Действия, приводящие к неправомерному овладению конфиденциальной информацией - Комплексная система защиты информации
Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации:
Владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
Источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значи-тельные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;
Промежуточная ситуация - это утечка информации по техниче-ским каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.
В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разгла-шение сведений и несанкционированный доступ к конфиденциаль-ной информации.
Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и дей-ствий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения инфор-мации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами пе-редачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие мас-совые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточ-ное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргумен-тированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориен-тирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации послед-ний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).
Утечка - это бесконтрольный выход конфиденциальной инфор-мации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или пере-дается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (напи-санный текст) и др. С учетом этого можно утверждать, что по фи-зической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материа-лы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электро-магнитные и материально-вещественные. Под каналом утечки ин-формации принято понимать физический путь от источника конфи-денциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.
Несанкционированный доступ - это противоправное преднаме-ренное овладение конфиденциальной информацией лицом, не имею-щим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумыш-леннику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению инфор-мационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны кон-курентов и злоумышленников. Такой подход к классификации действий, способствующих неправо-мерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной без-опасности.
С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной ин-формацией. Указываются следующие условия:
Разглашение (излишняя болтливость сотрудников) - 32%;
Несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;
Отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;
Традиционный обмен производственным опытом - 12%;
Бесконтрольное использование информационных систем - 10%;
Наличие предпосылок возникновения среди сотрудников конфликтных ситуаций 8%;
А также отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа кадров по сплочению коллектива.
Среди форм и методов недобросовестной конкуренции находят наибольшее распространение:
Экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%),
Парализации деятельности фирмы (31%),
Компрометации фирмы (11%),
Шантаже руководителей фирмы (10%);
Физическое подавление:
Ограбления и разбойные нападения на офисы, склады, грузы (73%),
Угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%),
Убийства и захват заложников (5%);
Информационное воздействие:
Подкуп сотрудников (43%),
Копи-рование информации (24%),
Проникновение в базы данных (18%),
Продажа конфиденциальных документов (10%),
Подслушивание телефонных переговоров и переговоров в помещениях (5%),
А также ограничение доступа к информации, дезинформация;
Финансовое подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество; психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.
Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия. Совокупность определений, каналов, способов и средств представляется в виде следующей схемы.
Государственный стандарт РФ ГОСТ Р 50922 - 96
ГОСТ Р 50922 - 96
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
Основные термины и определения
Дата введения 1.07.97 г.
- 1. Область применения 2. Общие положения 3 Стандартизованные термины и их определения 3.1 Основные понятия 3.2 Организация защиты информации
Похожие статьи
-
Основные требования к комплексной системе защиты информ: Разработка на основе положений и требований существующих законов, стандартов и нормативно -...
-
В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надежность работы компьютера, и сохранность ценных данных, и...
-
Разглашение информации, Утечка информации - Законы по зашите информации
Разглашение информации ее обладателем - это умышленные или неосторожные действия должностных лиц и граждан, которым в установленном порядке были доверены...
-
Защита информации в БД - Банки и базы данных. Системы управления базами данных
Целью защиты информации является обеспечение безопасности ее хранения и обрабатывания. Процесс построения эффективной защиты начинается на начальных...
-
Угроза безопасности информации в сети. Способы борьбы с ними - Средства и технологии интернета
Информационная безопасность - по законодательству РФ - состояние защищенности информационной среды общества, обеспечивающее ее формирование,...
-
Режим эксплуатации АРМ должен соответствовать режиму работы сотрудников, то есть пользователей в соответствии со штатным расписанием рабочего дня,...
-
Комплексный подход к обеспечению информационной безопасности, Основные понятия - Защита информации
Основные понятия Под информацией, применительно к задаче ее защиты понимается сведения о лицах, предметах, фактах, событиях явлениях и процессах...
-
Обеспечение защиты информации в сетях - Защита информации в компьютерных сетях
В ВС сосредотачивается информация, исключительное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
1.Технические (аппаратные средства) - это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными...
-
Защита информации - Защита данных в операционной системе Windows 10. BitLocker
Защита личных данных от постороннего доступа является важным моментом для пользователей ПК. Особенно это касается офисных компьютеров, где хранится...
-
Для компьютерного оборудования и данных (информации) существуют три основные угрозы: Физическое воровство, которое включает подключение к различным...
