае потеря и хищение конфиденциальной информации если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно определить, во-первых, сам факт разглашения или хищения конфиденциальной информации при сохранности носителя информации у ее собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.

Источники конфиденциальной информации (каналы утечки информации), угрозы безопасности конфиденциальной информации, источники угроз, цели и способы реализации угроз

Конфиденциальная информация, циркулирующая на предприятии, играет важную роль в его функционировании. Под конфиденциальной информацией понимают документированную информацию, доступ к которой ограничен законодательством Российской Федерации. Соответственно, эти данные могут стать объектом интереса злоумышленников. Поэтому необходимо создавать условия, при которых возможность утечки конфиденциальной информации будет минимизирована.

Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации может осуществляться по различным каналам. Каналом утечки информации называют канал коммуникации, позволяющий процессу передавать информацию путем, нарушающим безопасность системы. Утечка информации может происходить в трех формах:

• разглашение информации;
• утечка по техническим каналам;
• несанкционированный доступ к информации.

Все каналы проникновения в систему и каналы утечки информации подразделяют на прямые и косвенные. Под косвенными каналами понимают такие каналы, использование которых не требует проникновения в помещения, где расположены компоненты системы (например, утеря носителей информации, дистанционное прослушивание, перехват ПЭМИ). Для использования прямых каналов необходимо проникновение (это могут быть действия инсайдеров, несанкционированное копирование и т.д.).

Утечка конфиденциальной информации может произойти при наличии интереса к ней у организации-конкурента, а также при наличии условий, позволяющих злоумышленнику овладеть информацией.

Возникновение таких условий возможно как при случайном стечении обстоятельств, так и при умышленных действиях противника. Основными источниками конфиденциальной информации являются:

• персонал предприятия, допущенный к конфиденциальной информации;
• материальные носители конфиденциальной информации (документы, изделия);
• технические средства, осуществляющие хранение и обработку конфиденциальной информации;
• средства коммуникации, используемые в целях передачи конфиденциальной информации;
• передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию.

Следовательно, конфиденциальная информация может стать доступна третьим лицам в результате:

• утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, конфиденциальных записей;
• невыполнения работником требований по защите конфиденциальной информации;
• излишней разговорчивости персонала в местах общего пользования;
• работ с конфиденциальной информацией в присутствии посторонних лиц;
• несанкционированной передачи конфиденциальной информации другому работнику;
• отсутствия грифов секретности на документах, нанесения маркировки на носителях.

В условиях жесткой конкуренции большое внимание организа- ций-конкурентов, конечно же, привлекает конфиденциальная информация. Ведь чем больше информации доступно, тем больше шансов найти уязвимости соперника. Поэтому каналы передачи и обмена конфиденциальной информации в процессе их функционирования могут быть подвергнуты атакам со стороны злоумышленников, что, в свою очередь, может привести к возникновению каналов утечки конфиденциальной информации.

В настоящее время активно используется сеть Интернет. Безусловно, Интернет предоставляет большие возможности и удобства, но он становится еще одной причиной возникновения утечки конфиденциальной информации. В большинстве случаев утечка происходит при неосторожном обращении с конфиденциальной информацией при ее передаче или публикации на сайтах. Большая часть инцидентов приходится на электронную почту. Следующим по опасности каналом утечки конфиденциальной информации являются системы общения (в основном IM-клиенты и Skype). Также сейчас особую популярность приобрели социальные сети, в которых стало возможно не только обмениваться сообщениями, но и публиковать файлы, которые после этого могут стать достоянием большого количества пользователей. И конечно, интернет-канал может быть подвергнут хакерской атаке, что также представляет большую опасность.

Существуют специальные технические средства, которые позволяют получить информацию без непосредственного контакта с персоналом, документами, базами данных. При их использовании возникают технические каналы утечки информации. Под техническим каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования технического канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации. Основными техническими каналами утечки информации являются электромагнитный, электрический, акустический, визуально-оптический и др. Такие каналы прогнозируемы и прерываются стандартными средствами противодействия.

К основным угрозам конфиденциальной информации относятся разглашение, утечка, несанкционированный доступ. Под угрозой безопасности конфиденциальной информации понимают совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее.

Результатом противоправных действий может стать нарушение конфиденциальности, достоверности, полноты информации, что, в свою очередь, может нанести материальный ущерб организации.

Все угрозы конфиденциальной информации по отношению к объекту можно разделить на внутренние и внешние. Внутренними нарушителями могут стать администрация, сотрудники предприятия, имеющие доступ к информационной системе, персонал, обслуживающий здание. Источниками внешних угроз являются клиенты, посетители, представители конкурентных организаций, лица, нарушившие пропускной режим предприятия, а также любые лица, находящиеся за пределами контролируемой территории.

