- •1. Информационная безопасность
- •2. Информационная безопасность – дело межгосударственное
- •3. Информационная безопасность и геоинформационные системы
- •4. Информационная безопасность и интересы бизнеса
- •5. Информационная безопасность корпоративных (ведомственных) сетей связи
- •6. Каналы утечки информации
- •7. Классификация угроз безопасности информации
- •8. Угрозы, не связанные с деятельностью человека
- •9. Угрозы, связанные с деятельностью человека
- •10. Утечка акустической информации из-за применения подслушивающих устройств
- •11. Прослушивание и запись переговоров по телефонным линиям
- •12. Утечка информации за счет скрытного и дистанционного видеонаблюдения
- •13. Лазерный съем речевой информации
- •14. Основные понятия компьютерной безопасности
- •15. Лицензирование
- •16. Особенности безопасности компьютерных сетей
- •17. Нарушения безопасности сети
- •18. Взлом программного модуля
- •19. Меры защиты информационной безопасности
- •20. Меры защиты: четыре уровня защиты
- •21. Метод авторизации через интернет
- •22. Побитовое копирование cd
- •23. Признаки наличия язвимых мест в информационной безопасности
- •24. Пути утечки информации в вычислительных системах
- •25. Устойчивость к взлому
- •26. Устойчивость к прямому копированию
- •27. Законы ук рф, связанные с «Преступлениями в сфере компьютерной информации»
- •28. Утечка информации при использовании средств связи и различных проводных коммуникаций
- •29. Перехват разговоров по радиотелефонам и сотовой связи
- •30. Использование сети 220 в для передачи акустической информации из помещений.
- •31. Комплексный подход к обеспечению информационной безопасности
- •32. Организованные меры обеспечения защиты информации
- •33. Подбор персонала для обеспечения безопасности
- •34. Краткая характеристика источников информации
- •35. Безопасность оптоволоконных кабельных систем
- •36. Защита информации в оптическом диапазоне частот
- •37. Классификация современных биометрических средств защиты информации
- •38. Принципы построения системы информационной безопасности объекта
- •39. Определение границ управления информационной безопасностью объекта
- •40. Выбор контрмер, обеспечивающих информационную безопасность
- •41. Проверка системы защиты информации
- •42. Составление плана защиты информации
- •43. Реализация плана защиты информации (управление системой защиты информации)
- •44. Практические проблемы обеспечения информационной безопасности
- •45. Новые приборы виброакустической защиты информации
- •46. Персонал как основная опасность утраты конфиденциальной информации
- •47. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией
- •48. Доступ персонала к конфиденциальным сведениям, документам и базам данных
- •49. Текущая работа с персоналом, владеющим конфиденциальной информацией
- •50. Особенности увольнения сотрудников, владеющих конфиденциальной информацией
- •51. Защищенный документооборот
- •52. Технологические системы защиты и обработки конфиденциальных документов
- •53. Принципы учета конфиденциальных документов
- •54. Этапы подготовки конфиденциальных документов
- •55. Защита информации при проведении совещаний и переговоров
- •56. Защита информации при работе с посетителями
- •57. Защита информации в работе кадровой службы
- •58. Нормативно-методические документы по обеспечению безопасности информации
8. Угрозы, не связанные с деятельностью человека
Наиболее типичной естественной угрозой системам обработки данных, не всегда связанной с деятельностью человека, является пожар. Поэтому при проектировании и эксплуатации систем обработки данных в обязательном плане решаются вопросы противопожарной безопасности.
Особое внимание при этом следует уделить защите от пожара носителей компьютерных данных, файл-серверов, отдельных вычислительных машин, центров связи, архивов, и другого оборудования и помещений или специальных контейнеров, где сконцентрированы огромные массивы очень важной информации. Для этих целей могут быть использованы специальные несгораемые сейфы, контейнеры и др.
В частности хорошо зарекомендовало себя в западной Европе и у нас в Украине оборудование для защиты носителей информации и информационно-вычислительных комплексов немецкой фирмы ЛАМПЕРТЦ , которое в силу своей специфики, чаще всего применяется в банках, где потеря информации может привести к катастрофическим последствиям.
Другая угроза для систем обработки данных в компьютерных системах - удары молнии. Эта проблема возникает не часто, но ущерб может быть нанесен очень большой. Причем ущерб не столько материальный, связанный с ремонтом или заменой вышедшей из строя техники и восстановлением потерянной информации, циркулирующей в компьютерных сетях, но прежде всего, если не применены необходимые технические меры защиты от мощных электромагнитных излучений грозовых разрядов, выходят из строя отдельные рабочие станции или серверы сети, и на значительное время парализуется работа объекта, все операции прекращаются.
Фирма и особенно банк в такой ситуации теряет свой имидж надежного партнера и, как следствие, клиентов. Такие случаи имели место и у нас в Киеве, но по указанной выше причине утаивались и не просочились в печать. Для большинства организаций потеря имени, появление каких-либо слухов о внутренних проблемах гораздо неприятнее финансовых потерь, порой даже и довольно ощутимых.
Для зданий, где размещаются технические средства обработки информации, расположенных в долинах рек или на побережье, весьма вероятной угрозой является затопление. В этих случаях аппаратные средства не должны устанавливаться на нижних этажах зданий и должны приниматься другие меры предосторожности. Нанесение ущерба ресурсам систем обработки данных может также быть вызвано землетрясениями, ураганами, взрывами газа и т.д. Ущерб может быть нанесен при технических авариях, например, при внезапном отключении электропитания и т.д.