-
В ИСПДн "Бухгалтерия и кадры" обрабатываются ПДн лиц, которые являются сотрудниками оператора, в количестве менее 100000 человек. На основании статьи 12...
-
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...
-
ВВЕДЕНИЕ - Анализ средств защиты информации в ЛВС
Вопрос защиты информации поднимается уже с тех пор, как только люди научились письменной грамоте. Всегда существовала информация, которую не должны знать...
-
Источниками угроз НСД в информационной системе могут быть: Нарушитель; Носитель вредоносной программы; Аппаратная закладка. Для источников угроз - людей,...
-
Защита корпоративной информации - Защита информации
Однако при решении этой проблемы предприятия часто идут на поводу у компаний-подрядчиков, продвигающих один или несколько продуктов, решающих, как...
-
Проблема защиты информации: надежное обеспечение ее сохранности и установление статуса использования - является одной из важнейших проблем современности....
-
Информация с точки зрения информационной безопасности обладает следующими категориями: * конфиденциальность -- гарантия того, что конкретная информация...
-
Физическая защита Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и...
-
Моделирование это метод исследования различных явлений и процессов, выработки вариантов решений. Методом моделирования описываются структура объекта...
-
Аппаратные средства защиты - Инженерно-техническая защита объектов
К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции,...
-
Системы с открытым ключом - Защита информации
Как бы ни были сложны и надежны криптографические системы - их слабое мест при практической реализации - проблема распределения ключей. Для того, чтобы...
-
Размещение оборудования должно быть выполнено с учетом требований фирм-производителей и удобств технической эксплуатации. Помещения должны быть...
-
Поиск нужной информации (создание запросов) - Разработка информационной системы "Гостиница"
В СУБД Microsoft Access 2007 можно создавать запросы для отображения требуемых полей из записей одной или нескольких таблиц. Для создания нового пустого...
-
Федеральный Закон РФ № 149-ФЗ "Об информации, информационных технологиях и о защите информации", принятый Государственной Думой 8 июля 2006 года и...
-
Заключение - Анализ средств защиты информации в ЛВС
Многие производители сетевого и телекоммуникационного оборудования обеспечивают поддержку работы с Kerberos в своих устройствах. Так, фирма TELEBIT,...
-
Перечень СЗИ, используемых в НАО "Вальмонт индастрис", представлен в таблице 4. Специальная защита компонентов ИС не осуществляется. Все применяемые...
-
Объектом обследования являются ИС, используемые на предприятии, архитектура КИВС и ее функционирование. Для определения перечня и границ ИС были...
-
Программные и программно-аппаратные средства обеспечения безопасности информации - Защита информации
К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав КС и выполняющие(как...
-
На предприятии функционирует АС класса 2. Существуют повышенные требования к обеспечению конфиденциальности и доступности защищаемой информации....
-
Методы защиты информации - Компьютерные преступления и методы защиты информации
Для решения проблем защиты информации в сетях прежде всего нужно уточнить возможные причины сбоев и нарушений, способные привести к уничтожению или...
-
Шифрование данных традиционно использовалось спецслужбами и оборонными ведомствами; сейчас, в связи с ростом возможностей компьютерной техники, многие...
-
Техническое обеспечение (ТО) - совокупность технических средств, предназначенных для работы информационной системы, а также соответствующая документация...
-
ППО - часть программного обеспечения, обеспечивающая решение прикладных задач. Выделяют: 1) пользовательское ППО (ПППО), предоставляющее пользователю...
-
База данных представляет собой информационную модель того объекта (организации или предприятия), информация о котором требуется пользователю для...
-
Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному...
-
Введение - Компьютерные преступления и методы защиты информации
Проблема обеспечения информационной безопасности актуальна с тех пор, как люди стали обмениваться информацией, накапливать ее и хранить. Во все времена...
-
Требования к современным средствам защиты информации - Защита информации в компьютерных сетях
Согласно требованиям гостехкомиссии России средства защиты информации от несанкционированного доступа(СЗИ НСД), отвечающие высокому уровню защиты, должны...
-
Информационное обеспечение, информационный фонд, информационная база, автоматический банк данных, система информации -- далеко не полный перечень...
Действия, приводящие к неправомерному овладению конфиденциальной информацией - Комплексная система защиты информации