Статистика показывает, что большинство угроз совершается собственными сотрудниками организации, в то время как доля внешних угроз сравнительно мала (рис. 3.26).

Рис. 3.26. Статистика угроз информационной безопасности

Самыми частыми и опасными по размерам ущерба являются непреднамеренные ошибки пользователей информационных систем. Особую опасность представляют «обиженные сотрудники», действия которых связаны с желанием нанести вред организации. Таковыми могут оказаться как нынешние, так и бывшие сотрудники. Поэтому необходимо следить за тем, чтобы при увольнении сотрудника его доступ к информационным ресурсам прекратился.

Стихийные источники угроз весьма разнообразны и непредсказуемы. Возникновение подобных источников сложно предусмотреть и им тяжело противодействовать. К ним относятся пожары, землетрясения, ураганы, наводнения и другие природные катаклизмы. Наступление таких событий может привести к нарушению функционирования предприятия и, соответственно, к нарушению обеспечения безопасности информации в организации.

Для защиты информации, хранимой в компьютере, необходимо использовать программные и аппаратные средства защиты. Рекомендуется использовать такие типы программных средств защиты персонального компьютера:

• средства, обеспечивающие защиту от несанкционированного доступа в компьютер;
• средства защиты диска от несанкционированных записей и чтения;
• средства контроля за обращениями к диску;
• средства удаления остатков секретной информации.

Основными мерами по предотвращению НСД к ПК являются

физическая защита ПК и носителей информации, аутентификация пользователей, разграничение доступа к защищаемой информации, криптографическая защита, регистрация обращений к защищаемой информации. Так как существует вероятность заражения компьютера вирусами, не стоит забывать оснастить каждый ПК специальными противовирусными программами.

При обработке конфиденциальной информации в информационных системах предприятий возникает вероятность ее утечки. Утечка конфиденциальной информации может нанести серьезный материальный ущерб. Поэтому необходимо принимать меры по ее предотвращению. Для этого следует проанализировать все возможные источники и угрозы и в соответствии с этим принимать решение о комплексном применении средств защиты информации.

Утечка информации - неправомерный выход конфиденциальной информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, результатом которого является получение информации лицами, не имеющими к ней санкционированного доступа.

В соответствии с Положением о порядке обращения со служебной информацией ограниченного распространения (Утверждено Постановлением Совета Министров Республики Беларусь от 15.02.1999 №237) , необходимость соблюдения режима конфиденциальности информации может касаться тех сведений, распространение которых в соответствии с действующими законодательными актами организации считают нежелательным в интересах обеспечения своей деятельности.

Утечка конфиденциальной информации может выражаться в потере конкурентных преимуществ, упущенной коммерческой выгоде, санкциях со стороны регулирующих органов, административной и уголовной ответственности за раскрытие персональных данных, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, планируемых кадровых перестановках и т. п. Несмотря на то, что несанкционированное раскрытие информации является во многих случаях административно и уголовно наказуемым деянием, в условиях, когда информационное законодательство Республики Беларусь еще полностью не сформировано, а процессы законотворчества сильно отстают от уровня развития информационных технологий, возникают существенные трудности в обеспечении юридической защиты интересов собственников конфиденциальной информации.

Следует отметить, что для организаций государственной и негосударственной форм собственности способы защиты конфиденциальных сведений могут различаться не только в силу существующей в них делопроизводственной практики, но и в силу того, что защищаемая информация может попадать под действие законодательных актов, имеющих различную силу для организаций и предприятий государственного и негосударственного профиля. К примеру, Положение об обращении со служебной информацией ограниченного распространения (Утверждено Постановлением Совета Министров Республики Беларусь от 15.02.1999 №237) имеет отношение только к документации государственных организаций. Правила же защиты конфиденциальных сведений в коммерческих организациях устанавливаются в большинстве случаев их собственником (владельцем) и основываются на других нормативных правовых актах, таких как, например, Положение о коммерческой тайне.

Количество потенциальных каналов утечки информации достаточно велико. Наиболее распространенные из них относятся к категории неумышленного раскрытия информации сотрудниками по причине неосведомленности или недисциплинированности. Отсутствие представлений о правилах работы с конфиденциальными документами, неумение определить, какие документы являются конфиденциальными, и просто обычные разговоры между сотрудниками -- все это может привести к рассекречиванию данных.

Умышленный «слив» информации встречается значительно реже, зато осуществляется целенаправленно и с наиболее опасными последствиями для организации.