9. Угрозы, связанные с деятельностью человека
Этот вид угроз можно разделить на:
* угрозы системе обработки информации в результате несанкционированного использования штатных технических и программных средств, а также их хищения, порчи, разрушения;
* угрозы в результате использования специальных средств, не входящих в состав системы обработки данных (побочные излучения, наводки по цепям питания, использование аппаратуры звукоусиления, прием сигналов из линий связи, акустические каналы);
* угрозы использования специальных методов и технических средств (фотографирование, электронные закладки, разрушающие или искажающие информацию, а также передающие обрабатываемую или речевую информацию);
* облучение технических средств зондирующими сигналами, в результате чего может происходить искажение или разрушение информации, а при значительной мощности облучений и вывод из строя аппаратуры. Зарубежные специалисты к числу наиболее вероятных каналов утечки конфиденциальной информации относят следующие:
* совместную деятельность с другими фирмами;
* проведение переговоров;
* экскурсии и посещения фирмы;
* рекламу, публикации в печати, интервью для прессы;
* консультации специалистов со стороны, получающих доступ к документации и производственной деятельности фирмы;
* фиктивные запросы о возможности работы в фирме, заключения с ней сделок, осуществления совместной деятельности;
* рассылку отдельным сотрудникам фирмы различных анкет и вопросников под маркой научных или маркетинговых исследований;
* частные беседы с сотрудниками фирмы, навязывание им незапланированных дискуссий по тем или иным проблемам. Анализ системы защиты коммерческих секретов, моделирование вероятных угроз позволяет намечать - при необходимости - дополнительные меры безопасности.
При этом степень их целесообразности определяется достаточно просто: затраты на обеспечение надлежащей секретности должны быть существенно меньше, чем возможный экономический ущерб. Однако, как образно выразился один эксперт, "степень надежности любого шифра определяется не его сложностью, а неподкупностью шифровальщика".
Иными словами, ключевыми фигурами систем защиты коммерческих секретов являются сотрудники фирм. Причем не только те, которые работают с закрытой информацией (хотя данная категория в первую очередь). Рядовой сотрудник, не имеющий доступа к коммерческой тайне, тоже может оказать помощь конкурентам в проведении электронного шпионажа, обеспечить условия для хищения носителей информации, для выведывания, снятия копий.
По мнению зарубежных специалистов, вероятность утечки сведений, составляющих коммерческую тайну, при проведении таких действий, как подкуп, шантаж, переманивание сотрудников фирмы, внедрение своих агентов составляет 43%; получение сведений путем их выведывания у сотрудников - 24%.
Таким образом, персонал фирмы является, с одной стороны, важнейшим ресурсом предпринимательской деятельности, а с дугой, отдельные сотрудники в силу различных обстоятельств могут стать источником крупных потерь и даже банкротства фирмы. Именно поэтому организационные и административные меры защиты конфиденциальной информации необходимо сочетать с социально-психологическими мерами. Среди социально-психологических мер защиты можно выделить два основных направления: это, во-первых, правильный подбор и расстановка кадров и, во-вторых, использование материальных и моральных стимулов.
Западные специалисты по экономической безопасности считают, что от правильного подбора, расстановки и стимулирования персонала сохранность фирменных секретов зависит, как минимум, на 80%!
Американский психолог А. Маслоу выделяет у человека пять групп основных потребностей: 1. Физиологические; 2. В обеспечении безопасности; 3. В общении и контактах с другими людьми; 4. В общественном признании своей значимости, в приобретении возможно более высокого социального статуса; 5. В самореализации.
Зная этот научно установленный факт, грамотный руководитель любой фирмы должен так организовывать работу, чтобы каждый его сотрудник получал от работы максимальное удовлетворение (возвращаясь в этой связи к проблеме подбора отмечу, что наибольшее удовлетворение человек получает при занятиях той деятельностью которая максимально соответствует его способностям и интересам).
Создавая условия для удовлетворения сотрудником его потребностей в самореализации способностей и потенций, в общественном признании его значимости, можно в рамках фирмы установить благоприятный социально-психологический климат, максимально снизить текучесть кадров, сформировать так называемый "фирменный патриотизм". В такой обстановке маловеоятно появление работника, пытающегося самоутвердиться путем передачи конкурентам секретов, т.е. путем предательства.
Исходя из сказанного, необходимо в работе с персоналом руководствоваться следующими правилами:
* создать действенную систему материальных стимулов;
* обеспечить каждого сотрудника долговременной работой;
* относиться к ним как к самостоятельным индивидам;
* обеспечить участие в прибылях;
* создать возможности для продвижения по службе;
* обеспечить участие всего персонала в выработке решений;
* создать гибкую не травмирующую систему увольнений.
Кроме того, американские специалисты в области противодействия промышленному шпионажу рекомендуют использовать любую возможность для пропаганды программ обеспечения экономической безопасности фирмы; не забывать периодически вознаграждать сотрудников фирмы за успехи в этой работе; всемерно стимулировать участие сотрудников фирмы в реализации программ обеспечения секретности. Вы познакомились с основными положениями первого этапа комплексной системы информационной безопасности фирмы.
Далее следует провести анализ потенциальных технических каналов утечки информации и методов защиты. Но это уже материал отдельного рассмотрения.