С учетом множественности категорий и каналов утечки информации становится очевидно, что в большинстве случаев проблему утечки нельзя решить каким-либо простым способом, тем более избавиться от нее окончательно. Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес-процессов организации. Это означает, что требуется система организационно-технических мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без значительного снижения эффективности бизнес-процессов. Без такой системы права на юридическую защиту интересов организации как собственника информации нереализуемы.

Система предотвращения утечки конфиденциальной информации включает в себя три основных составляющих: работу с персоналом, политику безопасности, сервисы безопасности.

Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен «свести на нет» любые самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом -- главный механизм защиты.

Ключевые принципы и правила управления персоналом с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17799:2000 и сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

При работе с персоналом необходимо соблюдать следующие требования безопасности:

• 1. Ответственность за информационную безопасность должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, за ресурсы, процессы и мероприятия по обеспечению безопасности.
• 2. Должны проводиться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы, удостоверяющие личность.
• 3. Подписание соглашения о неразглашении конфиденциальной информации кандидатом должно быть обязательным условием приема на работу.
• 4. Требования информационной безопасности, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность за нарушение безопасности.

В некоторых организациях существуют отделы по работе с конфиденциальной документацией. Для начальника такого отдела разрабатывается специальная должностная инструкция. (Приложение 3)

Также в организации должен быть разработан соответствующий дисциплинарный процесс, проводимый в отношении нарушителей безопасности и предусматривающий расследование, ликвидацию последствий инцидентов и адекватные меры воздействия.

При определении мер пресечения следует ориентироваться на положения действующего законодательства.

Иногда “обиженные” бывшие работники с целью отомстить работодателю размещают ценную информацию предприятия в Интернете или в СМИ, делают ее общедоступной иными способами. Кстати, личная неприязнь (в случаях применения к работнику дисциплинарных взысканий либо желания лица отомстить за что-либо) и экономическая выгода работника и/или конкурента -- наиболее типичные мотивы утечки информации. Бывают случаи, когда работник вольно распоряжается ценной информацией, считая, что именно он, а не его работодатель имеет на нее права.

Ценную информацию необходимо охранять (предпринимать юридические, организационные, технические меры), причем, начиная с момента ее постижения, так как в силу ст. 140 Гражданского кодекса Республики Беларусь ценную информацию можно защитить только тогда, когда к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

Конкретный перечень сведений, которые могут быть защищены с помощью норм законодательства о нераскрытой информации, не установлен. Согласно статье 140 ГК Республики Беларусь , защищаться может информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и обладатель которой принимает меры к охране ее конфиденциальности. В статье 1010 ГК Республики Беларусь говорится, что техническая, организационная или коммерческая информация, в том числе секреты производства (“ноу-хау”), может защищаться от незаконного использования, если она неизвестна третьим лицам и если соблюдены условия, установленные пунктом 1 статьи 140 ГК Республики Беларусь.

Из этих норм видно, что достаточно широкий спектр сведений может быть охраняем законодательством. При отнесении той или иной информации к охраняемой целесообразно исходить из ее свойства быть полезной. Вместе с тем необходимо учитывать, что, согласно п. 3 ст. 1010 ГК Республики Беларусь, правила о защите нераскрытой информации не применяются в отношении сведений, которые, в соответствии с законодательством, не могут составлять служебную или коммерческую тайну (сведения о юридических лицах, правах на имущество и сделках с ним, подлежащие госрегистрации, и др.).

В пункте 4 ст. 1010 ГК Республики Беларусь установлено, что право на защиту нераскрытой информации действует до тех пор, пока информация будет иметь действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней не будет свободного доступа на законном основании и обладатель информации будет принимать меры к охране ее конфиденциальности.

Относительно последнего условия, то должен быть предпринят комплекс юридических и фактических мер. К первым относится, прежде всего, создание системы локальных нормативных актов, в которых конкретизируется сама конфиденциальная информация или признаки отнесения информации к конфиденциальной, кто вправе ею пользоваться, и т. п. Соответствующие условия и требования нужно предусмотреть в трудовом договоре или контракте с работником. Возможно определение соответствующих условий и в гражданско-правовом договоре.

Возможность принятия юридических мер вытекает непосредственно из трудового и гражданского законодательства. В соответствии с п. 10 ст. 53 Трудового кодекса Республики Беларусь, работник обязан “хранить государственную и служебную тайну, не разглашать без соответствующего разрешения коммерческую тайну нанимателя”. Согласно части 2 пункта 2 ст. 140 ГК Беларуси, лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки.

Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Необходимо отметить, что недостаточно поставить на документе штамп “конфиденциально” или “не для копирования”, так как фактически ознакомиться с его содержанием при желании может любой сотрудник. Понятно, что в данном случае фактические меры к охране информации не приняты. Таким образом, возникает необходимость создания на предприятии так называемого “конфиденциального делопроизводства” и системы технических мер, с помощью которых можно было бы контролировать доступ к ценной информации.

Возможность применить меры ответственности за разглашение или незаконное использование нераскрытой информации предусмотрена ч. 2 ст. 53 Трудового кодекса Беларуси и п. 2 ст. 140, ст. 1011 ГК Республики Беларусь, ст. 167-9 Кодекса об административных правонарушениях Республики Беларусь, ч. 2-3 ст. 201, статьями 254, 255, 375 Уголовного кодекса Беларуси.

В большинстве случаев речь может идти о возмещении убытков либо взыскании неустойки (если она предусмотрена договором), в случае совершения административного правонарушения или преступления -- о штрафах или лишении свободы.

Возможности по доказыванию фактов неправомерного разглашения или использования охраняемой информации, причинения убытков, а также причинно-следственной связи между ними такие же, как и в любом другом правовом деликте -- показания свидетелей, объяснения сторон, заключения экспертов и т. д.

Любопытно законодательство некоторых стран в данной сфере. Например, в ряде государств наниматель имеет право установить для своих сотрудников запрет на работу в фирмах, прямо конкурирующих с их компанией (причем могут быть перечислены конкретные фирмы) в течение определенного срока после увольнения работника, а также запрет на предоставление определенной информации данным фирмам (например, список клиентов, партнеров).

Как уже было сказано, в организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности (например, открытая информация, конфиденциальная, строго конфиденциальная), правила маркирования конфиденциальных документов и правила обращения с конфиденциальной информацией, включая режимы хранения, способы обращения, ограничения по использованию и передаче третьей стороне и между подразделениями организации.

Особое внимание следует уделить защите электронной конфиденциальной информации. Для электронных документов угроза утраты конфиденциальной информации особенно опасна, так как факт кражи информации практически трудно обнаружить. Утрата конфиденциальной информации, обрабатываемой и хранящейся в компьютерах может быть вызвана следующими факторами:

• · непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, работников службы конфиденциальной документации (далее - службы КД), системных администраторов и других лиц, обслуживающих информационные системы (самая частая и большая опасность);
• · кражи и подлоги информации;
• · угрозы, исходящие от стихийных ситуаций внешней среды;
• · угрозы заражения вирусами.

В настоящее время в Беларуси и за рубежом ведутся большие работы по созданию автоматизированных систем обработки данных с применением машиночитаемых документов (МЧД), одной из разновидностей которых являются документы со штриховыми кодами. К машиночитаемым относятся товаросопроводительные документы, ярлыки и упаковки товаров, чековые книжки и пластиковые карточки для оплаты услуг, магнитные носители. В связи с этим появились термины "электронные ведомости", "электронные деньги" и т. д.

Наибольшее распространение получают графические шрифты предназначенные для кодирования и регистрации информации в оптическом диапазоне. Здесь имеются три вида: отметки графические, шрифты стилизованные, шрифты кодирования (штриховые коды).

Штриховой код представляет собой чередование темных и светлых полос разной ширины. Информацию несут относительные ширины светлых и темных полос и их сочетания, при этом ширина этих полос строго определена. Темные полосы называют штрихами, а светлые - пробелами (промежутками).

Штриховые коды считываются специальными оптическими считывателями (читающими устройствами) различных типов, включая лазерные, которые, воспринимая штрихи, пробелы и их сочетания, декодируют штриховой код с помощью микропроцессорных устройств, осуществляют заложенные в кодах методы контроля и выдают на табло, в ЭВМ или другие устройства значения этих кодов в определенном алфавите (цифровом, алфавитно-цифровом и пр.).

В настоящее время штриховые коды широко используются в производстве и в торговле товарами, во многих отраслях промышленного производства для идентификации заготовок, изделий, упаковок, обозначения мест хранения, в почтовых ведомствах, транспорте и пр.

Для защиты электронной информации должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, в том числе авторизация и аудит доступа.

Ответственность за информационную безопасность организации несет ее руководитель, который делегирует эту ответственность одному из менеджеров.

Решение о предоставлении доступа к конкретным информационным ресурсам должны принимать владельцы этих ресурсов, назначаемые из числа руководителей подразделений, формирующих и использующих эти ресурсы. Кроме того, вопросы предоставления доступа конкретным сотрудникам должны быть согласованы с их непосредственными руководителями.

Подводя итоги, можно сделать следующие выводы:

• - Основным источником утечки информации из организации является ее персонал;
• - За целенаправленное разглашение конфиденциальной информации работник может быть привлечен к административной либо уголовной ответственности;
• - Ответственность за информационную безопасность в организации возлагает на себя руководитель.